四人麻将|上海四人麻将单机版
首頁 > CIO > 正文

跨大西洋數據傳輸所面臨的最新挑戰對IT來說意味著什么

2019-07-23 11:41:21  來源:企業網D1Net

摘要:奧地利律師Max Schrems就Facebook將他的個人數據轉移到美國提起的第一起訴訟,推翻了安全港數據共享協議(Safe Harbor data sharing agreement)。現在歐洲最高法院正在審查他對為此目的而使用的標準合同條款的投訴。
關鍵詞: CIO 數據傳輸
  奧地利律師Max Schrems就Facebook將他的個人數據轉移到美國提起的第一起訴訟,推翻了安全港數據共享協議(Safe Harbor data sharing agreement)。現在歐洲最高法院正在審查他對為此目的而使用的標準合同條款的投訴。
 
  2013年,當Max Schrems要求愛爾蘭數據保護專員阻止Facebook愛爾蘭分部將他的個人信息轉移到美國時,他并沒有料到這會讓其他數千家企業的個人數據處理業務也面臨著法律風險。
 
  Schrems2013年的投訴一路打到了歐盟最高法院,2015年,歐盟最高法院出人意料地否決了跨大西洋數據傳輸安全港協議。成千上萬的企業曾以此為依據,將客戶和員工的個人數據從歐盟輸送到美國進行處理,但突然之間,它們不得不尋求其他的法律依據,或者在歐盟內部尋求數據托管和處理資源。
 
  安全港的消亡
 
  歐盟數據保護法規定,個人信息不能輸出到一個保護力度不及歐盟的國家。現有的各種法律機制也擴大了這種保護的范圍,包括對集團內部轉移具有約束力的公司規則,或歐盟委員會(European Commission)所批準的標準合同條款。安全港協議就是其中之一——實質上這只是一項聲明,只要企業遵守某些規則,歐盟委員會就認為美國法律提供了足夠的保護。
 
  在經歷了數月的不確定性之后,它被Privacy Shield共享協議所取代。Privacy Shield是歐盟和美國政府之間達成的一項新協議,允許恢復跨大西洋數據的傳輸。
 
  然而,事實證明,Facebook根本沒有依賴于安全港協議,而是依賴了標準合同條款來保護其在歐盟隱私法下的數據傳輸。
 
  Schrems及時修改了他最初對Facebook處理他數據的投訴,將矛頭指向了標準合同條款。當該投訴再次被提交到歐盟法院之際,外界猜測,這也可能威脅其他企業向美國輸出個人數據的行為。
 
  這個被稱為“Schrems II”的新案件預計要到2020年初才能做出判決,但7月9日的一次公開聽證會卻暗示了事態可能的發展方向。
 
  有趣的是,Schrems并不是本案的原告,而是被告。原告是愛爾蘭的DPC,該公司對他和Facebook提起了訴訟,作為一種法律手段,目的是就他的投訴所引發的法律問題進行裁決。
 
  問題的關鍵在于,當歐盟公民的個人數據在美國境內時,美國政府是否會對其進行大規模的處理,或者說這種形式的監控是否符合歐盟隱私法,以及數據傳輸的標準合同條款是否為歐盟公民提供了充分的隱私保護。
 
  靶心中的標準合同條款
 
  Schrems和DPC一致認為,美國的監控法律侵犯了歐盟的基本隱私權:而他們的分歧在于應該如何應對。Schrems希望DPC在標準合同條款沒有提供足夠法律保護的情況下停止個人數據傳輸;而DPC表示,它沒有這樣做的權力。
 
  歐盟正試圖在這方面作出改進。歐洲司法專員V?ra Jourová在6月13日表示:“我們已經在致力于標準合同條款的現代化。這將使企業在簽訂處理服務合同時能夠更容易地共享數據,無論是在歐盟內部還是在國外。”
 
  與此同時,Facebook表示,它的數據傳輸并沒有問題,因為歐盟委員會已經裁定,美國的監控法律不會對歐盟公民的基本權利構成威脅。
 
  然而,隱私保護的充分性是法院正在考慮的另一項正在面臨法律挑戰的目標,這項挑戰來自一個法國非政府組織。
 
  問題是:如果歐洲法院導致以一個非常寬泛的視角來看待法國的這起案件或Schrems的第二起投訴,就像對待他的第一起投訴一樣,它也可能會導致廢除Facebook等公司使用的標準合同條款,以及Privacy Shield。
 
  CIO們需要采取的行動
 
  那么,對于CIO和法律顧問們來說,可能又要回到2015年了。在美國對歐盟公民個人信息的某些處理可能會在一夜之間被禁止,讓企業要么停止處理,要么找其他地方處理,或者對后果進行賭博。
 
  盡管還有時間,但CIO們需要弄清楚他們的組織掌握了哪些歐盟公民的個人信息,他們是否在歐盟之外處理著這些信息,以及他們對處理這些信息有什么權利或法律依據。樂觀的一面是,只要他們的組織遵守于2018年5月25日生效的歐盟一般數據保護條例(GDPR),他們應該就已經掌握了許多答案。
 
  歐洲數據保護委員會也編制了一份簡易的指南,介紹了GDPR第49條所提供的減損,這將幫助CIO們決定下一步該做什么。
 
  某些情況下總是會允許對個人信息進行一些處理,例如遵守向相關人員提供商品或服務的合同,或在有關人士同意資料轉移及已知悉有關的私隱風險的情況下進行的處理。同樣,遵守GDPR的組織也將會有一個記錄,記錄他們可以在這些減損下轉移哪些數據。
 
  而剩下的幾個月里,可能還需要準備應對一些永遠不會發生的潛在數據災難的技術對策。

第二十九屆CIO班招生
法國布雷斯特商學院MBA班招生
法國布雷斯特商學院碩士班招生
法國布雷斯特商學院DBA班招生
責編:yangjl
四人麻将 楚楚通怎么分享赚钱 鱼塘养脆肉鲩赚钱吗 3肖6码网站 赌博送彩金多的网站 巴黎澳门人线上平台 山西快乐十分奖金表格 电子游戏怎么玩才能赢 捕鱼大师现金版 017 网上什么东西最赚钱 北京pk10走势图杀号技巧