歐洲數據監督機構在上周的裡程碑式裁決中打擊了用於跨大西洋個人數據傳輸的《歐美隱私盾牌》協定,並發布了最新的指導意見。歐洲數據保護委員會(EDPB)在一份關於Schrems II判決的常見問題中警告說,不會有監管寬限期。
《歐美隱私盾牌》協定已經被判定無效,任何仍然依靠它授權轉移歐盟公民個人數據的公司都是非法的。「基於這個法律框架的轉移是非法的。」EDPB直截了當地警告說。希望繼續向美國轉移個人數據的實體需要使用替代機制--但必須首先確定他們是否能滿足保護數據不受美國監控的法律要求。
有哪些替代機制?標準合同條款(SCCs)並沒有被歐盟法院的裁決宣告無效。約束性企業規則(BCRs)在技術上也仍然可用。但在這兩種情況下,潛在的數據輸出者必須進行前期分析,以確定他們是否能夠在其特定情況下合法地使用這些工具來移動數據。
任何已經在使用SCCs將歐盟公民的數據轉移到美國的人都不能免於進行評估--如果他們打算繼續使用該機制,則需要通知相關監管機構。
這裡對美國轉移的摩擦在於,歐盟法院法官以美國監控法與歐盟隱私權發生根本性衝突為由,宣布《歐美隱私盾牌》無效。
「法院發現,美國法律(即第702條《外國情報監視法案》(FISA)和行政令12333)並沒有確保基本等同的保護水平,」EDPB在回答(預期)常見問題時警告說。"我在美國的數據導入商那裡使用SCCs,我應該怎麼做?"
「你是否可以基於SCCs轉移個人數據將取決於你的評估結果,考慮到轉移的情況,以及你可以採取的補充措施。」能否利用SCCs將數據轉移到美國,取決於數據控制者能否提供法律保證,即 「美國法律不會妨礙對轉移數據的充分保護」。
如果歐盟與美國的數據輸出者不能確信這一點,他們就必須終止數據傳輸。那些認為自己可以提供「適當的保障措施」的法律保證的人--因此打算繼續通過SCC向美國傳輸數據--必須通知相關的數據監督機構。所以沒有選擇不通知監管機構而「照常進行」。
EDPB對此指出,這與BCRs的情況一樣。"鑑於法院的判決,該判決宣布隱私盾牌無效,因為美國法律對數據被轉移到第三國的人的基本權利造成了一定程度的幹擾,而且隱私盾牌的設計也是為了給其他工具,如BCRs,帶來保障,法院的評估也適用於BCRs,因為美國法律也會對這個工具有優先權。"