欧盟委员会宣布了一项关于美国充分性的决定草案,为明年通过的替代欧盟-美国数据传输协议铺平了道路。
可以在此处下载欧盟-美国数据隐私框架 (DPF) 的充分性决定草案。
欧盟委员会的草案是多年来曲折的双边进程中的关键一步,欧盟执行机构和美国同行希望最终为欧盟个人数据的跨大西洋出口带来法律确定性——在早期协议被欧盟最高层宣布无效后,欧盟个人数据一直处于风险之中早在2020 年 7 月和2015 年 10 月,就欧洲隐私权与美国监视权之间的法律脱节问题向法院提起诉讼。
解决这种分裂一直是——而且仍然是——欧盟-美国数据传输的关键症结所在。这意味着任何关于跨大西洋数据传输的新协议无疑都将面临法律挑战,以检验这一根本冲突是否真的得到解决。
但是,在最后两项交易被欧盟法院 (CJEU) 撕毁之后,即使只是在纸面上达成替代协议,也是一项重大的努力和挑战。
昨天,欧盟司法专员 Didier Reynders 在一次Politico活动中表示,他希望新协议能在明年 7 月之前敲定——他认为新协议有“十分之七或八”的机会经受住法律挑战。因此,即使是委员会也不是 100% 的幸存者。
在今天宣布决定草案的同时发表的一份声明中,Reynders 说:
今天的决定草案是我与美国商务部长雷蒙多一起领导的与美国进行了一年多紧张谈判的结果。在过去的几个月里,我们评估了行政命令提供的有关个人数据保护的美国法律框架。我们现在有信心进入收养程序的下一步。我们的分析表明,美国现在采取了强有力的保障措施,以允许在大西洋两岸之间安全传输个人数据。未来的框架将有助于保护公民的隐私,同时为企业提供法律确定性。我们现在等待欧洲数据保护委员会、成员国专家和欧洲议会的反馈。
在另一份支持声明中,委员会负责价值观和透明度的副总裁 Věra Jourová 补充道:
我们与美国的会谈提出了一个框架,该框架将进一步提高传输到美国的欧洲人个人数据的安全性。它建立在我们多年来取得的良好合作和进步的基础上。未来的框架对企业也有好处,它将加强跨大西洋合作。作为民主国家,我们需要捍卫基本权利,包括数据保护。在日益数字化和数据驱动的经济中,这是必需的,而不是奢侈品。
许多科技巨头将密切关注事态发展——包括 Meta,由于长期存在的投诉仍在通过欧盟的通用数据保护条例 (GDPR),Meta 面临暂停其欧盟-美国数据传输的风险。执行程序(所以这是一场与时间的赛跑,看谁先到达);谷歌,其分析产品因非法传输个人数据而受到欧盟各地 DPA 的警告;和微软,其基于云的生产力套件365 正在接受德国 DPA 的 GDPR 审查,数据传输问题使该审查变得更加复杂,举三个引人注目的例子。
但传输问题当然涉及到成千上万依赖于将个人数据从欧盟出口到美国的公司,并且自 Privacy Shield 消亡以来一直处于法律困境。
欧盟和美国之间为取代最近失效的隐私保护协议而进行的谈判一直持续到今年3 月才达成政治协议,直到10 月美国总统乔拜登才签署行政命令 (EO) 以实施替代数据传输协议。
EO 的签署将接力棒交还给了委员会——现在它根据美国政府签署的文本(以及美国司法部长梅里克加兰发布的附带法规)制定了充分性协议草案,正如欧盟对此类交易的称呼),它将欧盟和美国 3 月份签署的原则性协议落实到美国法律中。
该过程的下一阶段是由其他欧盟机构审查决定草案,包括欧洲数据保护委员会 (EDPB) 和欧盟成员国委员会,以及欧洲议会成员的审查。然而,采用充分性的最终决定仅取决于委员会——因此今天的决定草案标志着在达成新协议的道路上迈出了重要一步。
“美国公司将能够通过承诺遵守一套详细的隐私义务来加入欧盟-美国数据隐私框架,例如,要求在不再需要用于收集数据的目的时删除个人数据,并在与第三方共享个人数据时确保保护的连续性,”委员会写道。 “如果欧盟公民的个人数据被违反框架处理,他们将受益于多种补救途径,包括在独立争端解决机制和仲裁小组面前免费。
“此外,美国法律框架对美国公共当局访问数据规定了一些限制和保障措施,特别是出于刑事执法和国家安全目的。这包括美国行政命令引入的新规则,该规则解决了欧盟法院在 Schrems II 判决中提出的问题:美国情报机构对欧洲数据的访问将仅限于必要和相称的范围以保护国家安全;欧盟个人将有可能在独立和公正的补救机制(包括新成立的数据保护审查法院)之前就美国情报机构收集和使用他们的数据获得补救。法院将独立调查和解决来自欧洲人的投诉,包括采取具有约束力的补救措施。”
“欧洲公司将能够依靠这些保护措施进行跨大西洋数据传输,在使用其他传输机制时,例如标准合同条款和具有约束力的公司规则,”委员会补充说。
话虽如此,重新达成的协议将持续多久还有待观察。
在 CJEU 将其废除之前,欧盟-美国隐私保护盾存在了不到四年。对同一问题的第三次挑战可能不会花那么长时间就可以达成高水平的法律清算。
在关于委员会决定草案公告的声明中,由 Max Schrems 创立的隐私和数字权利非营利倡导组织 noyb(其姓氏已成为成功挑战欧盟-美国数据传输交易的代名词)预测 DPF 将失败在 CJEU 面前。
“CJEU 要求 (1) 美国的监视在《基本权利宪章》(CFR) 第 52 条的含义范围内是相称的,并且 (2) 可以根据 CFR 第 47 条的要求获得司法补救。更新后的美国法律(第 14086 号行政命令)似乎无法满足这两个要求,因为它并没有实质性地改变以前适用的 PPD-28 的情况。有持续的“大规模监视”和一个不是真正法庭的“法庭”。因此,任何基于第 14086 号行政命令的欧盟‘充分性决定’都可能无法满足 CJEU 的要求,”noyb 在一份新闻稿中表示。
它根据美国行政命令的文本对双方原则性交易的分析是,变化“似乎相当小”,协议“在保护非美国人方面表现不佳”,因为它是这么说的——因此它预测第三笔交易也不会通过欧洲法院的审查。
施雷姆斯在一份声明中评论说:“我们将在未来几天详细分析决定草案。由于决定草案是基于已知的行政命令,我看不出它如何经受住法院的挑战。欧盟委员会似乎只是一遍又一遍地发布类似的决定——公然侵犯了我们的基本权利。”
尽管如此,并不是每个深入参与数据保护的人都对这种“第三次不那么不幸”的尝试敲定欧盟-美国数据传输协议感到失望。
汉堡的数据保护专员上个月就 EO 的内容发表了一个听起来有点正面的声明——欢迎美国特工活动将首次受到“比例限制性条款”的约束——也欢迎美国看似愿意(至少)限制政府数据收集的范围——同时也打击它所谓的对该协议的“下意识”批评。
但与此同时,它强调需要对该交易进行彻底审查,以确定是否存在关键要素——例如美国情报部门将如何解释“相称性”;以及数据保护法院的运作——实际上是否满足 CJEU 的要求。值得注意的是,它还将明确保留美国批量收集(又名“大规模监视工具”)这一事实描述为“有问题的”。
看看 EDPB 对 DPF 的看法肯定会很有趣。
委员会的反对——委员会确认已收到其决定草案,因此现在可以开始研究其意见——将高度表明未来存在法律问题。但是,如果 EDPB 做出更积极的裁决,情况当然会大不相同。
董事会发言人告诉我们,在此阶段不会发表声明。
她还表示,EDPB 就决定草案发表意见的时间表尚不清楚。 “目前,我们不能说这会是什么时候。 GDPR 没有规定最后期限,但欧盟委员会可以决定设定最后期限,”她补充说。
就 noyb 而言,它表示预计新协议不会在 2023 年春季之前敲定。一旦发生这种情况,它指出用户将能够通过国家和欧洲法院对 DPF 提出质疑——从而为新的监管设定新的时钟。风险。
委员会还将通过“定期审查”过程监督欧盟-美国数据隐私框架的运作,委员会将根据欧洲数据保护当局以及美国主管当局的意见自行进行。
“第一次审查将在充分性决定生效后一年内进行,以核实美国法律框架的所有相关要素是否已得到充分实施并在实践中有效运作,”它指出。
委员会还制作了一份简短的问答,提供有关其决定草案的更多细节。
欧盟确认Natasha Lomas最初在TechCrunch上发布的关于替换美国数据传输协议的决定草案
原文: https://techcrunch.com/2022/12/13/eu-us-data-privacy-framework-draft-decision/