欧洲就修复国际数据传输提出建议,这对Facebook来说并不是什么安慰

2020-11-12 02:08:59

欧洲数据保护委员会(EDPB)的建议侧重于数据控制者可能采取的措施,以补充另一种转移机制的使用:所谓的标准合同条款(SCC),以确保他们遵守欧盟的一般数据保护条例(GDPR)。

关于补充转移工具以确保符合欧盟保护个人数据水平的措施的建议现在可以在这里获得:https://t.co/agY2BHZVku有关数据出口商需要采取的不同步骤的快速概述,请查看信息图:pic.twitter.com/sYTMdNgBkn。

与隐私盾牌不同的是,SCC没有被法院推翻,但它们的使用仍然笼罩着法律的不确定性。法院明确表示,只有在欧盟公民的数据安全得到保障的情况下,才能依靠SCC进行国际转移。它还表示,欧盟监管机构有责任在怀疑数据流向不安全的地方时进行干预-这意味着将数据转移出欧盟的选择既减少了数量,又增加了复杂性。

有一家公司表示正在等待EDPB的指导意见,那就是Facebook。它已经面临停止向美国转移欧盟用户数据的初步命令。该公司在寻求对其数据保护监管机构的程序进行司法审查之际,向爱尔兰法院请愿,要求获得暂缓执行。它还拿出了游说大人物-前英国副首相和前欧洲议会议员尼克·克莱格(Nick Clegg)-试图就这一问题向欧盟立法者施压。

最有可能的是,这家科技巨头希望“隐私盾牌2.0”(Privacy Shield 2.0)能被拼凑起来,并落实到位,以填补欧盟基本权利和美国监控法之间的差距。

但欧盟委员会警告称,这一次不会有快速解决方案。

美国监控法的修改被认为是必要的,这意味着在拜登政府明年上台之前,发生任何事情的可能性为零。因此,围绕欧盟-美国转移的法律不确定性至少将延续到明年。(Politico暗示,2021年上半年不太可能达成新的数据协议。)。

与此同时,欧盟监管机构知道,他们有法律义务在数据面临风险时进行干预。与此同时,针对正在进行的欧盟-美国数据转移的法律挑战也在不断增加。

EDPB在一份执行摘要中警告称:“GDPR第46条提到的标准合同条款和其他转让工具不会在真空中运行。”“法院规定,作为出口商的管制员或加工商有责任在个案基础上,并酌情与第三国的进口商协作,核实第三国的法律或实践是否影响到”普遍定期审议转让工具“第46条所载适当保障措施的有效性。

“在这些情况下,法院仍有可能让出口商实施补充措施,填补保护方面的这些空白,使其达到欧盟法律要求的水平。”最高法院没有具体说明这些措施可能是什么。然而,法院强调,出口商将需要在个案的基础上确定它们的身份。这与“个人资料披露条例”第5.2条的问责性原则相符,该条文规定控权人须对个人资料的处理负起责任,并能证明控权人遵守有关处理个人资料的准则。“。

EDPB的建议为数据出口商列出了一系列步骤,以确定他们的特定转移是否符合欧盟的数据保护法,这是一项复杂的任务。

它所建议的程序的基本概述是:步骤1)绘制所有预期的国际转让地图;步骤2)核实你想要使用的转让工具;步骤3)评估目的地第三国的法律/实践中是否有任何“可能影响你所依赖的转让工具的适当保障措施的有效性”,正如它所说的那样;步骤4)确定并采取补充措施,使保护水平达到与欧盟法律的‘基本等同’水平;(4)确定并采取补充措施,使保护水平达到与欧盟法律‘基本等同’的水平;(2)确定并采取补充措施,使保护水平达到与欧盟法律‘基本等同’的水平;(4)确定并采取补充措施,使保护水平达到与欧盟法律‘基本等同’的水平;步骤5)采取采取补充措施所需的任何正式程序步骤;步骤6)定期重新评估数据保护水平并监测任何相关进展。

简而言之,这将涉及大量工作--以及正在进行的工作。戴利:你保护欧洲用户数据安全的职责永远不会完成。

此外,经济及社会保障局清楚表明,很可能不会有任何补充措施,以涵盖某项在法律上享有荣誉的转让。

报告警告称:“你最终可能会发现,任何补充措施都无法确保对你的特定转移提供基本同等水平的保护。”他说:“在没有适当的补充措施的情况下,你必须避免、暂停或终止转移,以免影响对个人资料的保障。”你还应该尽职尽责地对补充措施进行评估,并将其记录在案。“。

EDPB表示,在补充措施可以满足要求的情况下,这些措施可能具有“合同、技术或组织性质”--或者,实际上,是这些性质中的一部分或全部的组合。

报告指出:“以相互支持和加强的方式将各种措施结合起来,可能会提高保护水平,因此可能有助于达到欧盟标准。”

然而,它也相当明确地指出,技术措施很可能是对抗外国监视构成的威胁的最强有力的工具。但这反过来又意味着,可以利用的商业模式必然会受到限制--例如,在美国,任何想要解密和处理数据的人(嗨,Facebook!)。在这里找不到太多安慰。

该指导意见还包括一些样例情景,建议采取补充措施,使国际转让合法化。

例如,在第三国存储数据,在目的地无法访问解密数据,密钥由数据输出者持有(或由欧洲经济区或被认为对数据有足够保护水平的第三国的可信实体持有);或转移假名数据-因此个人不能再被识别(这意味着确保数据不能被重新识别);或通过加密转移过境第三国的端到端加密数据(同样,数据不能在缺乏足够保护水平的司法管辖区解密)。EDPB还规定,必须排除硬件或软件中存在任何“后门”,尽管还不清楚如何做到这一点)。

该文件的另一部分讨论了找不到有效补充措施的情况--例如向云服务提供商(或类似的云服务提供商)转移数据需要明文获取数据,以及“被授予受援国公共当局获取转移数据的权力超出了民主社会的必要和相称范围”。

“考虑到目前的技术水平,EDPB无法设想一种有效的技术措施来防止这种访问侵犯数据主体权利,”报告写道,并补充称,它“不排除进一步的技术发展可能提供实现预期商业目的的措施,而不需要明文访问”。

“在特定的情况下,未加密的个人数据在技术上是处理器提供服务所必需的,即使把传输加密和静态数据加密放在一起,也不能构成一项补充措施,确保在数据进口商掌握密钥的情况下提供基本上同等水平的保护,”EDPB进一步指出。

它还明确指出,补充合同条款并不是在这方面的任何形式的退出--因此,Facebook不能在其SCC中附加一项化解FISA 702的条款--EDPB写道:“在立法迫使进口商遵守命令,披露他们从公共当局获得的数据的情况下,合同措施将不能排除适用不符合EDPB欧洲基本担保标准的第三国的立法。”

EDPB确实讨论了数据输出者可以用来补充SCC的潜在条款的例子,这取决于他们的数据流情况的具体情况-同时还规定了“有效的条件”(实际上,在许多情况下是无效的)。而且,对于那些希望在美国(或另一个第三国)处理个人数据,同时这些数据仍面临国家监控风险的人来说,这里再一次没有什么安慰。

“出口商可以在合同中增加附件,提供进口商将尽其最大努力提供目的地国家公共当局获取数据的信息,包括情报领域的数据,前提是立法符合EDPB欧洲基本保证。”这可能有助于数据输出者履行其义务,将其对第三国保护水平的评估记录下来,“EDPB在指南中讨论透明度义务的一节中举了一个例子。

然而,这样一项条款的要点将是,数据出口商向进口商提出预先条件,使他们更容易从一开始就避免签订高风险的合同-或者在确定风险的情况下帮助他们暂停/终止合同-而不是为大规模监控提供任何形式的法律贴纸。又名:“然而,这一义务既不能证明进口商披露个人数据是正当的,也不会导致不会有进一步的访问请求的预期,”EDPB警告说。

文件中讨论的另一个例子是添加条款的可行性,试图让进口商证明他们的系统中没有后门,这可能会使数据处于危险之中。

然而,EDPB警告称,这可能是徒劳的,他们写道:“立法或政府政策的存在阻止进口商披露这一信息,可能会使这一条款失效。”因此,这个例子可能只是为了试图掩盖不可靠的法律建议,这些建议表明,合同条款是美国监控越权的灵丹妙药。

我们还联系了Facebook,询问它将根据EDPB的指导意见采取哪些下一步措施来接管欧盟-美国的数据传输,并将根据任何回应更新这份报告。