歐盟批準跨大西洋數據傳輸新協議
歐盟委員會10日批準了一項歐美間數據傳輸新協議《歐盟-美國數據隱私框架》(以下簡稱《框架》),以更好地保護輸美歐盟公民個人數據的安全。這意味著多年來歐美間數據傳輸中的個人信息保護之爭有了最新進展。
引入新型保障措施
歐盟委員會在當天發布的新聞公報中說,該機構就《框架》通過了一項“充分性決定”,其結論是,美國確保在新框架下對從歐盟傳輸到美國公司的個人數據提供足夠水平的保護(與歐盟的保護水平相當),因此,個人數據可以安全地從歐盟流向參與該《框架》的美國公司,而無需采取額外的數據保護措施。
公報稱,《框架》引入了新的具有約束力的保障措施,以解決歐洲法院提出的“所有擔憂”,包括將美國情報部門對歐盟數據的訪問限制在必要和適當的范圍內,并建立一個數據保護審查法院。
《框架》在機制上也有重大改進。歐盟個人可就美國情報機構收集和使用其數據的情況獲得補救機制,例如,新成立的數據保護審查法院將獨立調查、解決投訴并采取具有約束力的補救措施。如果數據保護審查法院發現數據的收集違反了新的保障措施,它將能夠下令刪除數據。
此外,當美國公司錯誤處理了歐盟個人的數據時,歐盟個人可使用免費的獨立爭議解決機制和仲裁小組等多種補救途徑。
歐盟委員會表示,《框架》的運作將接受歐盟委員會與歐洲數據保護機構和美國主管機構代表的定期審查。首次審查將在“充分性決定”生效后一年內進行,以驗證所有相關要素是否已在美國法律框架中充分實施并在實踐中生效。
據此前報道,歐洲法院廢除了《安全港協議》、《歐美隱私盾牌》協定這兩項支持跨大西洋傳輸個人數據的協議,此舉導致歐盟委員會必須盡快與美國達成新協議以填補法律的漏洞。
隱私之戰由來已久
2016年,歐盟曾正式通過《歐美隱私盾牌》協定,規定用于商業的個人數據從歐洲傳輸到美國后,將按歐盟境內同樣標準受保護。但由于“斯諾登事件”等原因,一些反對者提起訴訟,希望阻止有關數據從歐盟傳輸至美國。
美國前防務承包商雇員愛德華·斯諾登2013年6月曝光稱,代號“棱鏡”的美國秘密監聽項目監聽對象不僅包括美國民眾,也包括法國、德國等歐洲國家的政要和百姓。隨后,奧地利隱私維權人士和律師馬克斯·施雷姆斯對Facebook提起法律訴訟,指控其未能保護自己的隱私權。
2019年,針對Facebook的個人信息由歐洲傳送到美國產生的問題,施雷姆斯又提起上訴,要求審查該行為是否違反歐盟數據保護法(GDPR),以及是否侵犯歐盟公民個人隱私權。
2020年7月,施雷姆斯贏得訴訟,歐洲法院判決這一協定無效。因為美國國內法認為有關美國國家安全和執法等方面的要求優先,可以以此為由訪問有關數據。從那時起,美國與歐盟商務部開始了長達一年半的后續合作框架協商。
為了解決歐洲法院提出的擔憂,美國總統拜登于2022年10月簽署行政命令,批準了《加強美國情報收集安全措施》,作為歐盟委員會審查美國法律是否符合歐盟數據隱私保護標準“充分性決定”的支柱性文件。
歐盟委員會主席馮德萊恩指出,美方對建立新框架作出了“前所未有的承諾”。
據介紹,美國公司承諾遵守一系列詳細的隱私義務后即可加入該框架。這些義務包括:當不再需要個人數據來實現收集目的時刪除個人數據,在將個人數據與第三方共享時必須確保數據保護的連續性等。
《框架》有效性受質疑
分析人士稱,《框架》可在一定程度上防止美濫用數據。
據白宮稱,跨大西洋數據流支撐著7.1萬億美元的經濟活動,數千家公司在兩個大陸開展業務。而新框架的實施將使Meta Platforms等科技公司受益巨大。
《華爾街日報》指出,個人數據保護問題一直是大型科技公司所關注的問題,其中包括Meta Platforms和Alphabet旗下的谷歌,這些公司在歐洲業務的核心數據傳輸方面面臨著法律挑戰。今年早些時候,歐盟監管機構剛對Meta Platforms處以12億歐元罰款,原因是公司在美國的服務器上存儲了有關歐洲用戶的信息。
Meta Platforms全球事務總裁尼克·克萊格表示,公司歡迎新的數據隱私框架,“該《框架》將保護大西洋兩岸的人們和企業所依賴的商品和服務”。
然而,施雷姆斯表示,即使美國數據政策發生了變化,《框架》也沒有為歐洲人提供足夠的保護。他指出:“我們需要修改美國監控法才能使這項工作發揮作用,但我們根本沒有這樣做。”
2008年,美國對《涉外情報監視法》進行修訂,增加第702條為正式條款。該條款允許美國國家安全局在未經法院許可的情況下,即可對選中的“外國目標”實施監控,搜集其電話、短信及互聯網通信內容。
今年早些時候,兩名美國國會議員發表聲明,呼吁政府結束未經授權的監聽行為。民主黨籍眾議員普拉米拉·賈亞帕爾和共和黨籍眾議員沃倫·戴維森表示:“我們必須利用這個機會改革第702條款,以確保它們能真正保護公民權利、公民自由和隱私權。”
施雷姆斯表示,或將在8月底之前在法庭上對《框架》提出質疑,并于明年初向歐洲法院提起訴訟。
