加载中…
个人资料
艾萨博睿知识产权
艾萨博睿知识产权 新浪机构认证
  • 博客等级:
  • 博客积分:0
  • 博客访问:51,412
  • 关注人气:8
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

【个人数据保护】隐私盾协议废除,明确国际数据传输保障要求(C-311/18)

(2022-07-29 10:58:26)
标签:

艾萨博睿

欧洲法院

个人数据保护

跨境传输数据

【编者按】与世界上大多数国家和地区一样,欧盟法院的裁决对于理解欧盟法律规范有着重要的指导意义和预测价值。艾萨博睿(ELZABURU)每年初汇总发布前一年欧盟法院典型案例,并对每一案例进行简要点评,以期对客户和合作者理解欧盟知识产权规范有所助益。鉴于中国客户和合作伙伴的重要性,我们尝试以每周一案的方式发布典型案例的中文版,方便中国伙伴及时获知相关最新信息


背景

欧洲法院在Schrems案(C-362/14)判决中认定欧盟与美国之间的个人数据传输协议(“安全港”)无效后,该案原告重新对被告Facebook提起诉讼,反对被告将欧盟居民的个人数据通过Facebook爱尔兰公司传输到位于美国的Facebook Inc.公司。

原告主张,依据美国法律(《外国情报监视法》第702条和《行政命令法(第12333号)》),Facebook爱尔兰公司应当向该国主管机关开放数据访问权限,而这一做法违反了《欧盟基本权利宪章》第7847条的规定。因此,被告未能向数据权利人提供与欧盟要求水平相当的保护。

原告主张,无论是《201025日根据<<span lang="ZH-CN">欧洲议会和理事会第95/46/EC号指令>,欧盟委员会关于将个人数据传输给位于第三方国家的处理者的标准合同条款的决定(第2010/87/EU号)》2021年失效,现行法律《202164日根据<<span lang="ZH-CN">欧洲议会和理事会条例(第(EU)2016/679号)>,欧盟委员会关于将个人数据传输至第三方国家的标准合同条款的决定(第(EU)2021/914号)》——译者注批准的标准合同条款(控制者向处理者),还是《2016712日根据<<span lang="ZH-CN">欧洲议会和理事会关于“欧盟-美国隐私盾”提供充分保护的指令(第95/46/EC号)>,欧盟委员会的实施决定(第(EU)2016/1250号)》(2016716日失效中的新的“隐私盾(Privacy Shield)”协议,均未能充分保障传输至美国境内的数据权利人的权利和自由。

原告认为,对于美国主管机关处理其数据的行为,欧盟居民没有与美国居民同样的补救措施,因为,(1)《美国宪法第四修正案》不适用于欧盟居民;(2)国家安全局依《行政命令法(第12333号)》的行动不受司法监督;(3)隐私盾监察组(Privacy Shield Ombudsperson)不是司法机构;以及,(4)标准合同条款对美国主管机构没有约束力。

爱尔兰高等法院请求欧洲法院作出初步裁定,明确标准合同条款,《欧盟委员会第2010/87/EU号关于标准合同条款的决定》,和《欧盟委员会第(EU)2016/1250号关于隐私盾协议保护正当性的决定》对数据输出者和输入者、输出目标国主管机关等的适用范围和约束力;以及,是否对被传输个人数据的主体的权利和自由提供足够保护。

 

结论

欧洲法院审理后,认定:

·      《通用数据保护条例(GDPR)》适用于向第三方国家传输个人数据的情况,无论在传输同时或之后,该第三方国家主管机关是否可能以公共安全、防御和国家安全为由处理该数据。

·      采用《通用数据保护条例》第46条规定的包括标准合同条款在内的任何安全保障措施,必须考虑所采取保障措施能否有效确保充分保护,以及(1)数据输出方和输入方协商确定的合同条款,(2)第三方国家公共主管机关对所传输数据的访问可能性,以及,(3)该第三方国家的相关法律体系,特别是与《通用数据保护条例》第45.2条规定内容相关的部分。

·      如果全面审查传输数据行为后,主管监督机构认为在传输第三方目的国没有或未能遵守标准合同条款,且无法通过其他方式确保数据受保护,则应当中止基于标准合同条款的个人数据传输行为。

·      依据《欧盟基本权利宪章》第7847条,审查《欧盟委员会第2010/87/EU号关于标准合同条款的决定》,未发现影响该决定有效性的任何情况。

·      《隐私盾决定》无效。

基于以上分析,欧洲法院认定,《隐私盾协议》未能提供符合要求的保护水平,因此应予宣布无效,并裁定,传输数据前,应基于数据传输的具体情况,对标准合同条款或《通用数据保护条例》第46条规定的其他保障措施进行个案评估,审查相应措施是否提供了有效保护,符合欧盟法律对于被传输至第三方国家的数据权利人的自由和权利的保护要求。

 

评述

本案裁定公布之后,欧盟企业应明确可能存在向哪些欧洲经济区之外未获得充分性决定(adequacy decision)的第三方国家传输个人数据的情况,并且:

(1) 如果是基于《隐私盾协议》向美国传输数据,应采取进一步保障措施,并依第(2)条所列情况进行评估;

(2) 对(现在或未来)传输个人数据行为采取的保障措施,应基于以下内容进行评估:

a.   《通用数据保护条例》第46条规定的标准合同条款或其他措施的具体内容。

b.   具体传输行为。

c.   数据接收方所在国家适用的法律体系。

 

参考

欧洲法院第C-311/18号裁定

 

【个人数据保护】隐私盾协议废除,明确国际数据传输保障要求(C-311/18)

编译:刘丹,艾萨博睿法律顾问

来源:艾萨博睿(ELZABURU)知识产权

联络我们:beijing@elzaburu.es, 3107429780QQ, ELZABURU-BJ(微信)

【个人数据保护】隐私盾协议废除,明确国际数据传输保障要求(C-311/18)

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有