欧盟和美国之间一项旨在解决因个人数据出口而产生的代价高昂的法律不确定性的闪亮新数据传输协议尚未到位,但欧洲议会的公民自由委员会预测即将出台的欧盟-美国数据隐私框架 (DPF) ) 将无法在法律挑战中幸存下来——就像它的两个前身 Safe Harbor( 安息:2015 年 10 月)一样;和 Privacy Shield( 安息:2020 年 7 月)未能打动欧盟法官。
在 LIBE 委员会昨天以 37 票赞成、0 票反对和 21 票弃权通过的决议中,欧洲议会议员称 DPF 是一项改进,但还远远不够。他们还预测,它很可能在未来被欧盟法院 (CJEU) 宣布无效。
事态发展是在 LIBE 于 2 月份提出的意见草案之后进行的,该草案也对该提案表示反对,并敦促委员会推动进行有意义的改革。
在该决议中,委员会认为拟议的安排并未为欧盟公民提供足够的保障,因为该框架在某些情况下仍允许批量收集个人数据;不使批量数据收集受到独立的事先授权;并且没有提供关于数据保留的明确规则。
欧洲议会议员还担心拟议的补救机制——所谓的“数据保护审查法庭”——会侵犯欧盟公民访问和纠正有关他们的数据的权利,因为决定将保密。他们还质疑它的独立性,因为美国总统可以解雇法官,而美国总统也可以否决它的决定。
“在该决议中,欧洲议会议员认为数据传输框架需要面向未来,并且充分性评估需要基于规则的实际实施,”议会新闻稿称,该委员会继续敦促委员会不要根据现行制度授予充分性,而是协商一个可能在法庭上搁置的数据传输框架。
LIBE 委员会报告员 Juan Fernando López Aguilar 在表决后发表声明说:
与以前的机制相比,新框架无疑是一个改进。但是,我们还没有。我们不相信这个新框架足以保护我们公民的个人数据,因此我们怀疑它能否经受住欧洲法院的考验。委员会必须继续努力解决欧洲数据保护委员会 [EDPB] 和公民自由委员会提出的担忧,即使这意味着重新开始与美国的谈判。
早在 2 月,EDPB 就该框架采纳了自己的意见——将该交易描述为对 Privacy Shield 的改进。但这个有影响力的指导机构也提出了一些它建议应该解决的问题,并获得了澄清,以“确保适当的决定能够持久”。
LIBE 委员会的投票是欧盟一般审查程序的一部分。尽管重要的是要注意,议员在 DPF 是否被采纳方面没有积极发言权——甚至 EDPB 也没有。关于充分性决定的最终决定权仅属于委员会。
与此同时,如果欧盟内部对计划中的替代框架的稳健性和可持续性提出质疑,那显然很尴尬。
整个欧洲议会也将通过未来的全体会议来表达观点,该会议将考虑 LIBE 委员会的决议。因此,看看议员们打破哪种方式将会很有趣。
DPF 是欧盟为解决欧盟隐私权与美国监控权之间的正面冲突而提出的最新高层出价,它通过插入另一个所谓的充分性决定来缓解欧盟-美国的数据流动。拟议的框架建立在早期(已失效)尝试的基础上,制定了一套旨在掩盖主要差异的新规定——例如声称“具有约束力的保障措施”以限制美国情报机构访问数据,包括引入以下概念:必要性和相称性;并承诺加强对间谍监视的监督。
如上所述,还将设立一个新的数据保护复审法院,该法院应该构成一个独立的补救机制,能够按照欧洲法官要求的标准解决欧盟公民的投诉。但批评者认为,从完整的法律意义上讲,这不是一个合适的法院,因此不会通过欧洲法院的审查。
有一点很清楚:现在简单的橡皮膏已经用完,这一次达成协议的时间要长得多。
委员会在一年多前就 DPF 原则上达成了协议。然后,美国总统乔·拜登用了大约六个月的时间签署了实施更换所必需的行政命令。虽然从欧盟宣布协议到达成协议草案已经差不多九个月了(大约在 EO 之后两个月)。那时,其他欧盟机构对草案的审查和审查程序已经启动,该程序仍在进行中。
(相比之下,欧盟-美国隐私护盾从2016 年 2 月宣布生效到7 月正式通过,并于同年8月初开始运行。然后 CJEU 仅用了四年多的时间就将其退役. 因此,对于立法者仓促行事和闲暇悔改,当然可以吸取教训。)
早在去年 4 月,委员会就表示,更换隐私盾的整个过程可能会在 2022 年底之前“完成”。如果完成意味着采用,那肯定是过于乐观了,因为我们已经进入 2023 年春季,而且这个过程正在隆隆作响在。
一些报道表明 DPF 在夏季之前不会被采用( 路透社援引未具名官员的话说它可能会在 7 月准备就绪)。
当被问及预计采用日期时,委员会发言人告诉 TechCrunch,由于该过程涉及多个利益相关者,因此无法提供准确的时间表。
他还规定,它正在“仔细”分析 EDPB 的意见,并在进入采纳过程的下一阶段之前努力解决其评论和澄清要求——这将需要寻求欧盟成员国代表委员会的批准。
委员会显然希望避免第三次打击的表面上的彩蛋——这可能解释了为什么采用时间比预期的要长。以及为什么要小心避免被指责忽视 EDPB 和其他人的担忧。
Meta 的欧盟-美国数据流在框架中
虽然欧盟委员会的错综复杂似乎是一个极其枯燥的主题,但当采用 DPF 时,会产生一个非常明显的后果。这是因为 Facebook 和 Instagram 的所有者科技巨头 Meta 正面临数据暂停令,这可能会迫使它切断其欧盟用户数据的出口。而且由于 Facebook 不是联合的,它可能被迫关闭对欧盟用户的服务以遵守命令。
早在2020 年秋季,爱尔兰的数据监管机构就为此发布了初步命令。之后,Meta 获准暂缓执行,并寻求司法审查——因此它设法推迟了一段时间。但它在2021 年 5 月的那项特定法律挑战中无路可走。然后于2022 年 2 月发布了修订后的决定草案。
Meta 的欧盟-美国数据流动的最初挑战取决于美国监控与欧盟隐私问题相同的核心问题——但投诉实际上可以追溯到斯诺登披露的那一年。因此,在这个问题上已经进行了大约十年的监管打地鼠,但仍然没有最终决定。
然而,从理论上讲,结局终于在望。
昨天, EDPB证实它已就此问题做出具有约束力的决定——这意味着最终决定必须由 Meta 的主要欧盟数据保护机构爱尔兰数据保护委员会 (DPC) 在一个月内发布。所以到五月中旬。
去年夏天,当欧盟数据保护当局对 DPC 的决定草案持不同意见时,这家社交媒体巨头勉强避免了较早的中断情况——启动了纳入《通用数据保护条例》(GDPR) 的争议解决程序,最终导致了 EDPB必须介入并做出有约束力的决定。
我们还不知道该决定说了什么,但鉴于初步命令是暂停,董事会似乎不太可能得出截然不同的结果。随着这个曲折的 GDPR 执法过程接近尾声,现在的问题是先发生什么:命令 Meta 关闭其欧盟-美国数据流——还是采用欧盟-美国 DPF?
后一种情况当然会为 Meta 提供一个新的逃生口来避免暂停订单。
然而,如果 DPF 在 DPC 的最终命令之前到达,则情况相同:该公司将利用高层框架来重申其完全符合欧盟规则的声明,并将罐头踢回原处(可能对许多人来说)年以上)。
但是,即使 Meta 暂停其数据流的命令首先出现,该公司也肯定会促使其所有当地律师寻找新的方法来推迟开刀。任何停止出口欧盟用户数据的监管命令的上诉都是肯定的。在上诉结果出来之前,它也可能会尝试暂停执行。尽管不确定法院是否会允许这样做。
不过,还有另一种可能性。 DPC 的最终决定可能会为 Meta 提供一段时间来关闭数据流——比如两三个月——这可能为其争取到足够的时间让 DPF 被采用,使其能够通过利用新框架重新启动其法律基础并再次摆脱关闭的威胁。
上个月,DPC 专员海伦·迪克森 (Helen Dixon) 向路透社承认,时间表“即将敲定”。
隐私观察者肯定会仔细审查这个问题,看看 Meta 是否会在很长一段时间内面临对数据传输的最终清算。或者,如果它抓住另一种方式来让监管者和立法者相互对立。
欧洲议会议员对Natasha Lomas最初在TechCrunch上发布的欧盟-美国数据传输协议草案表示担忧
原文: https://techcrunch.com/2023/04/14/dpf-libe-committee-concerns/