2016年2月29日,针对欧洲个人数据向美国的 转移、共享和处理事宜,欧洲委员会和美国公 布了备受期待的更新协定条款。该协定取代了 “安全港”机制,确保了美国可以自行确认, 其对从欧盟传输到美国的数据按照《欧盟数据 保护指令》,予以充分保护。十月,欧盟法院 在Schrems案的判决中宣布“安全港”协定无 效。

欧盟委员会和美国多个政府部门所达成的该项 协定规定了参与向美国传输数据公司的义务。 该更新协定的两个背后推手提出了本协定中两 个不同但相关联的章节:1)机制;和2)美国 政府部门就有关欧盟个人数据在包括执行和监 控方面提供充分保护的承诺。

下面我们将阐述该协定得以在欧盟批准实施的具体步 骤,并将详细探讨为遵守新的《隐私护盾》条款应采 取何种准备措施。

最后障碍

欧洲委员会认为《隐私护盾》和美国的承诺完全符 合数据在美国保密的欧盟的标准,并起草了所谓的 “充分保护决定”的提案。在欧洲委员会最后批准 前,该决定必须由包括欧盟成员国的数据保护局( DPAs)及欧洲议会在内的多个机构进行审议,审批 程序可能需要数月,但DPAs的时间表表明四月底可 做出决定。我们能预料到国会可能会有很多辩论, 但其最后不会阻止最终决定的做出。

隐私护盾—公司,做好自我准备

首先,对于公司和个人数据的最终用户而言,最重 要的是欧洲委员会已表达了对美国公司履行安全港 项下原则和义务的方式的关注和不满。因此,与《 安全港协定》相比,《隐私护盾》给美国公司设定 了更多保护欧洲公民个人数据的义务和严格的执行 机制。

与《安全港协定》一样,《隐私护盾》是基于“自 我确认”机制,即公司能主动选择注册“加入”, 一旦注册了,《隐私护盾》的义务则对其具有约束 力和可执行性。因此,在等待《隐私护盾》生效的 同时公司应当采取什么行动呢?公司可以开始研究 一下如果加入了会对其造成影响的一些重要义务:

  • 通过公司网站向欧盟个人提供有关数据处理和公 司在《隐私护盾》项下义务的明确说明,该声明 应包含美国商务部《隐私护盾 》网站的链接;
  • 提供有关个人访问其数据的权 利、按照政府部门的需要依法 披露数据的要求,以及如果发 生数据向第三方转移时你公司 责任的明确说明;
  • 明确说明你公司进行数据采集 和处理的目的;
  • 建立一个迅速的响应机制,在 45天内回应针对你公司服务可 能收到的投诉或咨询;
  • 免费向个人提供独立的救助 机制以便调查和解决投诉和 纠纷;
  • 承诺如请求,将就任何未决投诉或纠纷通过仲裁 解决;
  • 针对负责《隐私护盾》监督的美国商务部及做出 禁止或罚款决定的其它部门所提出的询问立即给 予回应;
  • 确保公司在持有数据时始终遵守其承诺;
  • 公开FTC(联邦贸易委员会)和法院针对公司违规行 为所采取的强制措施情况,使其透明;

参与者也需保证其提供给第三方的数据仅用于有限 的、特定的目的,并且该第三方会遵守相同的原则 并提供至少与数据提供方相同水平的保护。你公司 应当检查所有适当的步骤以减少或阻止第三方未经 授权对数据进行处理。

美国政府部门的承诺

其次,针对美国当局“广泛的”且“任意的”监控 行为缺乏安全保障和管理机制的情形,Schrems案 否定了《安全港》。多家美国联邦机构包括商务 部、交通部、国务院、司法部以及国家情报局董事 办公室签发的一系列政治和程序性承诺广泛地说明 了这个问题。简而言之,那些承诺均是围绕明确限 制、保障和监控机制做出的,其范围从年审承诺、 立即执行、仲裁约束以及与DPAs合作,到在国务 院设立新的“独立的”《隐私护盾》监察员的承诺