欧洲法院裁定美欧个人数据传输框架部分条款无效
概述: 欧洲法院近期针对欧盟公民个人信息处理的裁决,现正对非欧洲企业(尤其是美国企业)提出挑战,要求其确保符合《通用数据保护条例》(GDPR)要求——鉴于美国政府可获取此类数据。
据2020年7月16日《华尔街日报》报道,欧洲法院裁定美国当前旨在遵守欧盟《通用数据保护条例》(GDPR)的做法不再有效。
该问题源于一起涉及奥地利公民马克斯·施雷姆斯的案件。他主张不应允许Facebook将欧盟公民的数据转移至美国并存储于该国,因为这些数据可能被美国政府机构获取。
该裁决现规定,任何试图将欧盟公民个人信息转移至欧盟境外存储的组织,均不得将数据传输至未被认定为具备符合《通用数据保护条例》(GDPR)标准数据隐私保障措施的国家。 在该裁决出台前,欧盟委员会曾明确指出,仅有以下国家能提供符合GDPR标准的充分保护水平:安道尔、阿根廷、加拿大(仅限商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭及美利坚合众国(仅限通过隐私盾框架认证的企业)。¹
美国企业只能通过专门设计的协议来满足欧盟《通用数据保护条例》的要求。许多大型企业签署了具有约束力的公司规则(BCR),这是为跨国企业量身定制的复杂合同和程序,旨在使其符合欧盟标准。 其他企业(多为中小型企业)则通过美国商务部提供的、经欧盟认可的欧盟/美国隐私盾框架(该框架取代了旧有的欧盟/美国安全港框架)获得认证。目前已有超过5300家机构签署了欧盟/美国隐私盾框架。
根据法院的新裁决,这些方案大多未能达到欧盟标准。在 美国被称为"第三方原则"的法律框架下 ,个人向银行、互联网服务提供商等第三方机构提供个人信息时,并不享有隐私期待权。这意味着美国政府无需法律授权即可获取这些个人信息。 美国当局正是利用该法理获取存储于美国的欧盟公民数据,而这正是欧洲法院所抗拒的——美国制度未能赋予欧洲公民绝对隐私权。
法院的裁决刚刚公布。美国和欧盟的隐私保护团体仍在评估法院的意见及可采取的应对措施。鉴于欧美之间庞大的跨境高科技业务往来,商界显然亟需寻求解决方案。
关于决议措施的早期构想包括以下内容:
- 美国公司可能在数据传输和存储过程中对欧盟公民的个人信息进行加密,使美国当局无法访问这些信息。
- 美国公司可能在欧盟专门部署服务器,用于存储欧盟公民的个人信息。
与此同时,那些作为客户、消费者、雇员或其他欧盟公民个人信息"控制者"的企业,若将信息转移至或存储在美国或其他保障措施不足的国家,则需要:
- 密切关注解决此法律纠纷的努力,以观察欧盟和美国各方能否在现有框架内找到解决方案;
- 若框架谈判陷入僵局,需密切关注同行组织各自采取的应对措施,因为欧盟监管机构终将执行法院裁决;
- 了解其处理/转移欧盟公民个人信息的风险暴露情况,以明确其面临的风险。
任何作为数据控制者之"处理者"处理此类个人信息的机构,都可预期控制者组织将在未来数周内主动联系,以探讨新的安排方案,进一步保护欧盟公民的个人信息。
注释
1.欧盟充分性决定(欧盟如何判定非欧盟国家是否具备充分的数据保护水平);https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
编者按:本文最初发表于Syntrio.com。2024 年 1 月,Mitratech收购了道德与合规培训、工作场所骚扰预防和匿名热线报告解决方案的领先供应商Syntrio。此后,我们对内容进行了更新,以反映我们扩展的解决方案产品、不断发展的合规法规以及道德与风险管理方面的最佳实践。
