去年Schrems II决议的影响还在持续,但现在,欧盟委员会已经批准了标准合同条款(Standard Contractual Clauses ,SCC)的更新版本,SCC通常用于管理一些数据共享安排,使其符合通用数据保护条例(GDPR)对数据控制者和处理者的要求。
Schrems 最核心的一点是,对发送到外国的欧盟个人数据提出了一套尽职调查和披露要求。同时还采取了新的强制性缓解措施,以减小这些信息落入政府和情报机构手中的风险。
SCC的重大更新改变了国际数据处理要求
SCC是欧盟-美国数据传输的法律基础。虽然以前的SCC结构在法律上仍然可行,但每一份合同都受到数据保护当局的严格审查。许多组织推测,鉴于Schrems对数据传输协议条款的影响,这些合同将无法成立。
新的示范合同条款旨在确保 GDPR 合规性,而无需对现有 SCC进行重组,并让监管机构对它们进行梳理。这种数据传输机制是针对非欧洲经济区 (EEA) 国家(那些已收到"充分决定"的组织)的数据传输合作伙伴(目前只有十几个)。Schrems II出人意料地将美国从"可信赖的伙伴"名单中除名,理由是推测美国政府可以免费获取欧盟公民数据。这在全世界引起了广泛讨论。
从9月底开始,数据传输协议可以修改使用这些新的SCC。现有SCC以旧格式存在的组织将获得18个月的宽限期来重组它们(直到2022年12月)。然而,使用旧SCC的组织并没有从当前遵从性需求方面获得任何特权;它们仍须就欧盟公民个人信息暴露给外国政府的问题进行风险评估,并采取任何必要的缓解措施,旧的最高保密标准也仍须接受数据保护主管部门的审查。
新数据传输协议的条款
SCC结构的最大变化之一是添加了从处理者到控制者的数据流规则;以前,标准格式只处理从一个控制者到另一个控制者或处理者的传输。这些条款使某些行业(尤其是制药行业)更容易与非欧洲经济区国家的合作伙伴达成有效的数据传输协议。
新的SCC的措辞将更加明确。许多公司实现 GDPR 合规性时,一个棘手的问题是,法律有时以模糊或混乱的方式编写。新的SCC旨在简化和明确可能不经常与GDPR打交道的外国数据合作伙伴的义务,尤其是美国的数据合作伙伴。
当然,许多变化直接涉及Schrems II的决定。新的SCC要求采取各种尽职调查行动,并进行披露,以保证政府不会未经授权进行访问。数据传输协议在制定这些措施时,不仅要考虑非欧洲经济区国家的法律条文,还要考虑“实际经验”。
最后,新的SCC实施一个"模块化"合同系统,可以适应不同的情况,而不是一个僵硬的模板。
尽管这些变化至少在一定程度上减轻了目前跨大西洋数据传输协议的负担,但一些组织仍在思考,就将欧盟公民数据置于美国政府无法触及的措施而言,适当的SCC应该是什么样子的?欧盟委员会司法专员迪迪埃·雷恩代尔(Didier Reynders)告诉记者,对数据进行足够强的加密可以满足行为准则,或者以一种无法与个人(假名)连接的方式处理数据。
有人猜测,欧盟委员会可能会选择拖延时间,执行某种新的数据传输协议,这将不可避免地再次在法庭上受到挑战(这一过程通常需要几年的时间)。然而,Reynders特别指出,新的SCC的目的是为了避免“Schrems III”。(本文出自SCA安全通信联盟,转载请注明出处。)