6 分钟阅读时间 (1171 字)

欧盟法院裁定欧盟-美国隐私盾框架无效

八月

星期四，2020 年 8 月 20 日

2666 点击

0 评论

2020 年 7 月 16 日，欧洲联盟法院（CJEU）发布了备受期待的 Schrems II（《爱尔兰数据保护专员诉 Facebook 及 Schrems》[Irish Data Protection Commissioner vs. Facebook & Schrems]）案件裁决。

此案件和裁决将对从欧盟向美国转移数据的公司产生长期影响，因为裁决宣布了欧盟-美国隐私盾框架无效，但维持了标准合同条款（SCCs）。

在本文中，我们将讨论 GDPR 下的数据传输机制，此案件所做的裁决及其后果，以及根据此裁决更改您个人数据管理实践的建议。

GDPR 对个人数据传输有哪些义务？

通用数据保护条例（《GDPR》）是一部保护欧盟居民个人数据的隐私法律。该法律执行力度很强，有一套非常严格的义务，包括隐私政策、数据收集、个人权利和数据传输要求。GDPR 规定，个人数据向第三国或国际组织的传输只能在以下一般原则下进行：

委员会已确定第三国或国际组织确保转移的个人数据有适当的保护水平；或者
控制器或处理器已提供适当的保障措施，并且在此条件下，可执行的数据主体权利和有效的法律救济是可用的。此规定包括约束性公司规则、标准数据保护条款、行为准则、认证机制和 SCCs。

如果您无法满足上述条件，GDPR还规定了以下附加情况，允许个人数据传输：

数据主体明确同意拟议的数据传输；
数据传输对于执行合同或实施数据主体请求的合同前措施是必要的；
数据传输对于在数据主体利益相关的情况下，签订或执行合同是必要的；
数据传输对于重要的公共利益原因是必要的；
数据传输对于建立、行使或维护法律权利是必要的；
数据传输是为了保护数据主体或他人的生命攸关利益，而数据主体无法给予同意；或者
数据传输是从一个根据欧盟或成员国法律，旨在向公众提供信息且可供查阅的登记册中进行的。

如您所见，存在多种机制可以将个人数据从欧盟传输到第三国或国际组织。在美国，许多公司已经使用欧盟-美国隐私盾框架和SCCs来传输数据很长时间了。

欧盟-美国隐私盾框架是什么？

欧盟-美国隐私盾框架被创建和实施，作为公司从欧盟向美国传输个人数据的方法。2016年，欧洲委员会认为该框架符合GDPR第45条的规定，因此允许传输个人数据。隐私盾框架旨在保护欧盟居民在数据传输到美国时的基本隐私权。具体而言，隐私盾包括

对从欧盟接收个人数据的公司强加严格的数据保护义务；
对美国政府访问个人数据的保护措施；
对个人有效的保护和赔偿措施；以及
欧盟和美国每年联合审查，以监督安排的正确应用。

欧盟-美国隐私盾框架允许公司在完成评估程序后选择加入并获得其保护。想要在该框架下获得认证的公司必须满足以下要求

向个人告知数据处理；
提供免费且易于获取的争议解决；
与商务部合作；
维护数据完整性和目的限制；
确保对第三方传输的数据负责；
确保与执法行动相关的透明度；以及
确保在数据保留期间遵守承诺。

该框架在美国公司中相对受欢迎，已有超过5000个组织认证他们正在参与该框架。Schrems II决定将直接影响隐私盾框架列表上的所有组织。

施雷姆斯II决定如何影响欧盟-美国隐私盾框架？

施雷姆斯II案主张，Facebook将数据从爱尔兰传输到美国服务器违反了通用数据保护条例（GDPR）。施雷姆斯先生声称美国没有为个人数据提供足够的保护，并要求停止此类传输。欧洲法院对美国政府实施的监控实践进行了讨论，并发现根据隐私盾框架将个人数据传输到美国将使欧盟居民的隐私权受到威胁。具体来说，欧洲法院指出，美国公共机构能够根据监控项目广泛获取个人数据，并且隐私盾的调解员职能存在缺陷。因此，欧洲法院宣布隐私盾框架无效。这意味着美国公司不能再使用该框架接收来自欧盟的个人数据，而必须建立不同的传输机制以符合GDPR。

什么是标准合同条款以及它们受到影响如何？

标准合同条款是合同中的数据保护条款，允许将个人数据从欧盟传输到第三国或国际组织。这些标准条款旨在提供GDPR中固有的隐私和安全保障，包括数据主体的权利。使用标准合同条款将导致国际数据传输不违反数据主体的权利。施雷姆斯II案维持了标准合同条款用于数据传输的使用，但也警告公司不要在没有首先审查数据传输的所有情况下盲目使用标准合同条款。

欧洲法院表示，数据控制者必须核实接收数据的国家/地区法律是否确保根据欧盟法律提供充分保护。数据控制者还必须在任何传输之前核实，欧盟要求的保护水平是否得到第三方的尊重。现在任何使用标准合同条款进行数据传输的人都需要逐案审查这些传输，并需要成为或雇佣专家来了解某些政府如何保护隐私，这是一项不小的挑战。如果您无法确认即使在标准合同条款的情况下，数据主体也能得到充分保护，则数据传输必须停止。