欧盟和美国政府上个月底就一项新的跨大西洋数据传输协议达成的政治协议,旨在结束多年来从欧盟出口数据的企业的法律不确定性,但尚未达成一致。一旦全文发布,该交易原则上将在未来几个月内面临审查——如果它被采纳,很可能会面临新的(和快速的)法律挑战,因此一切都取决于细节。
昨天,就遵守欧盟数据保护法提供建议的欧洲数据保护委员会 (EDPB) 发表了一份声明,表明它在审查这一细节时将把注意力放在哪里——称它将“特别关注这种政治协议转化为具体的法律建议”。
“EDPB 期待在 EDPB 收到欧盟委员会的所有支持文件后,根据欧盟法律、CJEU 判例法和委员会之前的建议,仔细评估新框架可能带来的改进,”董事会写道。
“特别是,EDPB 将分析出于国家安全目的收集个人数据是否仅限于严格必要和相称的范围。此外,EDPB 将审查宣布的独立补救机制如何尊重 EEA 个人获得有效补救和公平审判的权利。更具体地说,EDPB 将调查该机制的任何新权威部分在执行其任务时是否可以访问相关信息,包括个人数据,以及它是否可以通过对情报服务具有约束力的决定。 EDPB 还将考虑是否有针对该机构的决定或不作为的司法补救措施。”
EDPB 还警告说,政治协议尚未成为法律协议——强调同时数据出口商必须继续遵守欧盟最高法院的判例法;尤其是欧洲法院 2020 年 7 月的裁决,即 Schrems II,该裁决推翻了最后一项欧盟-美国数据传输协议(又名欧盟-美国隐私盾)。
拜登政府在谈到上个月达成的替换已失效的隐私护盾的政治协议时表示,美国已承诺实施“新的保障措施”,并表示将确保国家监控机构的数据收集活动“必要且相称”并与“明确的国家安全目标”相关联。
美国监控法律的首要地位与强大的欧盟隐私权之间的冲突仍然是根本的分歧——因此很难看出任何新协议如何能够抵御新的法律挑战,除非它承诺对美国的大规模监控计划施加严格限制。
如果欧盟个人认为美国情报机构非法针对他们,替换协议还需要为他们寻求和获得补救创造适当的途径。这看起来也很困难。
上个月,在宣布政治协议之前, 希尔报道了美国最高法院在与联邦调查局监视有关的案件中的一项裁决,这表明该裁决增加了达成交易的机会——因为法院通过以下方式加强了间谍案件的国家机密特权发现国会在实施《外国情报监视法》(FISA)中的监视改革时并未消除这一特权。
“尽管该意见留下了诸如 Fazaga 原告之类的人仍然可以根据有关政府监控的公开信息提出索赔的可能性,但大多数人需要政府提供敏感信息来帮助证明其监控是非法的。该决定可能使政府更容易向法官隐瞒此类信息,因此大多数挑战监视的人更难证明他们的主张并在法庭上伸张正义,”该出版物报道。
对之前的欧盟-美国数据传输交易的批评者一直呼吁对 FISA 进行更深入的改革(在隐私盾之前有安全港——2015 年被欧洲法院驳回)。
上个月,白宫表示,原则上达成的协议将使欧盟个人能够“从一个新的多层补救机制中寻求补救,该机制包括一个独立的数据保护审查法院,该法院将由从美国政府以外挑选出来的个人组成,他们将拥有完整的有权裁定索赔并根据需要直接采取补救措施”。
然而,正如 EDPB 的声明所强调的那样,这个“审查法院”的法律地位将是关键。
此外,如果美国最高法院采取不同的观点,这基本上推翻了拜登政府承诺的任何协议,欧盟个人将无法获得他们需要的信息,从而能够对美国政府提出索赔,这将破坏其能力。欧盟人民真正获得补救……而且,欧洲法院已经明确表示,在第三国受到非法监视的欧盟个人必须有一种真正和有意义的方式来追究责任。
EDPB 的声明准确地阐明了这些担忧——董事会指出,根据提供补救的要求而设立的任何“新机构”都需要“访问相关信息,包括个人数据”,才能履行这一使命;并且还需要能够通过对情报部门具有约束力的决定。
值得记住的是,在隐私护盾中测试的隐私护盾“监察员”制度没有通过欧洲法院的审查——无论是基于独立性,还是因为监察员无法通过对情报服务具有约束力的决定。
“数据保护审查法院”在这些方面会有多大的不同还有待观察。
欧盟隐私权活动家 Max Schrems 成功取消了最近两笔欧盟与美国的数据传输交易,他仍然怀疑最新的“修复”提供了任何实质性不同的东西——最近在推特上发布了另一个引人注目的视觉隐喻来说明他的早期评估……
您阅读的越多,您就越能感受到@VonDerLeyen对修复#PrivacyShield的独特“美国”方法的感觉: #DuctTape
让我们看看是否有人购买这种额外的“稳定性”。
#UrsulasPrivacyDuctTape #SchremsII #GDPR #DSGVO pic.twitter.com/QN0gJCG7Fl
— 马克斯·施雷姆斯
(@maxschrems) 2022 年 3 月 30 日
在美国未能进行真正的监控改革,很可能使数据传输圈的平方成为一项艰巨的挑战,因为它已经证明了过去两次围绕该区块的情况。但是,即使欧盟内部达成交易的政治必要性超越了明显的法律漏洞——就像上届委员会忽视担忧并采用隐私护盾时所做的那样——这也只是意味着双方正在 争取时间,直到下一次欧盟法院下一次罢工。
可能也没有太多时间。
虽然安全港存在 15 年,但隐私盾只持续了四年——施雷姆斯建议,在最终决定采用它的“几个月内”,将对另一个有缺陷的替代品提出新的挑战。因此,欧盟立法者已受到警告。
来源: https://techcrunch.com/2022/04/08/edpb-data-tranfers-deal-review/