上周,欧洲最高法院驳回了《隐私盾》(Privacy Shield)协议,该协议管理美国和欧洲之间的数据传输,涉及《欧盟一般数据保护条例》(GDPR)的合规要求。这一突然中止给参与该计划的5300多家美国公司带来了严重的问题,这一决定的影响可能会扩展到全球的美国商业伙伴。
欧美数据传输受阻
虽然该决定的条款特别适用于欧盟-美国的数据传输,但它也限制了通过美国公司与其他国家共享欧洲公民数据。正如Alston & Bird隐私与数据安全事务所高级律师Peter Swire解释的那样:“……法院现在要求每个国家数据保护机构‘暂停或禁止将个人数据转移到第三国’,如美国或中国。”
成立于2016年的Privacy Shield使欧盟和美国的公司能够出于商业目的来回移动数据,而法律上的摩擦却相对较小。虽然Privacy Shield被取消了,但支撑国际公司之间这些关系的现有标准合同条款( Standard Contractual Clauses,SCC)的规定仍然有效。目前,欧盟和美国的公司似乎能够在SCC下传输数据,但SCC必须遵守GDPR的所有条款。一些公司(如微软)已经发布声明,表明他们相信他们现有的SCC足以遵守新的条款。
Privacy Shield的失效并不是大多数法律观察家所期望的结果。这一裁决让某些美国公司陷入混乱,它们正争相寻找数据传输的替代方式。这些替代方法的麻烦在于,它们往往需要经过第三国,而这些第三方国家很少符合欧洲的隐私标准。
卢森堡欧洲法院(European Court of Justice)是受理此案的最高法院,该法院裁定Privacy Shield不符合GDPR的要求。对Privacy Shield的挑战源于以马克斯•施雷姆斯(Max Schrems)为首的欧盟隐私倡导者发起的法律行动。在过去10年里,Schrems曾以挑战欧洲隐私法为职业。这一案件可以追溯到2013年斯诺登(Snowden)泄密事件,其核心论点是,美国监控的范围超出了Privacy Shield协议的条款。2015年,Schrems在此基础上成功地推翻了之前的数据隐私协议(安全港隐私原则the Safe Harbor Privacy Principles) 。
在这种情况下,“数据传输”不仅包括商业通信,还包括这些公司之间传输的任何欧盟公民个人信息。这将对Facebook等社交媒体公司,以及谷歌等通过电子邮件或定向广告进行交易的科技公司产生严重影响。但是,有一类“必要的”数据转移不受本裁定的约束;这些是在数据主体端发起的,用于获取服务所需的通信,例如,接收有关酒店预订或车辆预订的电子邮件确认。这些似乎源于GDPR 第49条的规定。
总部位于布鲁塞尔的Hunton Andrews Kurth的数据隐私合伙人David Dumont更详细地研究了这些条款和潜在的例外情况:“依赖于SCC的企业将被要求评估每个数据传输接收方,以确定接收方是否提供了‘足够水平的保护’。这将意味着评估要传输的是哪种类型的个人数据,如何处理,是否可能出于监视目的而接受政府机构的访问以及(如果有的话)可用的保护措施。大多数企业都不容易做出这些评估……数据保护监管机构需要提供指导,说明他们期望依赖于SCC的企业接受何种实际程度的审查……法院指出,GDPR中列出的第49条规定的条款是潜在的替代方案,但对于大多数数据传输来说,这些条款使用起来很麻烦。”
因此,这项裁决应该不会扰乱消费者端的国际服务,但会对那些将大量数据发送到其他国家进行处理的公司产生巨大影响。一个可能的直接影响是,欧洲公司将转向于使用欧洲内部的数据处理器,以确保其合规性。
如果数据控制者发现欧洲以外的国际合作伙伴没有至少与GDPR等效的隐私法,则现在法律上要求他们停止向该合作伙伴的数据传输(“必要豁免”类别之外) 。
请求宽限期,但是SCC是否可以生存?
考虑到这一裁决可能带来的潜在破坏性影响,美国的商业团体(如国际隐私专业人士协会)已经呼吁给予宽限期,希望给企业足够的时间来调整他们数据传输的做法。2015年安全港失效时,设立了一个适当的过渡期,这些企业希望这种情况再次发生。Hunton Andrews Kurth公司的隐私保护合伙人艾伦•辛普森(Aaron Simpson)概述了企业目前面临的潜在损害和困惑:“如今,畅通无阻的数据流已经与全球商业息息相关。这一决定不仅制造了麻烦,在某些方面还在欧盟和美国之间制造了障碍……对于依赖全球数据流的国际企业来说,这一决定可谓是一场完美的风暴。”
与此同时,SCC继续受到攻击。Schrems的隐私保护组织NOYB继续主张,由于美国政府的监视活动非常广泛,这些法律应该被废除。如果政府对私营企业的监控继续处于他们所声称的水平,则无论与SCC达成何种协议,所有向美国传输的数据都将违反必要的数据保护法。
虽然SCC现在可以被更仔细地审查,但对于它们是否真的会被审查,还有很多问题。这将是每个数据保护机构(data protection authority,DPA)的责任,而DPA目前似乎没有人力来对潜在的数千个数据传输机制进行梳理以实现合规性。
建议可能受到Privacy Shield裁决影响的数据传输者等待欧盟委员会即将发布的指导。欧洲数据保护委员会(European Data Protection Board)也可能参与制定具有约束力的企业国际数据传输规则。
*本文出自SCA安全通信联盟,转载请注明出处。(SCA安全通信联盟原创文章对外开白,欢迎加微信MrYe9173751开白)