欧盟委员会(“委员会”)和美国商务部发布了备受期待的欧盟-美国法律文本草案。隐私盾(以下简称“盾”),用于替代当前无效的安全港计划(“安全港”)。这项新协议旨在恢复个人对跨大西洋伙伴关系和数字经济的信任,并终止美国和欧盟公司数月对合规性的担忧。该草案将与欧盟数据保护机构(“ DPA”)讨论,并由成员国代表通过,然后才具有约束力。

盾牌文件于2015年2月29日发布,当时正值人们寄予厚望和一定的紧张气氛。去年10月,欧洲法院(“ ECJ”)使委员会的第2000/520 / EC号决定无效,并有效地关闭了安全港框架,该框架在此之前允许成千上万的欧洲公司向已作出承诺的美国公司发送个人信息保护个人信息。结果,成千上万的美国和欧盟公司突然陷入法律困境。为了应对依赖安全港的公司面临执行风险,并解决欧盟DPA提出的担忧,委员会在2月初宣布,确实已经与美国政府达成了新的政治协议。它还兑现了在月底前公开协议细节的承诺。

乍一看,“盾牌”与“安全港”非常相似,后者误导了一些评论家,谴责它仅仅是变相的复制品。但是,“盾牌”对数据保护进行了重大更改,包括对欧盟个人的附加权利,对美国打牌网的更严格的合规要求以及对政府访问个人数据的进一步限制。从美国公司的角度来看,“盾牌”似乎实际上意味着向严格监控的合规性的转变。从这个意义上讲,问题可能不再是“隐私盾对隐私有多好?”而是“它将对企业造成多大负担?”

该警报将更仔细地观察Shield,并突出显示与安全港和其他可用数据传输机制的一些主要区别。

一些关键要点包括:

  • 无论使用何种传输机制,与情报活动有关的保障措施都将扩展到所有传输到美国的数据。
  • Shield的争端解决框架​​为个人提起投诉提供了多种途径,比“安全港”和其他转移机制(如标准合同条款或约束性公司规则)所提供的途径更多。
  • 美国和欧盟的众多机构将直接或间接地监控打牌网对“隐私保护盾”的遵守情况,这可能会增加参与打牌网的监管风险和遵从成本。
  • 商务部将通过以下方式大大扩大其在监督和监督合规性方面的作用: 当然 参与打牌网的合规性审查和调查。
  • 参与打牌网将承担其他合规和报告义务,即使退出隐私保护盾,其中一些仍将继续。

总览

委员会公开了将构成新协议的所有文件,即:适当性决定草案,常见问题解答,情况介绍,详述原则和各种合规机制的附件,以及描述跨大西洋讨论范围内当前动态的委员会来文。在过去几年中。

委员会在新闻稿中指出,盾牌“反映了欧洲法院在2015年10月6日的裁决(“施雷姆斯裁决”)中设定的要求。提醒一下, 施雷姆斯 裁决包括:(1)政府不加选择地过度使用欧盟公民的个人信息,以及(2)缺乏针对欧盟公民处理隐私相关投诉的司法补救机制。

根据委员会的说法,盾牌将规定“对美国公司的强烈义务”以及“稳健的执行”机制,以确保遵守这些义务。它将规定“对美国政府准入明确的保障措施和透明度义务。”第三,它将通过“多种补救可能性”确保对欧盟公民权利的有效补救。最后,年度联合审核机制将使委员会,美国商务部和欧洲DPA能够监督Shield的运作情况。

评估关键方面

以下是关于新协议的几个关键方面的讨论,不仅涉及其前身安全港,还涉及其他可用的数据传输机制,例如具有约束力的公司规则(“ BCR”)和欧盟标准合同条款(“ SCC”)。

1. 转让给第三方

所做的重要更改之一涉及参与打牌网将数据传输给第三方的条件。根据安全港原则,打牌网必须在向第三方控制者披露个人信息之前提供通知和选择。如果第三方“作为代理代表代表打牌网并在打牌网的指导下执行任务”,则不需要这样做(请参阅:处理器)(请参阅 继续转移 原则,安全港决议2000/520 / EC,附件I)。为了与代理共享数据,打牌网需要:

  • “确定第三方已通过安全港原则或其他充分认定的证明;”要么
  • 签订“书面协议,要求第三方至少提供与相关原则所要求的相同级别的隐私保护。”

根据“隐私盾”原则,转移到第三方控制者和代理的规则有很大变化。根据第三原则(向前转移的责任),为了向“代理人”(或“处理器”)进行转移,打牌网必须满足一系列要求,包括遵守目的限制原则,确保代理人提供与盾牌原则相同的保护水平,并停止和补救未经授权的处理。同样,更重要的是,打牌网必须应要求向商务部提供与该代理商的合同中有关隐私条款的摘要或代表副本。尽管SCC(从控制器到处理器)也有提供隐私条款副本的义务,但美国公司(数据进口商)的义务仅限于向数据主体(以下简称“个人)或数据出口商(欧盟公司),而不是直接交给监管机构。

此外,尽管已满足这些要求,但打牌网 仍然负责 如果其代理人以违反“隐私盾”原则的方式处理个人信息, 除非证明它不负责 对于造成损害的事件(原则7(d), 追索权,执行权和责任)。这种举证责任的逆转将意味着公司在实践中将面临挑战,表明即使代理人违反其合同义务行事,他们也不对代理人的违法行为负责。

对于向控制者的继续转移,“隐私盾”原则为“安全港”下的通知和选择义务增加了新要求。现在,打牌网将被要求签订合同,该合同规定仅可出于与个人提供的同意相符的有限和特定目的处理数据,并且接收者将提供与“隐私保护原则”相同的保护级别。但是,对于偶尔与就业相关的运营需求,提供了一些有限的例外。在这里,Shield也超出了SCC(控制器到控制器)所要求的范围,在SCC中,美国公司(数据进口商)必须解决跨境转移问题。个人的异议权(相对于同意权)仅是将转让合法化为第三方控制者的手段之一,并非所有转让的前提条件。

但是,对于向关联公司的转移,“隐私保护原则”比SCC提供了更多的灵活性,也就是说,并不总是需要合同:“公司或实体的受控集团”中的数据控制者可能将此类转移基于其他手段,例如作为BCR或其他集团内工具(例如,合规性和控制程序),以确保根据“隐私盾”原则对个人信息进行保护的连续性。参与打牌网仍然有责任遵守隐私盾原则。

2. 与情报活动有关的保障措施将扩展到传输给美国的所有数据。

委员会在2月初表示,美国已书面保证,美国政府对欧盟公民个人数据的访问将受到“明确的限制,保障和监督机制”的约束,任何例外都将是“必要且相称的” 。”此外,国务院的监察员将负责接收和调查来自欧盟个人的有关美国情报实践的投诉和询问。但是,申诉专员将没有独立的调查或执行权力。

到目前为止,尚不清楚此类保护措施是否仅限于通过“盾牌”传输的数据,或者是否也适用于所有数据,而与所使用的传输机制无关。在WP29号文件中,有关 施雷姆斯 裁定其他转移机制时,担心的是欧洲DPA可能会决定基于SCC或BCR暂停向美国的转移,因为美国政府进行了大规模,不加区分的监视以及对此类数据的过度访问。

从2月29日公开的文件中可以看出,美国的承诺将扩展到通过其他传输机制(例如SCC和BCR)传输的个人数据。实际上,在委员会实施决定草案的3.1.2节中,对美国法律中有效法律保护的概述是一般性的,并不限于通过Shield进行的数据传输。另外,委员会在其来文(COM(2016)117 final)第3.2节中明确指出,此类保障措施将适用于 所有 个人数据出于商业目的转移到美国,不仅限于隐私盾转移。这是一个积极的事态发展,因为欧洲监管机构或潜在原告更难以辩称SCC和BCR将不符合ECJ在欧洲法院规定的标准。 施雷姆斯 关于美国政府访问个人数据的裁决。

3. 纠纷解决

一个潜在的问题是个人可以选择多种途径向盾牌公司投诉。在实践中,这可能给打牌网带来巨大的管理负担,而现在这些打牌网必须保持警惕,并准备在许多方面做出响应。

首先,鼓励个人向打牌网本身提出任何疑虑或投诉,该打牌网有义务在45天内做出回应。请注意,这比某些欧洲数据保护法严格(例如,在法国,根据现行法律,期限为两个月)。在“盾牌”制度下,个人还可以选择通过其当地的DPA进行工作,该DPA可以与该打牌网和/或商务部联系以解决争议。

第二种途径是独立的追索机制。 Shield要求打牌网提供独立的追索机制,该机制将调查并迅速解决投诉和争议,而无需个人承担任何费用。打牌网可以选择私营部门替代性争议解决(“ ADR”)提供商或欧洲DPA小组。私营部门的ADR提供者必须满足某些Shield要求,例如迅速响应商务部的询问和信息请求;向监管机构,法院或商务部报告打牌网的违规行为;并发布年度报告,以提供有关其Shield ADR服务的汇总统计信息。打牌网也可以选择使用DPA小组作为其独立的追索机制。请注意,如果打牌网使用Privacy Shield来传输人力资源数据,则这是强制性的。在这种情况下,尽管打牌网内部在处理投诉,但DPA小组仍有权审理仍未解决的个人索赔。双方将有机会在DPA小组发布其“建议”之前发表评论并提交证据,该建议将在60天内发布。发出建议后,打牌网必须在25天内遵守。如果某个打牌网不遵守该规定,则DPA专家组可以将此事提交联邦贸易委员会(“ 美国联邦贸易委员会”)或具有法定权力以打击不公平和欺骗性贸易行为的另一机构,或通知商务部该打牌网应当违反其与专家组合作的协议,因此该协议无效,因此应该失去其Privacy Shield认证。

对于打牌网内部未解决(或通过任何适用的工会申诉程序)而无法使员工满意的涉及人力资源数据的纠纷或投诉,打牌网应将员工指示至州或国家DPA或劳工部门在员工工作所在的司法管辖区。

盾构提供了另一种争议解决机制,即隐私盾小组的具有约束力的仲裁。此选项适用于向打牌网提出投诉,使用独立追索机制和/或通过其DPA寻求救济的个人,但其声称的违法行为仍未完全或部分得到纠正。请注意,如果DPA“有权直接与打牌网解决所主张的违规行为”,则仲裁不可用。隐私保护小组由一名或三名独立的仲裁员组成,这些仲裁员获准在美国执业法律,并具有美国和欧盟隐私法方面的专业知识。小组只能施加公平的救济,例如出入或改正,不能判给损害赔偿。仲裁应在90天内完成。尽管该个人在选择仲裁后可能未在另一个论坛上提出他或她的衡平法救济要求,但他或她仍可对法院提出的其他损害赔偿要求。此外,双方均可根据《美国联邦仲裁法》寻求对仲裁决定的司法审查。

换句话说,在向打牌网提出申诉,向独立追索机制提出申诉,向DPA提出申诉并寻求隐私保护小组的公平救济之后,当事方仍可以向法院提出申诉(针对个人投诉除外) 美国联邦贸易委员会或其他美国法定机构)。

鉴于上述情况,这种广泛的途径和潜在前沿可能会阻止考虑实施哪种数据传输合规性机制的参与打牌网。为了进行比较,SCC(控制者到处理者和控制者到控制者)都通过调解或建立数据导出者的欧盟成员国法院解决争端。对于BCR而言,争端解决机制似乎也没有那么繁重,因为它们提供了内部投诉处理流程,向主管DPA提出投诉,并在数据出口商所在地或该打牌网欧盟总部所在地的法院审理。

4. 执法部门

除了增加打牌网可以面对个人投诉的几种渠道之外,还扩大了其他类型的执法。商务部,联邦贸易委员会(FTC),交通运输部(或具有法定权力的其他机构),欧洲DPA和独立于私营部门的追索机制或其他隐私自我监管机构可以直接或间接地监控打牌网对《隐私盾》的遵守情况身体。

在“盾牌”行动下,商务部将大大扩展其在监督和监督合规性方面的作用。为了完成这项新任务,新闻部已将方案工作人员人数增加了一倍,并承诺投入必要的资源以确保对方案进行有效的监督和管理。新闻部的一些新职责包括:

  • 充当打牌网与DPA之间针对隐私盾合规性问题的联络人;
  • 通过评估打牌网的必要元素的隐私政策以及验证打牌网在ADR提供商中的注册来验证自我认证要求;
  • 定期进行 当然 合规审查,其中包括向参与打牌网发送问卷调查表,以找出可能需要采取进一步跟进措施的问题。特别是,当美国商务部收到有关打牌网合规性的投诉,打牌网对其查询和信息要求的回应不令人满意,或者有“可信”证据表明打牌网不遵守其承诺时,将进行此类审查。要求打牌网根据要求在其服务提供商合同中提供隐私条款的副本。该部门将在必要时与适当的DPA协商;
  • 进行中 当然 对退出计划或未重新认证的人员进行的调查,以验证此类打牌网没有对参与做出任何虚假声明。如果发现任何虚假主张,它将首先发出警告,然后,如果问题仍未解决,请将该问题提交给适当的监管机构以采取执法行动;和
  • 由从未参与该计划的打牌网进行虚假声明搜索,并在发现此类虚假声明时采取上述纠正措施。

美国联邦贸易委员会将优先考虑商务部和欧洲DPA提出的“隐私盾”合规性问题。特别是,它正在指定一个代理机构联络点,创建自己的标准化转介流程,以促进DPA的转介,并向DPA提供有关信息类型的指导,以最好地帮助FTC进行转介查询。

独立于私营部门的追索机制将有责任向商务部积极报告打牌网未遵守其裁决的情况。收到此类通知后,美国商务部将从隐私保护名单中删除该打牌网。

各个DPA和DPA小组都可以将有关隐私保护盾合规性的投诉提交给商务部。当然,如果DPA处理HR数据或已承诺与DPA合作,则DPA也有权直接与打牌网联系。

以上概述说明了新协议的复杂性和负责监督的机构的繁多,所有这些都有可能导致参与打牌网的监管审查和合规成本增加。相比之下,当打牌网依靠诸如SCC之类的替代传输机制时,则由欧盟监管机构对欧盟公司(作为数据出口商)进行监管。因此,在确定转移机制之前,打牌网将要考虑与每个选项相关的监管参与和合规成本。

5. 报告和持续合规义务

最后,参与打牌网将承担额外的合规性和报告义务,即使从隐私保护盾退出后,其中一些仍将继续。根据《安全港》的要求,打牌网必须每年重新认证其合规性。此外,现在将要求Privacy Shield打牌网维护有关其隐私计划实施情况的记录,并根据要求将其提供给监管机构。

像安全港一样,出于任何原因退出隐私保护计划的打牌网必须继续按照本原则保护其在参与该计划期间收到的信息。但是,隐私盾为这些打牌网增加了新的报告要求。只要他们保留信息,他们就必须每年向商务部确认他们正在按照本原则保护信息。否则,打牌网必须退回或删除该信息,或者通过另一种授权方式为该信息提供“充分的”保护(例如,SCC)。

结论

拟议的欧盟-美国文本Privacy Shield表示欧盟和美国政府打算共同努力,解决由隐私保护机构留下的数据传输机制方面的空白 施雷姆的裁决。但这也突显了这两个系统处理隐私的方式的差异的复杂性和深度。当前形式的“隐私保护盾”是否以及在何种程度上适当解决了所有有关方面的关注,还有待观察:公民的隐私关注,欧洲法院的法律要求以及希望遵守《隐私保护法》的公司的合法实际考虑事项大西洋打牌网。

关于后续步骤,欧盟成员国代表第31条委员会将必须审查适当性决定草案并发表意见。此外,WP29还在4月12日至13日的全体会议上宣布将对该草案发表意见。适当性决定将在正式通过之前经过委员会的程序。

与其他传输工具(例如SCC和BCR)相比,公司应仔细考虑Privacy Shield的潜在优缺点。新协议的复杂性和合规成本的增加表明,Privacy Shield远远不仅仅只是安全港的升级。同样,尽管“隐私保护盾”今年可能会经受司法审查,但欧洲法院警告说,充分性确定是一个持续的过程,因此包括了涉及欧盟和美国当局的年度审查过程。目前尚不清楚此过程对公司的后果:如果年度审查的结果是在问题出现时在现有要求的基础上增加新的要求,则很可能将“隐私盾”变成一个不断变化的合规目标。