跨大西洋数据传输框架的第三次机会?马克斯施雷姆斯可不这么认为
第三次希望成功的跨大西洋数据传输框架?马克斯施瑞姆斯Max Schrems不这么认为
发布于 2023 年 7 月 28 日,作者 Glyn Moody
欧洲委员会刚刚采纳了一项新的 “适当性” 决策,以保持个人数据在欧盟和美国之间的流通。这一决策的风险极高:根据欧洲委员会的说法,数据流支持著每年近 一万亿欧元的跨境商业。根据欧盟的一般数据保护条例 (GDPR),个人数据不得从欧盟转移到其他国家,除非该国的隐私保护措施与 GDPR 提供的基本相当。没有适当的框架,这些数据流将被视为非法,任何进行数据传输的公司都将面临法律制裁的风险。
制定一个能在欧盟和美国之间提供充分隐私保护的数据传输框架证明极其困难。正如我们去年的报导,之前两次试图规范跨大西洋的数据流主要是从欧盟到美国均被欧洲联盟最高法院欧洲法院 (CJEU) 挡下。2015 年的 安全港 框架被废除,2020 年的 隐私盾 也随之而去。
根本问题在于 2013 年爱德华史诺登 (Edward Snowden) 揭露的 美国监控。美国希望出于国家安全目的继续进行监控,但 GDPR 表示欧盟的个人数据必须受到保护,以免遭到美国的大多数监控。新的数据隐私框架试图解决这两者之间的矛盾。其核心是一项由拜登总统签署的 行政命令 ,旨在“增强对美国信号情报活动的保障”。最近,国家情报总监办公室发布了 美国情报社区政策和程序,以实施行政命令中规定的隐私和公民自由保障措施。
当这项行政命令于去年发布时,像 BEUC 这样的组织由来自 32 个欧洲国家的 46 个独立消费者组织组成的联合组织指出,美国和欧盟在隐私与数据保护水平上存在根本差异,且这些问题在附加保障下仍然 未得到解决。
之后,两个重要的欧盟机构发表了他们的看法。欧洲数据保护委员会 (EDPB) 监督 GDPR 的实施,并 表达了担忧,提出对新框架在“数据主体的某些权利、后续转移、豁免范围、临时大规模数据收集及救济机制的实际运作”等方面的疑虑。欧洲议会对其可行性持更加怀疑的态度。在 5 月通过的一项决议中,欧洲议会认为:
欧盟美国数据隐私框架未能在保护水平上建立基本的相当性;呼吁 [欧盟] 委员会继续与美方 counterparts 进行谈判,以期建立一个确保此等相当性并提供欧盟数据保护法律及 CJEU 解释的宪章所需的充分保护机制;呼吁委员会在完全实施本决议和 EDPB 意见中的所有建议之前,不采纳适当性认定;
他们担心目前形式的数据隐私框架可能会在 CJEU 提起挑战,这将导致企业面临更多不确定性,而他们必须依赖它来确保其跨大西洋转移是被允许的。这一点似乎不可避免,因为打倒前两个框架的人 马克斯施瑞姆斯已明言这正是他 所计划的事:
我们已经为挑战准备了多种选择,虽然我们已经厌倦了这种法律乒乓 [在之前的成功挑战之后]。我们目前预计这将在明年年初再次回到法院。法院甚至可能在审查实质内容时暂时中止新协议。
与 BEUC、EDPB 和欧洲议会一样,施瑞姆斯认为新的 EUUS 数据隐私框架缺乏对欧洲公民所需的隐私保护。在 他对新框架的评价中,他详细说明了他认为不满意的原因,施瑞姆斯表示:
海豚加速器总体而言,新“跨大西洋数据隐私框架”是 2016 年隐私盾的翻版,而隐私盾又是 2000 年安全港的抄袭。考虑到这种方法之前已经失败两次,因此无法找到转变的法律依据拥有协议的唯一逻辑是政治。
施瑞姆斯及其组织发起的众多成功的 法律行动 意味著他很可能会继续提出这一新挑战。此外,他在推翻过去的框架及在 CJEU 赢得其他重要隐私战斗方面的卓越记录这些话题多次在 PIA 博客上讨论使得人们应该认真对待他对最新做法也将失败的看法。
这一第三次失败的后果将是深远的。这意味著许多将个人 EU 数据转移至大西洋彼岸的公司需要寻找其他方式,例如将所有相关个人数据储存在欧盟内部。各公司一直抗拒这样做,但他们很快可能别无选择。关于什么构成美国适当的隐私保护的争论已经持续了近十年,但尚未结束。在面对一万亿欧元的数据流时,这对美国和欧盟的企业意义重大。
特色图片由 Stable Diffusion 创建。
