今天,欧洲法院(CJEU)无效美国-欧盟安全港框架,立即生效。这一重大决定危及了数据从欧洲流向美国的持续流动。因为安全港框架已经存在了15年4500多家公司在其参与者中,今天的裁决将对美国与欧盟的贸易产生重大影响,并让许多企业怀疑,是否有任何替代方案可以让它们继续在不违反法律的情况下跨越大西洋传输数据。在这篇文章中,我们将分析这个决定及其含义。

什么是安全港?

欧盟(eu)数据保护指令禁止向欧洲经济区(EEA)以外的国家转移个人资料,除非该国家已采取足够的资料保护措施。虽然一些非欧洲经济区国家——如阿根廷、加拿大、以色列和瑞士——被认为提供了充分的数据保护,但在欧盟决策者看来,美国的数据保护法律仍然不够。这意味着,那些希望将个人数据从EEA转移到美国的人,必须越过更多的障碍,以确保根据指令转移是合法的。鉴于美国和欧洲之间的贸易额,这种情况自然不太理想。

进入安全港框架(Safe Harbor framework),该框架旨在促进欧洲经济区与美国之间的数据传输。美国公司可以自我证明自己遵守了安全港框架(Safe Harbor framework),这实质上相当于公开证明自己遵守了某些欧洲隐私标准。一旦一家公司自我认证并成为安全港计划的一部分,该公司就可以合法地接收从EEA向美国出口的个人数据。因此,“安全港”计划为美国公司提供了一种相对轻松的方式,以遵守欧洲隐私法,并维护至关重要的个人数据从欧洲大部分地区流向美国和许多美国公司188bet金博宝依赖在计算机上进行数据传输。

这个决定是如何产生的?

自从爱德华•斯诺登(Edward Snowden)披露美国在世界各地的监控范围和范围以来,美国的数据保护法律一直受到欧洲越来越多的审查。然而,CJEU将这一决定作为所谓的“马克斯Schrems”的情况。施雷姆斯是奥地利公民、隐私维权人士和Facebook用户,他向爱尔兰数据保护专员投诉,要求专员禁止Facebook将他的个人数据转移到美国。施雷姆斯表示,斯诺登的爆料表明,美国没有充分保护个人数据不受美国国家安全局监视活动的影响。专员拒绝调查投诉,理由是欧洲委员会第2000/520号决定- 其中规定了安全港隐私权原则 - 表示,美国提供足够的隐私保护。施雷姆斯然后挑战爱尔兰高等法院的决定。高等法院指出,一些美国联邦机构以违反爱尔兰隐私法进行个人数据的广泛监督,并认识到施雷姆斯有效地在挑战五百二十零分之二千决定的合法性和安全港框架。188bet金博宝The High Court then stayed the case while asking the CJEU to determine whether the Commissioner could investigate a claim that a particular country’s data protection laws were inadequate when presented with evidence supporting that theory, even if there already was a decision (such as Decision 2000/520) holding that that country’s data protection laws were adequate. In today’s decision, the CJEU answered that question in the affirmative, holding that:

国家监管当局提出的索赔,当听到一个人关于保护他的权利和自由的个人数据的处理有关,必须能够检查,完全独立,传输的数据是否符合规定要求欧盟数据保护[D] irective。

见¶57.欧盟法院澄清说,尽管专员可以调查施雷姆斯要求,无论是局长还是高等法院可能一个无效委员会的一项决定;只有欧盟法院可能会采取行动。

CJEU继续分析了2000/520号决议,认为它是无效的。CJEU发现,安全港项目没有充分保护个人数据不受美国政府“基于国家安全和公共利益的要求”的“干扰”。参见注释87。由于欧盟法律只允许在“严格必要”的情况下访问个人数据,而法院将美国法律描述为允许在更广泛的基础上访问个人数据,CJEU发现第2000/520号决定没有遵守指令的要求,因此是无效的。

这是什么决定的潜在影响?

的潜在影响显著,考虑使用的安全港框架,以欧洲人的个人资料依法转让给美国企业的数量。这不只是大型高科技公司,需要进行定期的跨大西洋数据传输:例如,让员工在欧洲可能需要公司对这些员工的个人数据传送到美国的人力资源的目的。同样,收集他们的欧洲客户的个人数据的公司可能需要在今天的决定的光,以评估他们的需求。

在没有安全港的情况下,公司如何继续传输数据?

尽管围绕这一决定报警,还有其他的方式为美国企业转移数据符合欧盟的隐私法律。188bet金博宝在安全港虽然比更加繁重自认证,无论是结合公司规则模型的合同可用于实现合法的数据传输。此外,数据保护指令允许数据转移,如果数据主体明确同意转移,尽管这一选项不赞成一些欧盟数据保护当局和有限的应用。

然而,需要注意的是,这些数据导出选项的可行性因公司和公司的不同而有所不同,这是非常重要的。例如,模范合同仅适用于公司(而不是个人)向美国输出数据的交易。如果从个人数据主体导入数据,公司应确定这些个人是雇员还是客户,因为与客户相比,获得员工明确的同意转移数据更困难,从而使该选择对导入员工数据的公司不那么有吸引力。除了评估他们自己的做法,公司需要重新评估他们与第三方供应商的关系,他们已经将个人信息转移给了在安全港项目中参与的一方或双方。

不过,许多依赖避风港的小公司可能没有资源利用避风港以外的其他选择。对他们来说幸运的是,美国和欧盟当局正在共同努力,制定一项新的安全港协议,尽管尚不清楚该协议何时会最终敲定。

今天的决定的真正影响仍有待观察,并将在未来几周和几个月发挥作用。请务必查看这里的更新。