数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)
编者按:
公号君一直非常关注数据跨境流动。对此议题,本公号曾发表的文章如下:
另外一个与此相关的系列研究是:个人数据与域外国家安全审查系列文章。这个系列具体的文章列表,请见文末。
Schrems II一案,源于爱尔兰的Facebook公司向美国的Facebook公司转移Max Schrems的个人数据。提出的问题涉及出于商业目的将个人数据从欧洲经济区转移到第三国。
CJEU指出,美国的国家安全相关法律中大规模监控授权(《外国情报监视法》第702条、“12333号行政命令”等,允许大规模监控活动)的广度违反了GDPR所要求的比例性要求的基本最低保障措施,即美国政府对来自于欧洲经济区的个人数据的处理(即调取、截获等),并不限于严格必要(strictly necessary)的情况。
欧盟法院还发现,美国的这些监控项目未能为欧洲经济区的数据主体提供可执行的权利和有效的法律补救措施。例如,欧盟法院认为美国监察员是欧盟公民在“欧盟-美国隐私盾协议”下唯一的求助渠道,其独立性或权威性不足以确保充分保护欧洲数据主体的权利。
因此,“欧盟-美国隐私盾协议”向数据主体提供的保护水平基本上不等同于欧盟标准。自CJEU判决发布之日起,数据输出者和美国数据输入者不能再依靠“欧盟-美国隐私盾协议”作为将个人数据从欧洲经济区转移到美国的机制。
同时,欧盟法院认为,SCCs作为一种向欧盟以外转移个人数据的机制仍然有效,但如果第三国的立法不能使数据输入者遵守其义务,则不能使用SCCs。此外,欧盟法院还明确表示,在所有情况下,仅依靠SCCs并不一定足够。每项数据转移都必须逐一评估,并可能需要谈判并加入额外的条款或采取额外的保护措施,以提供基本相当的保护水平。这一结论并不限于欧盟-美国之间的转移,而是适用于任何依赖SCCs的个人数据出口和继续转移数据。
在判决作出之后,欧盟数据保护委员会(EDPB)对数据跨境转移做出了问答,公号君全文翻译如下。
总的感觉,除了签SCC合同之外,还需要一事一议地做出境安全评估,特别是境外数据接收者所在国家或地区的政治法律环境,是不是和《网络安全法》的思路一模一样?
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
人脸识别系列文章
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”
传染病疫情防控与个人信息保护系列文章
个人数据与域外国家安全审查系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
美国的出口管制制度系列文章:
第29条工作组/EDPB关于GDPR的指导意见:
自动驾驶系列文章:
数据安全法系列文章: