该框架于 2022 年 3 月首次公布,如果成功,将意味着数据可以在两个地点之间传输,而无需实施任何额外措施和保障措施。我们之前曾对政治协议的首次公布发表过评论,请点击此处。
在这篇博客中,我们探讨了新协议旨在实现什么目标、存在哪些问题,以及我们是否认为Schrems III挑战即将来临。
先前的协议
该协议并非欧盟和美国首次简化个 手机号码数据 人资料转会;事实上,这是第三次。这引出了一个问题,第三次幸运吗?
奥地利隐私权倡导者Max Schrems对最近两次尝试(安全港和隐私护盾)在欧洲联盟法院(欧洲法院)成功声称,它们都未能为欧盟个人数据提供足够的保护。在这两起案件中,欧洲法院都发现美国提供的个人数据保护不足,主要原因有以下两个:
- 美国国家监控法(例如《外国情报监视法》第 702 条)赋予机构以不必要和不相称的方式访问欧盟数据主体的个人数据的权力;并且
- 欧盟数据主体无法通过法院执行其权利,因此无法就其权利受到侵犯寻求补救
在维护标准合同条款(SCC)作为适当的转移机制,欧盟法院对当时存在的 SCC 是否提供了足够的保障表示怀疑。由于这一评论,欧盟的 SCC 随后由欧盟委员会并且现已投入使用。
该行政命令是什么?其目的是什么?
与之前的框架一样,当前提议的框架希望简 你给了客户错误的信息 化各组织的欧盟与美国数据共享要求。白宫指出,跨大西洋数据流对欧盟与美国之间 7.1 万亿美元的经济关系至关重要。行政命令旨在确保该框架不会遭遇与安全港和隐私盾相同的命运,概述了对美国法律的修改,旨在解决以前引发问题的问题。
这些变化包括:
- 为美国信号情报活动增加进一步的保障措施,要求此类活动“只能在追求既定的国家安全目标的情况下进行”,并且只能在“推进有效的情报优先事项所必需的情况下,且只能在与该优先事项相称的范围内和以与该优先事项相称的方式进行”。
- 对通过信号情报活动收集的个人信息提出处理要求,扩大法律、监督和合规官员的职责,以确保采取一切适当措施纠正不合规事件
- 要求美国情报界更新其政策和程序,以反映 该命令中包含的新隐私和公民自由保障措施
- 建立多层次机制,使符合条件的国家和地区经济一体化组织的个人能够通过设立数据保护审查法院获得独立且具有约束力的审查和补救
- 授权成立隐私和公民自由监督委员会 (PCLOB),负责审查政策和程序。PCLOB 还将协助任命数据保护审查法院的法官
- 该行政命令还设立了国家情报总监办公室 (CLPO) 的公民自由保护官,负责审查政策和程序。CLPO 还将调查、审查并下令对符合条件的投诉采取适当的补救措施
希望这些举措将为欧盟委员会提供一个基础,以便通过一项新的充分性决定对美国来说。
有什么问题吗?
那么,这是否意味着一切都已解决,而Schrems III永远不会成为现实?可能不会。
主要问题围绕“比例性‘ 和 ‘必要性‘。尽管美国已将其术语改为与欧盟保持一致(不再使用旧术语“尽可能量身定制”),但没有迹象表明大规模监视 巴西商业名录 在实践中会发生变化。根据新命令,“大规模监视”将被允许继续进行,发送到美国的数据很可能最终用于像 Upstream 或 PRISM 这样的项目,这两个项目是美国最大的监视项目。尽管该命令中出现了“相称性” 和“必要性”等词语,但人们仍然质疑它们的含义是否与 2006 年《美国宪法》下商定的定义一致。欧盟通用数据保护条例 (GDPR)。
还有关于数据保护审查法院的问题。第 3(c)(E) 条规定,符合条件的州的数据保护机构(或情报机构的某个部门)可以代表提出投诉的居民申请审查。这个“法院”本身并不是真正的法院,而是 一个基于法庭的制度,或者如Noyb所说,是一个升级版的监察员制度。这是欧洲法院在Schrems II案中驳回的。