Schrems II:前进的道路

在欧盟法院(CJEU)对“Schrems II”案的裁决之后,一些人想知道这对跨境数据传输意味着什么,以及它们是否仍然有效。经过更多的分析,它们仍然是完整的,但有一些警告。

自从欧盟法院(CJEU)在“施雷姆斯二世”案中做出裁决以来,已经过去了几个星期EU-U.S。隐私保护值得花点时间思考一下这个决定的意义和前进的道路。在该决定的直接后果中,一些人想知道这对跨境数据传输意味着什么,以及它们是否仍然有效,但经过更多的分析,它们仍然完好无损,只是有一些警告。与此同时,鉴于欧盟-美国关系的规模和重要性。贸易关系(总交易量超过7000亿美元),至关重要的是,我们必须团结起来,寻求持久的解决方案,帮助实现适当的数据传输,造福社会和经济。

在这一点上,有三件事仍然是正确的:

  • 转移到美国仍然是允许的。Privacy Shield之所以被否决,是因为担心美国法律对个人数据的保护,以及欧盟居民可能提出的潜在投诉。但是个人数据仍然可以被转移到美国。Privacy Shield是一个充分的决定:任何个人数据转移到美国都是有效的,只要转移到一家通过Privacy Shield认证的公司。相比之下,标准合同条款(scc)允许在指定公司之间进行转让,而具有约束力的公司规则(bcr)允许向公司集团进行转让。

  • 采用具体情况具体分析的方法进行管理。由于scc和bcr涉及特定公司之间或公司集团内部特定类型的个人数据的转移,因此必须根据具体情况分析其使用情况。美国政府获取数据的努力通常是针对面向消费者的服务。其他类型的数据,如人力资源数据,被政府寻求的可能性要小得多,因为华体会体育彩票全站它们不相关。事实上,许多公司多年来一直收到来自欧盟的数据,但从未收到政府对数据的要求。同样,可以评估每个公司对传输中的数据的保护(例如,使用强大的端到端加密)以及他们如何处理政府对数据需求的方法,以确定他们提供的保护。

  • 监管机构承认,并非所有的转移都是一样的。欧洲数据保护委员会(EDPB)最近的指导意见反映了这样一个事实,即不同类型的数据传输会带来不同的风险。EDPB写道关于“Schrems II”的常见问题解答公司必须“考虑到转移的情况,以及(他们)可能采取的补充措施”,并“在对转移的情况逐一分析后”,确定是否有足够的保护水平。传输的数据类型、实施的技术保护、接收方对政府数据要求的历史(或缺乏历史),以及政府对如何处理此类要求的承诺,都与该分析相关。

至关重要的是,大西洋两岸的政策制定者真诚合作,提出一个对双方都适用的框架。

前进

关键的问题是,我们要从这里走向何方。欧盟和美国已承诺将共同努力制定一个接替Privacy Shield的协议。工作日强烈支持至关重要的是,大西洋两岸的政策制定者真诚地合作,提出一个对双方都适用的框架。试图向一方或另一方施加压力,或使用贸易执法机制,只会导致立场的强硬和拖延。

鉴于欧洲法院的担忧,目前还很难说下一个协议会是什么样子。最终,任何新协议都将是欧盟与美国成功谈判的产物。谈判。作为这一努力的一部分,可以采取一些潜在的措施来缩小欧洲法院的裁决与美国做法之间的差距。例如,Privacy Shield设立的负责听取对不必要的数据访问的投诉的监察员可以被赋予更大的独立性,就像我们美国在政府中有独立的机构一样。监察员关于保护个人权利的调查结果同样可以具有约束力。现有的关于数据使用的行政保护可以编纂。可以加强对传输中的数据使用加密的要求。区别对待某些类别的个人数据——那些政府不太可能感兴趣的数据——可能会有所帮助。最终,这些或其他措施和保护的某种组合可以为从欧盟到美国的数据传输提供一个持久、可持续的机制

根据麦肯锡2014年,跨境数据流占全球GDP的2.8万亿美元,其重要性自那时起只增不减。同样,作为欧盟委员会指出美国在欧盟的总投资是美国在亚洲投资的三倍,欧盟在美国的投资是欧盟在印度和中国投资总和的八倍。在一个日益数字化的世界中,持续的跨境数据流动对我们密切的经济关系至关重要。因此,一个稳定的长期解决方案至关重要。

更多的阅读