面向未來新的一步”隱私權盾», 新的跨大西洋交換協議數據美國和歐洲之間。去年2月28日發表歐洲資料保護委員會的意見(EDPS)。該組織匯集了歐洲 CNIL,想知道幾個月前修改了立法的美國是否充分保護了歐洲人的個人資料。美國情報部門特別針對這些數據的收集和使用。具體來說,委員會必須回答以下問題:美國法律是否規定了以下水準:隱私保護相當於歐盟內部有效的規定嗎? 儘管 EDPS 對美國方面增加新的保證表示歡迎,但擔憂仍然存在。 換句話說:比以前好多了,但還不夠。
該意見是兩年多前開始的這一進程的又一步,涉及近 5,000 家公司。 2020 年 7 月,歐盟法院 (CJEU) 宣布“隱私權盾»,授權將歐洲公民的資料傳輸到美國的文字。法官認為這一法律框架並沒有保護“干涉資料被傳輸者的基本權利。在他們看來:美國情報部門以國家安全的名義進行大規模監視。
個人數據,私人生活的數位延伸
«個人資料一直是一種特殊的商品»,La Quadrature du Net 會員 Bastien Le Querrec 回憶道。一方面, ”該資訊(允許直接或間接識別個人身分)構成一項基本權利,必須受到保護» – 作為我們私人生活的數位延伸。另一方面,「他們有經濟層面» 並且必須能夠從一個國家過境到另一個國家,以便在那裡住宿甚至處理。
在歐盟內部,1995 年的指令以及 2018 年的《一般資料保護規範》(GDPR) 都非常嚴格地保護這些資料。為了允許它們從舊大陸轉移到美國等其他國家,立法者設想了一種機制:我們研究數據將發送到的國家的法律。如果資料保護等級與我們相同,我們就會授權傳輸。
第一輪:2000年通過的安全港協議於2015年因Schrems 1裁決而失效
第一次授權發生在 2000 年,當時歐洲執行部門通過了“安全港» 負責向美國分享個人資料。因而認為美國法律對私人生活的保護提供了充分的保障。
一切都進展順利,直到 2013 年,愛德華·斯諾登的爆料,我們在那裡發現了國家安全局的大規模監視計劃。這 ”安全港» 在接來自馬克斯·施雷姆斯。這位奧地利人認為,歐洲人的個人資料實際上在美國儲存時並未受到保護。歐洲法院同意他的觀點,於 2015 年首次宣布該案文無效,判決施雷姆斯 1。
另請閱讀: 私生活:我們遇見了讓網路巨頭顫抖的馬克斯‧施雷姆斯
第二輪:「隱私權盾» 2020 年 Schrems 2 判決無效
結果,2016年,歐盟委員會和美國商務部達成了一項新協議,“隱私權盾」。但馬克斯·施雷姆斯(Max Schrems)仍然認為,我們的資料一旦出口到美國,就不會受到保護。值得注意的是,因為政府或某些美國情報機構仍然可以在沒有足夠保障措施的情況下訪問它。在這方面,歐洲司法也持同樣的觀點:它再次使“隱私權盾» 2020 年關閉施雷姆斯 2。美國當局和情報部門對歐洲數據的存取受到評判不成比例的等監督不足。
為什麼這兩次失效?美國法律的錯
«法院宣告“隱私權盾“,不是因為”隱私權盾「,但由於它發生在美國的法律背景»,Emmanuel Ronco 解釋道,他是專門研究這些問題的律師,也是安睿德薩瑟蘭律師事務所的合夥人。明白:問題出在美國法律。在美國,美國人及其數據受到憲法第五修正案的保護:沒有法院命令,因此沒有法官的干預,我們無法取得他們的數據。但這種保障在憲法上並不適用於外國人。
事實上,當數據來自歐洲時,美國當局可以在沒有命令的情況下扣押它。 “歐盟法院還解釋說,某些美國法律允許在沒有事先資訊的情況下批量獲取來自歐盟的數據,也無法向歐洲公民提出上訴。»,龍科大師強調。另一個爭議主題:法令“也允許美國國家安全局透過海底電纜大規模攔截跨越大西洋的數據»,他報道。
因此,我們隱含地要求美國改變他們的規則並對歐洲人採取更多保護措施。美國商務部和歐盟委員會進行了幾個月的談判,但沒有成功,直到近一年前。 2022 年 3 月,達成第一項原則協議。隨後,美國於 2022 年 10 月頒布了一項新法令,為歐洲公民提供額外保障。最後,在2022年12月13日,歐盟委員會的第一個版本,不是最終版本, 新的 ”隱私權盾» – 這次的標題是“資料隱私框架» 或 DPF– 已發布。
改進點:情報部門失控、缺乏追索權
這就是 EDPS 發揮作用的地方。他負責就此類決定以及 DPF 提出自己的意見(不具約束力,但經常被遵循)。他首先歡迎這樣一個事實:美國情報機構對在歐洲收集並跨大西洋傳輸或託管的數據的訪問現在必須僅限於其所允許的範圍。«必要的» 等 «相稱的»關於美國國家安全:這兩個標準在此之前並不存在。
«但我們看到,總是有一些情況下,這些數據收集“散裝”,全體可以繼續,根據 EDPS 的說法,這是我們特別可以取得進展的地方»,龍科大師分析。該組織提出的另一個問題是:中央情報局和其他情報部門缺乏可以控制歐洲資料存取的監視權限。因為如果美國法令確實設立了一個法院——稱為外國情報監視法院(FISC)——來監督中央情報局及其同行,那麼它對這些情報當局到底有什麼權力呢? EDP 認為,這個問題必須提出。
更成問題的是,該法令所創造的兩級機制«不允許自然人在歐盟通常理解的意義上向司法當局尋求真正有效的補救措施——例如,不存在上訴»,龍科大師強調。
下一步:走向第三輪?
歐盟委員會現已收到 EDPS 的這項意見。除非有任何意外,否則應該根據提出的問題修改 DPF。然後,該文本必須提交給議會,議會有權審查。只有當所有這些階段都完成之後,才會有一個歐盟委員會的最終決定。最肯定的是施雷姆斯 3:自從馬克斯·施雷姆斯協會(是的,一次又一次地是他)已經解釋說,它認為美國新法令提供的新保證是不夠的,因此在法院的框內進行了一段文字。
La Quadrature du Net 分享的觀點:“我們仍然有大量證據表明美國法律和歐盟法律之間存在系統性的不相容。» Quadrature du Net 的 Bastien Le Querrec 估計。這些要素「顯示今天美國法律沒有被解釋為相對於歐洲法律的嚴格標準具有足夠的保護性»,他補充道。
無論如何,人們仍然熱切期待解決這個問題 — — 透過 DPF 的最終版本,或對美國法律做出有利於歐洲人的更明顯的修改。因為如今,對於想要匯出資料的歐洲公司來說,後 Schrems 2 系統仍然很複雜。為了繼續上述傳輸,他們必須採取額外的措施——而且是相當昂貴的措施,例如資料加密。問題:這種情況至少會持續幾個月。
