欧洲数据监督机构在上周的里程碑式裁决中打击了用于跨大西洋个人数据传输的《欧美隐私盾牌》协定,并发布了最新的指导意见。欧洲数据保护委员会(EDPB)在一份关于Schrems II判决的常见问题中警告说,不会有监管宽限期。
《欧美隐私盾牌》协定已经被判定无效,任何仍然依靠它授权转移欧盟公民个人数据的公司都是非法的。“基于这个法律框架的转移是非法的。”EDPB直截了当地警告说。希望继续向美国转移个人数据的实体需要使用替代机制--但必须首先确定他们是否能满足保护数据不受美国监控的法律要求。
有哪些替代机制?标准合同条款(SCCs)并没有被欧盟法院的裁决宣告无效。约束性企业规则(BCRs)在技术上也仍然可用。但在这两种情况下,潜在的数据输出者必须进行前期分析,以确定他们是否能够在其特定情况下合法地使用这些工具来移动数据。
任何已经在使用SCCs将欧盟公民的数据转移到美国的人都不能免于进行评估--如果他们打算继续使用该机制,则需要通知相关监管机构。
这里对美国转移的摩擦在于,欧盟法院法官以美国监控法与欧盟隐私权发生根本性冲突为由,宣布《欧美隐私盾牌》无效。
“法院发现,美国法律(即第702条《外国情报监视法案》(FISA)和行政令12333)并没有确保基本等同的保护水平,”EDPB在回答(预期)常见问题时警告说。"我在美国的数据导入商那里使用SCCs,我应该怎么做?"
“你是否可以基于SCCs转移个人数据将取决于你的评估结果,考虑到转移的情况,以及你可以采取的补充措施。”能否利用SCCs将数据转移到美国,取决于数据控制者能否提供法律保证,即 “美国法律不会妨碍对转移数据的充分保护”。
如果欧盟与美国的数据输出者不能确信这一点,他们就必须终止数据传输。那些认为自己可以提供“适当的保障措施”的法律保证的人--因此打算继续通过SCC向美国传输数据--必须通知相关的数据监督机构。所以没有选择不通知监管机构而“照常进行”。
EDPB对此指出,这与BCRs的情况一样。"鉴于法院的判决,该判决宣布隐私盾牌无效,因为美国法律对数据被转移到第三国的人的基本权利造成了一定程度的干扰,而且隐私盾牌的设计也是为了给其他工具,如BCRs,带来保障,法院的评估也适用于BCRs,因为美国法律也会对这个工具有优先权。"
