拜登要修复“跨大西洋隐私数据管道”
北溪天然气管道被破坏切断了欧盟与俄罗斯的能源纽带,与此同时,美国正紧锣密鼓试图恢复与欧盟之间断裂已久的“跨大西洋隐私数据管道”。
自从欧盟法院(CJEU)在Schrems II 2020裁决中以担心美国国家监控违反GDPR为由废止美欧之间的安全港和隐私盾协议以来,欧盟公民个人数据转移到美国的法律合规通道基本被切断。这使得美国科技互联网公司在欧洲市场拓展在线业务时步步惊心,甚至有些企业计划撤出欧洲市场。
不过,随着近来国际地缘政治经济局势的风云变幻,欧盟与美国之间的这种“数据隔离“状态即将发生重大变化。本周六,美国总统拜登签署了一项行政命令,承诺美国和欧盟委员会制订一个新的跨大西洋数据隐私框架(隐私盾2.0)。
该框架建立了一个法律机制,允许组织利用该机制将欧盟公民的个人数据合法地转移到美国,这意味着全球隐私数据保护与信任格局将发生巨变,进入“后GDPR时代”。值得注意的是,宣布新的数据跨境指导方针出台之际,美国商务部也随即发布了禁令,要求美国公司切断对中国的微芯片供应。
修复“隐私数据管道”
拜登的总统行政命令针对的是欧盟Shrems II裁决的新跨境数据保护标准所带来的不确定性。该决议废除了美国和欧盟之间的安全港和隐私盾协议,从法律上切断了个人隐私数据从欧盟向美国的流动管道。
欧盟法院在ShremsII的裁决中指出,美国政府情报机构的监控计划所采取的数据保护做法并未“仅限于严格必要的范围”,而且从根本上未能尊重欧盟数据主体的隐私。
做出该裁定后,许多美国企业和机构开始审查其处理和传输欧盟公民数据的政策是否违规。由于缺乏统一的的指导,美企的合规工作主要靠猜测,结果导致不断吃到巨额GDPR罚单。
例如,2022年1月13日,奥地利数据保护局裁定Google Analytics违反了GDPR,称该组织将数据传输到美国,但未能保护其免受美国政府的监视,不符合Schrem II关于数据传输的决定。
缺乏明确性也导致像Meta这样的美国科技巨头考虑在欧洲关闭Facebook和Instagram等服务,因为不能合法地将数据传输回美国。
跨大西洋数据隐私框架(隐私盾协议2.0)将减少这种模糊性,美国企业可以开始跨境处理数据,获得更多的法律保护,承担更少的监管责任。
“今天宣布实施欧盟-美国数据隐私框架的行政命令为跨大西洋的商业和外交扫清了道路,”国际隐私专业人士协会副总裁兼首席知识官Caitlin Fennessy指出:“自从两年多前欧盟的Schrems II裁定使隐私护盾失效以来,从欧盟流向美国的个人数据在法律上一直存在问题。有些人认为这种流动实际上是被禁止的。”
数据共享红利
虽然欧盟仍需要审查跨大西洋数据隐私框架并确认它是否符合Schrems II裁决所提出的标准,但欧盟-美国数据共享的僵局显然已经开始破冰。
白宫在新闻稿中指出:该框架将为大西洋两岸的公民提供至关重要的利益。对于欧盟个人而言,该协议包括关于保护个人数据的新的、高标准的承诺。对于大西洋两岸的公民和公司而言,该交易将支持每年超过1万亿美元跨境贸易的数据持续流动,并使各种规模的企业能够在彼此的市场中竞争。
“拜登总统行政令标志着企业之间和跨大西洋数据传输的重要一步。行政令旨在加强对个人隐私的保护,使其免受政府监视,从而为美国和欧盟恢复商业数据传输谈判提供信心。”Gartner高级主管兼分析师Lydia Clougherty Jones指出。
对于利益相关企业而言,现在是时候重新评估监管环境,并考虑新的合规数据处理和创新用例。正如Jones所指出的,拜登总统行政令表明,(涉及采集和传输欧盟个人隐私数据)的企业未来选择符合经济和公共价值的数据用例时将有更大的灵活性。
Jones认为,对于利益相关企业来说,虽然距离“大西洋数据管道”的正式开通可能还需要数月时间,但企业现在应该开始着手积极准备迎接新的数据共享红利。
拜登总统行政令链接:
