People Intouch始终在提醒各个组织,在美国处理公司敏感数据时,会使这些数据受到美国当局(如司法部、国家安全局、国土安全部)的侵犯。欧盟法院本月对 Schrems II 案件的裁决结果证实了我们对于该问题的担忧,并强调了必须考虑在何地处理与不端行为有关的公司敏感数据。
7 月 16 日,欧盟法院在 Schrems II 案件的裁决中,宣布《欧盟-美国隐私保护盾框架》无效。《隐私护盾》是 5,000 多家公司按规定从欧洲向美国传输个人数据时所依赖的法律基础。此外,对于不依赖于《隐私保护盾》进行合规处理的公司来说,宣告无效将产生重大影响,因为该裁决强调了向美国传输个人数据以及充分保护此类数据时可能面临的困难。
《通用数据保护条例》 为欧盟内部的个人数据保护营造了全欧洲范围内的公平竞争环境。在欧盟外部传输个人数据应坚持同等(高)保护力度。为了适应欧盟以外的跨境数据传输,欧盟委员会针对具体国家提供了“充分性认定”(adequacy decision)。充分性认定包括实施法案和审查程序,包括尊重法治、诉诸司法以及遵守国际人权标准等标准。针对某个特定国家的充分性认定保障了向该国的国际数据传输。除了充分性认定之外,还可以通过签订《标准合同条款》(已由欧盟委员会通过,但目前还在审查中)或约束性公司规章等方式,来遵照 《通用数据保护条例》 进行数据传输。
《隐私保护盾》并不是欧盟委员会为向美国传输个人数据提供同等保护而设计的首个协议,其前身是 20 年前批准的《安全港框架协议》。《安全港协议》在 2015 年的Schrems I 案件中被欧盟法院裁决为无效,因为其缺乏与欧盟同等的对基本权利的充分保护。美国将国家安全、公共利益和执法置于保护个人数据的安全港原则之上。
欧盟委员会于 2016 年正式批准了《欧盟-美国的隐私保护盾》,将其视为《安全港协议》的改进版本。《隐私护盾》提供了自愿认证计划,各个公司可以报名参加。申请认证计划的公司必须具备相应资格,并承诺遵守《隐私护盾》原则。这些原则包括对于后续传输负责、数据完整性、访问权限和责任等。然而,7 月 16 日,欧盟法院裁定,《隐私保护盾》未提供充分的保护。具体来说,《隐私保护盾》并未充分保证被传输的个人数据免受美国监控计划的影响。此外,《隐私保护盾》未给予欧洲数据主体在美国的充分可执行权利和有效的法律救济。
欧盟法院的判决再次强调了向美国传输公司敏感数据时所面临的困难。由于《隐私保护盾》不再是国际数据传输的有效法律基础,依赖它的各个组织需要做出新的安排,以便继续遵守欧洲数据保护的高标准。如果他们想要继续在欧洲境外传输数据,就需要进行个案分析,以保护他们的数据。
如需欧盟法院对Schrems II案件判决的更多详细信息,请查看此处。