面向未来新的一步”隐私盾», 新的跨大西洋交换协议数据美国和欧洲之间。去年2月28日发表欧洲数据保护委员会的意见(EDPS)。该组织汇集了欧洲 CNIL,想知道几个月前修改了立法的美国是否充分保护了欧洲人的个人数据。目标包括美国情报部门收集和使用这些数据。具体来说,该委员会必须回答以下问题:美国法律是否规定了以下水平:隐私保护相当于欧盟内部有效的规定吗? 尽管 EDPS 对美国方面增加新的保证表示欢迎,但担忧仍然存在。 换句话说:比以前好多了,但还不够。
该意见是两年多前开始的这一进程的又一步,涉及近 5,000 家公司。 2020 年 7 月,欧盟法院 (CJEU) 宣布“隐私盾»,授权将欧洲公民的数据传输到美国的文本。法官认为这一法律框架并没有保护“干涉数据被传输者的基本权利。”在他们看来:美国情报部门以国家安全的名义进行大规模监视。
个人数据,私人生活的数字延伸
«个人数据一直是一种特殊的商品»,La Quadrature du Net 成员 Bastien Le Querrec 回忆道。一方面, ”该信息(允许直接或间接识别个人身份)构成一项基本权利,必须受到保护» – 作为我们私人生活的数字延伸。另一方面,“他们有经济层面» 并且必须能够从一个国家过境到另一个国家,以便在那里住宿甚至处理。
在欧盟内部,1995 年的指令以及 2018 年的《通用数据保护条例》(GDPR) 都非常严格地保护这些数据。为了允许它们从旧大陆转移到美国等其他国家,立法者设想了一种机制:我们研究数据将发送到的国家的法律。如果数据保护水平与我们相同,我们就会授权传输。
第一轮:2000年通过的安全港协议于2015年因Schrems 1裁决而无效
第一次授权发生在 2000 年,当时欧洲执行部门通过了“安全港» 负责向美国共享个人数据。因而认为美国法律对私人生活的保护提供了充分的保障。
一切都进展顺利,直到 2013 年,爱德华·斯诺登的爆料,我们在那里发现了国家安全局的大规模监视计划。这 ”安全港» 在接到来自马克斯·施雷姆斯。这位奥地利人认为,欧洲人的个人数据实际上在美国存储时并未受到保护。欧洲法院同意他的观点,于 2015 年首次宣布该案文无效,判决施雷姆斯 1。
另请阅读: 私生活:我们遇见了让互联网巨头颤抖的马克斯·施雷姆斯
第二轮:“隐私盾» 2020 年 Schrems 2 判决无效
结果,2016年,欧盟委员会和美国商务部达成了一项新协议,“隐私盾”。但马克斯·施雷姆斯(Max Schrems)仍然认为,我们的数据一旦出口到美国,就不会受到保护。值得注意的是,因为政府或某些美国情报机构仍然可以在没有足够保障措施的情况下访问它。在这方面,欧洲司法也持同样的观点:它再次使“隐私盾» 2020 年关闭施雷姆斯 2。美国当局和情报部门对欧洲数据的访问受到评判不成比例的等监督不充分。
为什么这两次失效?美国法律的错
«法院宣告“隐私盾“,不是因为”隐私盾“,但由于它发生在美国的法律背景»,Emmanuel Ronco 解释道,他是专门研究这些问题的律师,也是安睿德萨瑟兰律师事务所的合伙人。明白:问题出在美国法律上。在美国,美国人及其数据受到宪法第五修正案的保护:没有法院命令,因此没有法官的干预,我们无法获取他们的数据。但这种保护在宪法上并不适用于外国人。
事实上,当数据来自欧洲时,美国当局可以在没有命令的情况下扣押它。 “欧盟法院还解释说,某些美国法律允许在没有事先信息的情况下批量访问欧盟的数据,也无法向欧洲公民提出上诉。»,龙科大师强调道。另一个争议主题:法令“还允许美国国家安全局通过海底电缆大规模拦截跨越大西洋的数据»,他报道道。
因此,我们隐含地要求美国改变他们的规则并对欧洲人采取更多保护措施。美国商务部和欧盟委员会进行了几个月的谈判,但没有成功,直到近一年前。 2022 年 3 月,达成第一项原则协议。随后,美国于 2022 年 10 月颁布了一项新法令,为欧洲公民提供额外保障。最后,在2022年12月13日,欧盟委员会的第一个版本,不是最终版本, 新的 ”隐私盾» – 这次的标题是“数据隐私框架» 或 DPF– 已发布。
改进点:情报部门失控、缺乏追索权
这就是 EDPS 发挥作用的地方。他负责就此类决定以及 DPF 提出自己的意见(不具约束力,但经常被遵循)。他首先欢迎这样一个事实,即美国情报机构对在欧洲收集并跨大西洋传输或托管的数据的访问现在必须仅限于«必要的» 等 «相称的»关于美国国家安全:这两个标准在此之前并不存在。
«但我们看到,总有一些情况下,这些数据收集“散装”,全体可以继续,根据 EDPS 的说法,这是我们特别可以取得进展的地方»,龙科大师分析。该组织提出的另一个问题是:中央情报局和其他情报部门缺乏可以控制欧洲数据访问的监视权限。因为如果美国法令确实设立了一个法院——称为外国情报监视法院(FISC)——来监督中央情报局及其同行,那么它对这些情报当局到底有什么权力呢? EDPS 认为,这个问题必须提出。
更成问题的是,该法令创建的两级机制«不允许自然人在欧盟通常理解的意义上向司法当局寻求真正有效的补救措施——例如,不存在上诉»,Maître Ronco 强调道。
下一步:走向第三轮?
欧盟委员会现已收到 EDPS 的这一意见。除非有任何意外,否则应该根据提出的问题修改 DPF。然后,该文本必须提交议会,议会有权审查。只有当所有这些阶段都完成之后,才会有一个欧盟委员会的最终决定。最肯定的是施雷姆斯 3:自从马克斯·施雷姆斯协会(是的,一次又一次地是他)已经解释说,它认为美国新法令提供的新保证是不够的,因此在法院的框内进行了一段文字。
La Quadrature du Net 分享的观点:“我们仍然有大量证据表明美国法律和欧盟法律之间存在系统性的不兼容。» Quadrature du Net 的 Bastien Le Querrec 估计。这些要素“表明今天美国法律没有被解释为相对于欧洲法律的严格标准具有足够的保护性»,他补充道。
无论如何,人们仍然热切期待解决这一问题 — — 通过 DPF 的最终版本,或者对美国法律做出有利于欧洲人的更明显的修改。因为如今,对于想要导出数据的欧洲公司来说,后 Schrems 2 系统仍然很复杂。为了继续上述传输,他们必须采取额外的措施——而且是相当昂贵的措施,例如数据加密。问题:这种情况至少会持续几个月。
