奧地利律師Max Schrems就Facebook將他的個(gè)人數(shù)據(jù)轉(zhuǎn)移到美國(guó)提起的第一起訴訟,推翻了安全港數(shù)據(jù)共享協(xié)議(Safe Harbor data sharing agreement)?,F(xiàn)在歐洲最高法院正在審查他對(duì)為此目的而使用的標(biāo)準(zhǔn)合同條款的投訴。
2013年,當(dāng)Max Schrems要求愛(ài)爾蘭數(shù)據(jù)保護(hù)專員阻止Facebook愛(ài)爾蘭分部將他的個(gè)人信息轉(zhuǎn)移到美國(guó)時(shí),他并沒(méi)有料到這會(huì)讓其他數(shù)千家企業(yè)的個(gè)人數(shù)據(jù)處理業(yè)務(wù)也面臨著法律風(fēng)險(xiǎn)。
Schrems2013年的投訴一路打到了歐盟最高法院,2015年,歐盟最高法院出人意料地否決了跨大西洋數(shù)據(jù)傳輸安全港協(xié)議。成千上萬(wàn)的企業(yè)曾以此為依據(jù),將客戶和員工的個(gè)人數(shù)據(jù)從歐盟輸送到美國(guó)進(jìn)行處理,但突然之間,它們不得不尋求其他的法律依據(jù),或者在歐盟內(nèi)部尋求數(shù)據(jù)托管和處理資源。
安全港的消亡
歐盟數(shù)據(jù)保護(hù)法規(guī)定,個(gè)人信息不能輸出到一個(gè)保護(hù)力度不及歐盟的國(guó)家?,F(xiàn)有的各種法律機(jī)制也擴(kuò)大了這種保護(hù)的范圍,包括對(duì)集團(tuán)內(nèi)部轉(zhuǎn)移具有約束力的公司規(guī)則,或歐盟委員會(huì)(European Commission)所批準(zhǔn)的標(biāo)準(zhǔn)合同條款。安全港協(xié)議就是其中之一——實(shí)質(zhì)上這只是一項(xiàng)聲明,只要企業(yè)遵守某些規(guī)則,歐盟委員會(huì)就認(rèn)為美國(guó)法律提供了足夠的保護(hù)。
在經(jīng)歷了數(shù)月的不確定性之后,它被Privacy Shield共享協(xié)議所取代。Privacy Shield是歐盟和美國(guó)政府之間達(dá)成的一項(xiàng)新協(xié)議,允許恢復(fù)跨大西洋數(shù)據(jù)的傳輸。
然而,事實(shí)證明,F(xiàn)acebook根本沒(méi)有依賴于安全港協(xié)議,而是依賴了標(biāo)準(zhǔn)合同條款來(lái)保護(hù)其在歐盟隱私法下的數(shù)據(jù)傳輸。
Schrems及時(shí)修改了他最初對(duì)Facebook處理他數(shù)據(jù)的投訴,將矛頭指向了標(biāo)準(zhǔn)合同條款。當(dāng)該投訴再次被提交到歐盟法院之際,外界猜測(cè),這也可能威脅其他企業(yè)向美國(guó)輸出個(gè)人數(shù)據(jù)的行為。
這個(gè)被稱為“Schrems II”的新案件預(yù)計(jì)要到2020年初才能做出判決,但7月9日的一次公開(kāi)聽(tīng)證會(huì)卻暗示了事態(tài)可能的發(fā)展方向。
有趣的是,Schrems并不是本案的原告,而是被告。原告是愛(ài)爾蘭的DPC,該公司對(duì)他和Facebook提起了訴訟,作為一種法律手段,目的是就他的投訴所引發(fā)的法律問(wèn)題進(jìn)行裁決。
問(wèn)題的關(guān)鍵在于,當(dāng)歐盟公民的個(gè)人數(shù)據(jù)在美國(guó)境內(nèi)時(shí),美國(guó)政府是否會(huì)對(duì)其進(jìn)行大規(guī)模的處理,或者說(shuō)這種形式的監(jiān)控是否符合歐盟隱私法,以及數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)合同條款是否為歐盟公民提供了充分的隱私保護(hù)。
靶心中的標(biāo)準(zhǔn)合同條款
Schrems和DPC一致認(rèn)為,美國(guó)的監(jiān)控法律侵犯了歐盟的基本隱私權(quán):而他們的分歧在于應(yīng)該如何應(yīng)對(duì)。Schrems希望DPC在標(biāo)準(zhǔn)合同條款沒(méi)有提供足夠法律保護(hù)的情況下停止個(gè)人數(shù)據(jù)傳輸;而DPC表示,它沒(méi)有這樣做的權(quán)力。
歐盟正試圖在這方面作出改進(jìn)。歐洲司法專員V?ra Jourová在6月13日表示:“我們已經(jīng)在致力于標(biāo)準(zhǔn)合同條款的現(xiàn)代化。這將使企業(yè)在簽訂處理服務(wù)合同時(shí)能夠更容易地共享數(shù)據(jù),無(wú)論是在歐盟內(nèi)部還是在國(guó)外。”
與此同時(shí),F(xiàn)acebook表示,它的數(shù)據(jù)傳輸并沒(méi)有問(wèn)題,因?yàn)闅W盟委員會(huì)已經(jīng)裁定,美國(guó)的監(jiān)控法律不會(huì)對(duì)歐盟公民的基本權(quán)利構(gòu)成威脅。
然而,隱私保護(hù)的充分性是法院正在考慮的另一項(xiàng)正在面臨法律挑戰(zhàn)的目標(biāo),這項(xiàng)挑戰(zhàn)來(lái)自一個(gè)法國(guó)非政府組織。
問(wèn)題是:如果歐洲法院導(dǎo)致以一個(gè)非常寬泛的視角來(lái)看待法國(guó)的這起案件或Schrems的第二起投訴,就像對(duì)待他的第一起投訴一樣,它也可能會(huì)導(dǎo)致廢除Facebook等公司使用的標(biāo)準(zhǔn)合同條款,以及Privacy Shield。
CIO們需要采取的行動(dòng)
那么,對(duì)于CIO和法律顧問(wèn)們來(lái)說(shuō),可能又要回到2015年了。在美國(guó)對(duì)歐盟公民個(gè)人信息的某些處理可能會(huì)在一夜之間被禁止,讓企業(yè)要么停止處理,要么找其他地方處理,或者對(duì)后果進(jìn)行賭博。
盡管還有時(shí)間,但CIO們需要弄清楚他們的組織掌握了哪些歐盟公民的個(gè)人信息,他們是否在歐盟之外處理著這些信息,以及他們對(duì)處理這些信息有什么權(quán)利或法律依據(jù)。樂(lè)觀的一面是,只要他們的組織遵守于2018年5月25日生效的歐盟一般數(shù)據(jù)保護(hù)條例(GDPR),他們應(yīng)該就已經(jīng)掌握了許多答案。
歐洲數(shù)據(jù)保護(hù)委員會(huì)也編制了一份簡(jiǎn)易的指南,介紹了GDPR第49條所提供的減損,這將幫助CIO們決定下一步該做什么。
某些情況下總是會(huì)允許對(duì)個(gè)人信息進(jìn)行一些處理,例如遵守向相關(guān)人員提供商品或服務(wù)的合同,或在有關(guān)人士同意資料轉(zhuǎn)移及已知悉有關(guān)的私隱風(fēng)險(xiǎn)的情況下進(jìn)行的處理。同樣,遵守GDPR的組織也將會(huì)有一個(gè)記錄,記錄他們可以在這些減損下轉(zhuǎn)移哪些數(shù)據(jù)。
而剩下的幾個(gè)月里,可能還需要準(zhǔn)備應(yīng)對(duì)一些永遠(yuǎn)不會(huì)發(fā)生的潛在數(shù)據(jù)災(zāi)難的技術(shù)對(duì)策。