施雷姆斯二:前进的道路

随着欧盟法院(CJEU)对“Schrems II”案的判决,一些人想知道这对跨境数据传输意味着什么,以及它们是否仍然有效。经过进一步的分析,它们仍然完好无损——但有一些警告。

现在距离欧盟法院(CJEU)在“施雷姆斯二世”案中做出裁决已经过去了几个星期,该判决推翻了欧盟的法律EU-U.S。隐私保护花点时间思考一下这个决定的意义和前进的道路是值得的。在这一决定的直接后果中,一些人想知道这对跨境数据传输意味着什么,以及它们是否仍然有效,但经过更多的分析,它们仍然完好无损——有一些警告。与此同时,考虑到欧盟-美国联盟的规模和重要性。贸易关系(总额超过7000亿美元),我们必须齐心协力,寻求持久的解决方案,以协助进行适当的数据传输,造福社会和经济。

在这一点上,有三件事仍然是正确的:

  • 转移到美国仍然是允许的。“隐私盾”案被否决,原因是担心美国法律对个人数据的保护,以及欧盟居民可能提出的投诉。但个人数据仍然可以转移到美国。Privacy Shield是一个充分的决定:任何转移到美国的个人数据都是有效的,只要转移到一家通过Privacy Shield认证的公司。相比之下,标准合同条款(SCCs)允许在指定公司之间转让,而约束性公司规则(BCRs)允许向公司集团转让。

  • 具体问题具体分析。由于scc和bcr涉及特定类型的个人数据在特定公司之间或在公司集团内部的转移,因此必须逐案分析其使用情况。美国政府获取数据的努力通常针对面向消费者的服务。政府查找其他类型的数据(如人力资源数据)的可能性要小得多,因为它华体会体育彩票全站们不相关。事实上,许多公司多年来一直收到来自欧盟的数据,但从未收到政府要求提供数据的要求。同样,每个公司对传输中的数据的保护(例如,使用强大的端到端加密)以及他们如何处理政府对数据的需求的方法可以被评估,以确定他们提供的保护。

  • 监管机构承认,并非所有的转移都是一样的。欧洲数据保护委员会(EDPB)最近的指导方针反映了不同类型的数据传输带来不同风险的事实。正如EDPB所写关于“Schrems II”的常见问题,公司必须“考虑到转让的情况,以及(他们)可以采取的补充措施”,并“在对围绕转让的情况逐案分析之后”确定是否有足够的保护水平。传输的数据类型、实施的技术保护、接收方在政府要求数据方面的历史(或缺乏历史),以及它将如何处理此类需求的承诺,都与分析有关。

至关重要的是,大西洋两岸的政策制定者必须真诚合作,制定出一个对双方都适用的框架。

前进

关键问题是我们将何去何从。欧盟和美国已经承诺合作推出“隐私盾”的后续版本。工作日强烈支持这些努力:至关重要的是,大西洋两岸的政策制定者真诚地合作,制定出一个对双方都适用的框架。试图向一方或另一方施压,或使用贸易执行机制,只会导致立场的强化和拖延。

考虑到CJEU的担忧,目前还很难说后续协议会是什么样子。最终,任何新的协议都将是欧盟和美国成功谈判的产物。谈判。作为这一努力的一部分,可以采取一些可能的步骤来缩小CJEU的决定与美国做法之间的差距。例如,Privacy Shield为听取有关不必要访问数据的投诉而设立的监察员可以被赋予更大的独立性,就像我们美国在政府上有独立的机构一样。监察员关于保护个人权利的调查结果同样可以具有约束力。现有的关于数据使用的行政保护可以被编纂。可以加强对传输数据使用加密的要求。区别对待某些类别的个人数据——那些政府不太可能感兴趣的数据——可能会有所帮助。最终,这些或其他措施和保护措施的某种组合可以为从欧盟向美国传输数据提供一个持久、可持续的机制

根据麦肯锡2014年,跨境数据流占全球GDP的2.8万亿美元,自那以后,跨境数据流的重要性只增不降。同样,作为欧盟委员会指出美国在欧盟的投资总额是美国在亚洲投资的三倍,欧盟在美国的投资是欧盟在印度和中国投资总和的八倍。在一个日益数字化的世界里,持续的跨境数据流动对我们密切的经济关系至关重要。因此,一个稳定的长期解决方案至关重要。

更多的阅读