美国总统乔·拜登(Joe Biden)签署了一项行政命令,以重新签署与欧盟的旗舰数据传输协议——目标是让需要将欧盟用户数据出口到美国进行处理的企业的生活更轻松。
白宫今天在一份声明中宣布了这一进展——称“关于加强美国信号情报活动保障措施的行政令”将“指导美国将采取的步骤”,以履行其在欧盟-美国数据隐私框架下的承诺(欧盟-美国 DPF),因为新的安排被称为。
新框架旨在取代已失效的欧盟-美国隐私盾(欧盟最高法院早在2020 年 7 月就将其无效);及其寿命更长的前身安全港(在 2013 年美国国家安全局举报人爱德华·斯诺登披露美国政府监视计划后, 于 2015 年 10 月被欧洲法院击落)。
因此,这是另一个(第三次幸运?)尝试弥合两个截然不同的法律框架之间的差距,以确保欧盟用户的个人数据可以继续在池塘中流动。
成千上万的企业,无论大小,都依赖早期的欧盟-美国数据传输协议来授权他们的数据出口——为白宫所谓的 7.1TR 欧盟-美国“经济关系”的管道加油。
但在过去的两年里,基本上没有无风险的合法途径。仍然没有。
尽管欧盟对拜登签署 EO 的回应是,它现在将着手起草一项充分性决定并启动通过程序。
“信号情报的保障措施”
白宫新闻稿称,拜登总统的行政命令加强了对美国“信号情报”(即间谍机构进行的数字监视)的保护,“要求此类活动仅在追求明确的国家安全目标时进行”; “考虑到所有人的隐私和公民自由,无论其国籍或居住国如何;并且“仅在必要时进行,以推进经过验证的情报优先级,并且仅在与该优先级相称的程度和方式下进行”。
EO 还规定了对通过信号情报收集的个人数据的“处理要求”,并加强对违规行为的执法。根据新闻稿,美国情报界的成员也将被要求更新他们的政策和程序,以反映“EO 中包含的新隐私和公民自由保护措施”。
另一个变化是为在欧盟的欧盟个人创建“多层”补救机制,以就其个人数据的收集违反适用的美国法律的主张获得“独立和有约束力的审查和补救”。
这包括——在第一层——国家情报局局长办公室的一名公民自由保护官(CLPO),他将对“收到的合格投诉”进行初步调查,以确定是否存在违规行为,如果是这样,确定适当的后续步骤。
“EO 通过确定 CLPO 的决定将对情报界具有约束力,接受第二层审查,并提供保护以确保 CLPO 调查和决定的独立性,从而建立了现有的法定 CLPO 职能,”白宫写道。
第二层需要 EO 授权并指示总检察长建立数据保护审查法院 (DPRC),以“根据个人或情报界成员的申请,对 CLPO 的决定进行独立且具有约束力的审查”。
很大程度上取决于这个机构是否会被适当地判断为“足够法庭”——根据欧盟法律——因此有能力维护和捍卫欧盟公民的权利。
白宫写道:“民主党的法官将从美国政府之外任命,在数据隐私和国家安全领域具有相关经验,独立审查案件,并享有免遭驱逐的保护。” “DPRC关于是否违反适用的美国法律的决定,如果是,将实施何种补救措施将具有约束力。
“为了进一步加强 DPRC 的审查,EO.规定 DPRC 在每个案件中选择一名特别辩护人,他将就申诉人对此事的利益进行辩护,并确保 DPRC 充分了解有关问题和法律对此事。司法部长今天发布了有关成立民主委员会的相关规定。”
EO 还呼吁(现有)美国隐私和公民自由监督委员会审查美国间谍机构的政策和程序,以确保与命令要求的一致;并对补救过程进行年度审查,包括检查情报机构是否完全遵守了 CLPO 和 DPRC 的决定。
“这些步骤将为欧盟委员会通过新的充分性确定提供基础,这将恢复欧盟法律规定的重要、可访问且负担得起的数据传输机制。它还将为使用标准合同条款和具有约束力的公司规则将欧盟个人数据转移到美国的公司提供更大的法律确定性,”白宫建议道。
在回应签署的 EO 时,委员会表示它包含与 Privacy Shield 机制相比的“重大改进”。
“当时,个人可以求助于监察员,它是美国国务院的一部分,没有类似的调查或具有约束力的决策权,”它在新闻稿中指出。
“委员会在这些谈判中的目标是解决欧盟法院在Schrems II判决中提出的担忧,并为跨大西洋数据流动提供持久和可靠的法律依据。这反映在行政命令中包含的保障措施中,涉及对美国国家安全当局访问数据的实质性限制(必要性和相称性)以及建立新的补救机制,”它补充说。
早在 3 月,关于新的欧盟-美国数据传输协议的政治协议就高调宣布了。
欧盟专员最初建议该过程可能在今年年底前完成。然而,事情的进展似乎比最初预期的要慢——所以现在看来,所有必要的步骤都不太可能及时完成,以便在 2023 年之前采用该框架。
采用前欧盟审查
随着拜登在行政命令上的墨迹干涸,接力棒现在传回欧盟,以考虑该框架是否通过召集。
许多欧盟机构将参与审查该框架,包括欧洲数据保护委员会和成员国(以及欧洲议会)的代表,尽管最终决定权仅由委员会决定。
并且欧盟的执行官可以——而且经常这样做——推翻审查过程中提出的担忧(因此,尽管在隐私盾采用之前提出了很多反对意见,但在最近的例子中,已经有两次罢工了……)。
欧盟行政部门和美国政府都希望新框架能够坚持下去,并且——理想情况下——证明足够强大,足以应对任何法律挑战。但即使它只在短期内(几年)存在,普遍的观点可能是“修复”就足够了——因为它允许跨境数据流“一切照旧”,让双方立即摆脱约束贸易相关数据流的合法性。
包括 Facebook 和谷歌在内的科技巨头也将迅速摆脱 DPF 的束缚,因为这两家公司的业务和服务该地区客户的能力都面临着中断。
Facebook 在今年夏天勉强避免了即将关闭其欧盟-美国数据流的情况——此前有人反对一项监管决定草案,要求暂停这些数据流,从而为该过程增加了几个月的时间(如果它有足够的时间完全避免关闭,欧盟采用 DPF)。所以现在是一场比赛,看什么先落地:DPF 或 Facebook 下令关闭欧盟到美国的数据流。
在针对谷歌分析用户的大量投诉之后,谷歌也面临着对客户的干扰,这导致最近几个月,一些欧盟 DPA警告不要在其标准配置中使用该工具——称这种使用违反了欧盟的一般规定需要采取数据保护条例和补充措施,将数据保护标准提高到要求的水平。
当然,数以千计的小型企业也需要围绕其跨境数据流的法律确定性。各行各业的科技行业协会都迅速对 EO 的签署表示欢迎,并敦促欧盟迅速采用。
一个行业组织——自称为改革政府监督联盟(其成员包括亚马逊、苹果、Dropbox、Evernote、谷歌、Meta、微软、Snap Inc.、Twitter、雅虎(TC 的母公司)和 Zoom)发表声明——欢迎签署了 EO 以及他们称之为“强大的新隐私保护”。然而,尽管这个名字带有如此改革热情的氛围,行业游说团体并没有呼吁对美国的监视做法进行更多的根本性改变,而是提供了一个讨人喜欢的说法:“我们认可并赞赏美国政府最终确定了框架的实施。”
对 EO 签署的其他回应则不那么受欢迎。
欧洲消费者组织 BEUC 在一份声明中警告称,“尽管美国方面提出了额外的保障措施,但美国和欧盟在隐私和数据保护水平方面仍存在根本差异,这些差异仍然太大而无法弥补。建立”——并敦促数据保护当局“严格审查任何新的数据传输协议”。 “没有人想要更多的法律不确定性,”它补充道。 “我们需要一个持久的解决方案,以确保消费者可以相信他们的数据无论走到哪里都是安全的。”
虽然律师和欧洲隐私权活动家马克斯·施雷姆斯(Max Schrems)早期的法律挑战推翻了隐私盾和安全港,但他警告说,该协议看起来像是一个骗局——例如,暗示双方已同意使用一些相同的词,但没有就这些条款的含义达成一致,并认为因此可能会在法律审查下陷入困境。
“欧盟和美国现在同意使用‘相称’这个词,但似乎在其含义上存在分歧。最终,欧洲法院的定义将占上风——很可能再次扼杀欧盟的任何决定。欧盟委员会再次对美国法律视而不见,以允许继续对欧洲人进行间谍活动,”他在一份反应声明中说,并补充说:“我们将详细分析这个一揽子计划,这将需要几天时间。乍一看,核心问题似乎没有解决,迟早会回到欧洲法院。”
Schrems 还指出 EO 建立的补救机构不是一个真正的法院——他说这也可能是一个问题。
“我们必须详细研究该提案,但乍一看,很明显,这个‘法庭’根本不是法庭。 《宪章》对‘司法补救’有明确要求——只是将一些投诉机构更名为‘法院’并不能使其成为真正的法院,”他说。 “程序的细节也将与是否符合欧盟法律有关。”
“令人惊讶的是,欧盟和美国实际上同意窃听需要合理的理由和司法批准。然而,美国认为外国人没有隐私权,”施雷姆斯补充道。 “如果非美国人在他们的法律下没有权利,我怀疑美国作为世界云提供商的未来。与我矛盾的是,欧盟委员会正在制定一项协议,承认欧洲人是‘二等’公民,不应享有与美国公民相同的隐私权。”
当/如果 DPF 被委员会通过——最有可能在明年——法律挑战仍然很有可能,因为美国以国家安全为重点的监视法与欧盟基本隐私权之间的根本冲突仍未消失。
法律专家一旦掌握了文本,肯定会详细研究 EO。
“从概况介绍:与 2016 年相比,这是一个坚实的改进。但我也希望看到 EO [文本],”位于华盛顿的智库隐私论坛的未来全球隐私副总裁 Gabriela Zanfir-Fortuna 博士,告诉 TechCrunch — 提供快速的第一反应。
她还指出了白宫新闻稿中的一句话——美国在其中谈到了“符合条件的国家”,称这些国家将“根据 EO 指定”,这意味着美国将自己决定——假设它可能正在“考虑某种形式的互惠”在国家安全领域。
如果新一轮的数据传输诉讼开始,这当然会让欧洲隐私活动家和数据保护律师在未来几年忙碌。
不过,他们现在仍然很忙,因为欧盟用户的数据存储在哪里(以及如何)的问题仍然是企业将其出口到美国等缺乏欧盟充分性的第三国的担忧——在欧盟实施监管的前景十分广阔。同时。
如果这个“第三次幸运”的框架倒塌,再次重新启动数据传输投诉周期,进一步的监管打击也将是不可避免的。因此,我们都可以期待很快就会回到新的法律困境中。
拜登总统签署行政命令,旨在合法重启由Natasha Lomas最初在TechCrunch上发布的欧盟-美国数据流
原文: https://techcrunch.com/2022/10/07/eu-us-data-privacy-framework-executive-order-signed/