首页 > CIO > 正文

跨大西洋数据传输所面临的最新挑战对IT来说意味着什么

2019-07-23 11:41:21  来源:企业网D1Net

摘要:奥地利律师Max Schrems就Facebook将他的个人数据转移到美国提起的第一起诉讼,推翻了安全港数据共享协议(Safe Harbor data sharing agreement)。现在欧洲最高法院正在审查他对为此目的而使用的标准合同条款的投诉。
关键词: CIO 数据传输
 奥地利律师Max Schrems就Facebook将他的个人数据转移到美国提起的第一起诉讼,推翻了安全港数据共享协议(Safe Harbor data sharing agreement)。现在欧洲最高法院正在审查他对为此目的而使用的标准合同条款的投诉。
 
 2013年,当Max Schrems要求爱尔兰数据保护专员阻止Facebook爱尔兰分部将他的个人信息转移到美国时,他并没有料到这会让其他数千家企业的个人数据处理业务也面临着法律风险。
 
 Schrems2013年的投诉一路打到了欧盟最高法院,2015年,欧盟最高法院出人意料地否决了跨大西洋数据传输安全港协议。成千上万的企业曾以此为依据,将客户和员工的个人数据从欧盟输送到美国进行处理,但突然之间,它们不得不寻求其他的法律依据,或者在欧盟内部寻求数据托管和处理资源。
 
 安全港的消亡
 
 欧盟数据保护法规定,个人信息不能输出到一个保护力度不及欧盟的国家。现有的各种法律机制也扩大了这种保护的范围,包括对集团内部转移具有约束力的公司规则,或欧盟委员会(European Commission)所批准的标准合同条款。安全港协议就是其中之一——实质上这只是一项声明,只要企业遵守某些规则,欧盟委员会就认为美国法律提供了足够的保护。
 
 在经历了数月的不确定性之后,它被Privacy Shield共享协议所取代。Privacy Shield是欧盟和美国政府之间达成的一项新协议,允许恢复跨大西洋数据的传输。
 
 然而,事实证明,Facebook根本没有依赖于安全港协议,而是依赖了标准合同条款来保护其在欧盟隐私法下的数据传输。
 
 Schrems及时修改了他最初对Facebook处理他数据的投诉,将矛头指向了标准合同条款。当该投诉再次被提交到欧盟法院之际,外界猜测,这也可能威胁其他企业向美国输出个人数据的行为。
 
 这个被称为“Schrems II”的新案件预计要到2020年初才能做出判决,但7月9日的一次公开听证会却暗示了事态可能的发展方向。
 
 有趣的是,Schrems并不是本案的原告,而是被告。原告是爱尔兰的DPC,该公司对他和Facebook提起了诉讼,作为一种法律手段,目的是就他的投诉所引发的法律问题进行裁决。
 
 问题的关键在于,当欧盟公民的个人数据在美国境内时,美国政府是否会对其进行大规模的处理,或者说这种形式的监控是否符合欧盟隐私法,以及数据传输的标准合同条款是否为欧盟公民提供了充分的隐私保护。
 
 靶心中的标准合同条款
 
 Schrems和DPC一致认为,美国的监控法律侵犯了欧盟的基本隐私权:而他们的分歧在于应该如何应对。Schrems希望DPC在标准合同条款没有提供足够法律保护的情况下停止个人数据传输;而DPC表示,它没有这样做的权力。
 
 欧盟正试图在这方面作出改进。欧洲司法专员V?ra Jourová在6月13日表示:“我们已经在致力于标准合同条款的现代化。这将使企业在签订处理服务合同时能够更容易地共享数据,无论是在欧盟内部还是在国外。”
 
 与此同时,Facebook表示,它的数据传输并没有问题,因为欧盟委员会已经裁定,美国的监控法律不会对欧盟公民的基本权利构成威胁。
 
 然而,隐私保护的充分性是法院正在考虑的另一项正在面临法律挑战的目标,这项挑战来自一个法国非政府组织。
 
 问题是:如果欧洲法院导致以一个非常宽泛的视角来看待法国的这起案件或Schrems的第二起投诉,就像对待他的第一起投诉一样,它也可能会导致废除Facebook等公司使用的标准合同条款,以及Privacy Shield。
 
 CIO们需要采取的行动
 
 那么,对于CIO和法律顾问们来说,可能又要回到2015年了。在美国对欧盟公民个人信息的某些处理可能会在一夜之间被禁止,让企业要么停止处理,要么找其他地方处理,或者对后果进行赌博。
 
 尽管还有时间,但CIO们需要弄清楚他们的组织掌握了哪些欧盟公民的个人信息,他们是否在欧盟之外处理着这些信息,以及他们对处理这些信息有什么权利或法律依据。乐观的一面是,只要他们的组织遵守于2018年5月25日生效的欧盟一般数据保护条例(GDPR),他们应该就已经掌握了许多答案。
 
 欧洲数据保护委员会也编制了一份简易的指南,介绍了GDPR第49条所提供的减损,这将帮助CIO们决定下一步该做什么。
 
 某些情况下总是会允许对个人信息进行一些处理,例如遵守向相关人员提供商品或服务的合同,或在有关人士同意资料转移及已知悉有关的私隐风险的情况下进行的处理。同样,遵守GDPR的组织也将会有一个记录,记录他们可以在这些减损下转移哪些数据。
 
 而剩下的几个月里,可能还需要准备应对一些永远不会发生的潜在数据灾难的技术对策。

第三十届CIO班招生
法国布雷斯特商学院硕士班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:yangjl