文章分类
欧洲法院2020年7月16日的裁决(C-311/18,Schrems II)继续对全球数千家企业产生连锁反应,尤其是在欧洲,它仍在影响有关国际数据传输的政治辩论。有了新的欧盟-美国数据隐私框架,欧盟委员会希望在Schrems II裁决宣布隐私盾无效后,为将个人数据从欧盟转移到美国创造坚实的法律基础。
这篇专栏文章关注的是这一决定所产生的经济影响,以及另一项失败的欧盟-美国协议将产生的影响,并主张改变既定的界限。
回顾过去
法院裁决带来的法律状况长期以来一直在行业内引起困惑,并在如何处理国际数据传输方面存在许多不确定性。这种不确定性与隐私盾上的充分性决定的无效性这一直接可实施的方面关系不大。相反,它关注的是国际数据传输总体上更微妙的后果。根据裁决,即使在使用《通用数据保护条例》第46条第(2)款第(d)项含义内的标准合同条款的情况下,公司也需要评估其传输数据的国家的法律框架,并根据评估结果,实施保护数据主体权利和自由的补充措施。
法院没有就随后的问题、采取额外措施的必要性的诱因以及措施本身的性质作出任何明确的说明,因此必须通过实践来填补这一空白。
欧盟公司在世界各地都有联系。向欧盟以外国家的数据传输不仅对国际公司和全球销售市场发挥作用。小型公司也越来越多地将数据存储在云中,使用美国供应商的软件,使用国际通信供应商的社交网络和网络会议系统。亚洲各地也经常提供支持和IT安全服务。将任务外包给第三国外部服务提供商的公司通常需要传输员工数据才能完成任务。
数据传输是整个经济的重要组成部分,也是研究和科学不可或缺的,美国是传输数据的最重要目的地(见此处)。对德国和欧洲公司来说,数据传输的阻止甚至阻碍至少与供应链中断一样严重。
法院于2020年7月16日作出判决(C-311/18,Schrems II),宣布欧盟委员会关于向美国转移个人数据(欧盟-美国隐私盾)的充分性决定无效。根据《通用数据保护条例》第45条,法院认为美国的数据保护水平不够。它认为,对于情报部门要求交出在美国处理或传输到美国的欧盟公民个人数据的请求,缺乏适当的保障、可执行的权利和有效的法律补救措施。根据法院的说法,《隐私盾》中规定的监察员没有对情报部门提供足够的保护。
看现在
随着“隐私盾”被废除,没有宽限期,也看不到及时的解决方案,欧洲的公司不得不找到替代方法,使其(必要的)传输再次合法合规,并实施额外措施,以实现更安全的传输。幸运的是,尽管GDPR提供了其他合法保护数据流的手段,但实施工作、投资和流程变化都是巨大的。在某些情况下,非必要的传输被停止,公司被停止,提供商被更换——但总的来说,隐私盾的丧失表明了数据传输的重要性。如果数据传输本身只是一种“美好的体验”,那么没有一位业务主管、合规官、人力资源总监或产品设计师会花费数周甚至数月的时间、金钱和精力将数据传输转移到(在大多数情况下)标准合同条款上。Bitkom数据保护工作组为评估第三国数据传输和风险缓解措施的系统方法和工具工作了两年。特别是对中小企业来说,额外的一层法律和组织成本损害并减缓了它们现代化和创新的潜力。此外,核心业务流程在基于全球自由流动数据的系统上运行。数字化经济及其全球化的生产、研究机构的合作和全天候的安全支持系统始终需要法律上安全、稳定和具有成本效益的数据处理。许多企业目前正在使用标准合同条款作为一种法律机制,以符合GDPR的方式确保转让。签订个人合同、实施数百种不同的额外措施以遵守Schrems II在数千种不同组合中的裁决(与公司之间的个人合同协议有关)的努力是艰巨的。因此,在欧盟公司内部和与欧盟公司开展业务的障碍相当高,而且似乎越来越高,而不是变得更容易。尽管《通用数据保护条例》承诺建立一个统一的框架,以加强欧盟公司的竞争力,但现状表明,实际困难被认为过于繁重,无法加强欧盟单一市场(见此处)。
展望未来
鉴于Schrems II裁决的后果继续对全球互联经济产生巨大影响,新的欧盟-美国数据隐私盾可能会为欧盟和美国之间的数据流带来很大的稳定性、确定性和一致性。因此,迫切需要欧盟和美国间数据传输隐私盾的后续协议。目前必要的个案审查对欧洲市场、成千上万的企业,尤其是中小企业来说,仍然是一个巨大的负担。
拟议的欧盟-美国数据隐私框架是欧盟委员会和谈判桌上的美国同行之间辛勤工作、政治妥协和漫长讨论的结果。在法律专家以及数据保护和安全专家的投入和专业知识下,起草了一份协议,以解决法院提出的导致删除隐私保护盾的批评。基本的政治协议之所以成为可能,是因为拜登总统的一项行政命令调整了美国的法律框架。
然而,欧洲议会和其他利益攸关方关于新框架的声明表明,人们对国际数据传输的态度陷入僵局。在这场非事实辩论中,个人政策和意识形态被纳入辩论,越来越难以关注现实的法律要求和我们法律框架的实际可比性。尽管欧洲数据保护委员会对新框架下的改进表示欢迎,但无情的辩论已经危及人们对新协议的信心。因此,欧盟委员会应在未来几周内深入处理对《数据隐私框架》的具体批评,并详细解释新法规已经解决了这些问题。这将有助于消除人们的担忧,并有望防止法院进行进一步的诉讼。公司需要法律确定性,这样才能最终解除现有的数据封锁。
未来真正需要的是:改变沙子上的界限
如果新的欧盟-美国数据隐私框架再次被废除,公司、机构和数据保护当局将再次陷入非常不舒服的境地。然而,过去的情况表明,国际数据传输的必要性将使我们无法不找到新的法律方法来确保现有的传输并建立新的传输。无论有没有新的框架,欧盟和美国的数据传输都将停止,这简直是不可思议的。该框架的重要性尤其在于使转移更容易处理,尤其是对欧盟的中小企业来说,从而再次加强市场。它在传达欧盟和美国正在调整其市场和产业优先事项这一重要政治信息方面也具有很大的政治分量,因为我们的基本市场规则被认为是可比的,所以相互支持。
尽管新框架可以为成千上万的公司恢复稳定和安全,但欧盟真正应该开始努力的是为一个正常运作的全球框架制定想法。因为如果欧盟不尽快开始超越欧盟的市场和我们当前的跨大西洋困境,立法者和政治家将错过塑造欧洲公民和企业未来的机会。数据经济以及LLM(大型语言模型)和AGI(人工通用智能)等新技术的部署和使用需要一个有效的全球数据聚合、使用和交换框架。这种全球框架的必要作用和规则尚未确定,如果不符合欧盟的利益,将在其他地方制定。当前的立法趋势和国际条约表明,其他国际数据传输框架和规则已经在不断发展(七国集团全球数据传输与信任倡议等)。如果欧盟成员国希望确保其公民的经济和社会安全与进步,他们需要考虑建立机制,将GDPR的要求与其他全球数据传输工具联系起来并保持一致。
随着GDPR的转移机制受到七国集团内部事态发展的压力,全球CBPR论坛于2022年建立了促进全球数据流的多边合作,并打算建立全球跨境隐私规则、处理器系统的隐私承认、,2021年引入的东盟数据传输规则和条款,以及泛非与AfCFTA达成协议的可能性,欧盟需要转移重点,停止自我封闭,开始向外看。欧盟拥有最多的数据保护监管和转移机制经验,处于推动全球对话朝着正确方向发展的完美位置,倡导与GDPR框架保持一致的新机制,同时确保稳定的数据流,使欧洲经济能够发展,促进当局合作,同时保护公民的数据和隐私权。
- 登录 发表评论