Schrems II对现代跨国信息安全实践的影响第1部分:对国际贸易的潜在破坏

个人数据从欧盟(EU)向世界各国的转移每天发生数万次, 而且这种情况已经持续了很长时间，在很大程度上已经成为一种常规业务. 通常是在商业环境中制作的, 这些数据可能涉及个人旅行信息, employee healthcare data, 特权通信或任何其他类型的个人数据. Until the summer of 2020, 跨国组织很好地理解并广泛接受了将个人数据转移出欧盟的法律协议. However, on 16 July 2020, 欧盟法院(CJEU)做出了可能是其对国际贸易最具破坏性的决定 to date. 

In case C-311/18 资料保障专员(五). Facebook爱尔兰有限公司和maximilian Schrems ¹ (Schrems II), 欧洲法院宣布美欧隐私保护计划无效, 这是美国商务部和欧盟委员会历时两年半谈判达成的数据传输协议. In doing so, 这让数千家组织跨大西洋个人数据传输的合法性受到质疑, 同时提供了一条模糊的前进道路. 而欧洲法院完全废除了一项协议, Privacy Shield, 它在很大程度上支持了另一种观点的有效性, 即标准合同条款. SCCs可继续用于将个人数据转移出欧盟的行为合法化, 但欧洲法院表示，现在需要实施“补充措施”，以转移到电子监控使个人数据面临风险的国家，以及如果一个特定国家没有向欧盟人民(数据主体)提供有效的补救措施来执行他们的权利. In particular, 这两项法律文书使美国情报机构收集电子情报的行为合法化, 美国外国情报监视法案(FISA)第702条和美国行政命令12333条, 被施雷姆斯二号命令列为对欧盟人民权利的特别威胁.

Schrems ii可能是大多数it专业人士可能从未听说过的最重要的法律决定.

数据保护专业人员现在的任务是理解欧洲法院提供的指导，并利用必要的专业知识，使个人数据继续转移到欧盟以外. 尽管这一决定在隐私领域受到了极大的关注, 它在其他地方基本上没有引起注意. In fact, Schrems II可能是大多数IT专业人士可能从未听说过的最重要的法律决定. Undoubtedly, 这一决定将改变欧盟内外专业人士的现代信息安全实践.

将个人数据转移出欧盟，预计划

欧盟于1995年10月颁布了第一个全面的数据保护制度. 因此，欧盟数据保护指令95/46/EC成为欧盟的主要数据保护制度，直到2018年5月欧盟通用数据保护条例(GDPR)取代它.² Under the Directive, 有三种方法可以合法地将个人数据从欧盟转移到美国(美国), 这个国家的法律过去没有(现在仍然没有)提供充分的法律保障.e.(实质上相当于欧盟)对数据主体的保护:

1. SCCs-这些是一套标准条款，用于管理欧盟以外的数据传输到尚未收到欧盟委员会(EC)事先裁决的国家，即其法律为使用scc的欧盟个人提供足够的保护, 在不充分的国家接收个人数据的组织(被GDPR称为数据控制者)与传输数据的组织签订合同，同意根据条款中描述的任务保护这些数据. 通常情况下，scc一直被用作大型合同的数据处理附录的一部分. 《澳门赌场官方软件》的附录载有进口机构规定须遵守的技术和组织安全控制措施清单.³ SCCs的更新草案是由欧盟委员会根据Schrems II的决定制定的，并于2020年11月发布.
2. Binding corporate rules-有约束力的公司规则(bcr)是针对一组相关澳门赌场官方下载特别商定的SCCs, 比如一家母公司及其子公司分散在世界各地, 或全球Salesforce的多个地点, for example, 已经为其云环境协商了bcr，以便数据可以在云之间自由流动.⁴ 一家澳门赌场官方下载制定规则草案，并将其提交给欧盟数据保护机构(现在称为监管机构)批准. Once approved, 准则规管个人资料在实体或澳门赌场官方下载集团之间的流动. Thus, 除非澳门赌场官方下载想要改变个人数据的处理方式，否则当局的进一步介入是不必要的.
3. Safe Harbor program-该计划是美国商务部与欧盟委员会于2000年达成的协议，作为将个人数据从欧盟转移到美国的一种手段.⁵ Under the program, 希望进口欧盟个人数据的美国澳门赌场官方下载将自行证明它们符合该计划的要求, 其中包括给予资料当事人的通知和选择，以及资料保安规定. 这些澳门赌场官方下载被列入美国商务部公布的名录，并获准在其网站和其他地方宣传自己的合规情况. 安全港计划是由美国联邦贸易委员会(FTC)执行的。.

那些选择安全港作为转移机制的美国澳门赌场官方下载可能是因为它相对简单且成本效益高. 他们只需要进行内部审查，以符合该计划的原则, 进行任何必要的更改并进行自我认证. However, 2013年6月，爱德华·斯诺登披露了美国国家安全局(NSA)的监控行动，这一切都改变了.⁶ 其中一个被曝光的项目名为“棱镜”，⁷ 涉及美国国家安全局窃听微软等互联网服务提供商的通信, Google, 雅虎和Facebook收集个人数据.⁸ “出于间谍活动的原因”，Facebook将其用户的数据转发给了美国国家安全局, 国家安全和其他事项.”⁹

As a result, 奥地利隐私活动家马克西米利安·施雷姆斯说, a Facebook user, 向爱尔兰数据保护专员投诉Facebook爱尔兰有限公司. Schrems的论点的实质是，如果美国政府可以绕过安全港计划，要求美国澳门赌场官方下载在未经数据主体同意的情况下发送欧盟个人数据，并且没有任何在美国法院补救的可能性，那么美国在该计划下就没有充足性. However, 资料保护专员并没有发现投诉有任何可取之处, 此前施雷姆斯在爱尔兰法院对其决定提出质疑, 此事于2014年6月提交给欧洲法院.

On 6 October 2015, 法院在审查后宣布安全港计划无效, 引用了两个致命的问题:有问题的数据受制于“法律允许(美国)公共当局在广泛的基础上访问电子通信内容”,”¹⁰ 欧盟数据主体在美国没有“在法庭面前获得有效补救”.¹¹ 这项立法就是美国1978年的《澳门赌场官方下载》(FISA), 授权“对代表外国势力从事针对美国的间谍活动或国际恐怖主义活动的人进行电子监视和人身搜查”.”¹²

斯诺登的爆料对国际贸易产生了重大(可能是不可预见的)影响.

施雷姆斯在对局长的投诉中引用了9/11事件后FISA的修正案，该修正案涉及对美国境外人员的监视. 根据史瑞姆斯传奇的权威描述, 法院的裁决本应是这个问题的结束.¹³ 然而，在2015年11月，专员通知施雷姆斯，该裁决无关紧要 vis-à-vis 他早些时候的投诉是因为Facebook依赖SCCs向美国进口产品, not Safe Harbor.¹⁴ 虽然安全港作为数据传输机制的合法性得到了解决, Facebook跨大西洋传输个人数据的合法性则不是问题. Schrems修改了他的投诉，以解决Facebook使用scc和其他潜在的数据传输机制的问题.¹⁵

The Road to Schrems II

就在安全港计划失效之后, 美国商务部(US Department of Commerce)和欧盟委员会(EC)的谈判代表加快了替代安全港的讨论. On 12 July 2016, 欧共体认为该替代, 欧盟-美国隐私保护框架, 足以在欧盟法律下进行数据传输,¹⁶ 美国澳门赌场官方下载开始根据新计划的要求进行自我认证. Meanwhile, by May 2016, 修改后的施雷姆斯诉状已经提交给了爱尔兰高等法院, 其中Facebook认为，既然隐私之盾通过了欧盟的审查，就美国监视法而言. 根据欧盟的基本权利，SCCs下的转让也应保持合法.¹⁷ 高等法院听取了有关此事的证词¹⁸ 发现美国政府“大规模不加区分地处理数据”，并对整个事件进行了转介, including 11 questions, 要求法院作出初步裁决.¹⁹ 欧洲法院后来在其裁决中广泛引用了爱尔兰高等法院的事实调查结果.

The Schrems II Decision

2020年7月16日，欧洲法院下达了后来被称为“施雷姆斯二号”的判决书. 这一决定既使Privacy Shield无效，又对使用SCCs的数据传输提出了质疑. Moreover, 数据出口商没有宽限期进行更改——他们必须立即解决有关数据传输的任何合法性问题. Once again, 斯诺登的爆料对国际贸易产生了重大(可能是不可预见的)影响.

施雷姆斯二世引用了一项美国法律和两项法律文书，授权美国国家安全局和美国情报界和执法机构的其他机构收集非美国人的情报. 该裁决称，这些法律存在缺陷，因为它们没有为非美国人提供在美国法院对其适用提出质疑的有意义的途径. 列举的法律机制包括:

• Executive Order 12333——第12333号行政命令由美国总统罗纳德·里根于1981年发布，通过“接入大西洋海底的水下电缆”扩大了美国情报界获取电子情报的能力, 并在到达美国并接受FISA之前收集和保留这些数据.”²⁰ In doing so, 这种从非美国人那里“上游”收集个人数据的做法，使美国政府失去了为FISA法庭(FISC)提供的此类数据提供保护的机会, presumably, 在数据到达输入方之前，数据输出方有机会保护这些数据的机密性. In fact, 斯诺登提到的一个在12333支持下运行的项目本身就被称为UPSTREAM.²¹
• FISA § 702fisa最初于1978年颁布，其目的只是为了保护美国公民. 在911袭击之后的几年里, 应对技术变化和加快针对非美国人的能力的需要导致了2008年《澳门赌场官方软件》的通过.²² Changes to FISA, found in § 702, 包括取消FISC对选择执法和情报机构针对的个人的管辖权，并将法律门槛从“可能原因”降低到“合理相信位于美国境外”[.]” The Irish High Court, in its referral, 因为FISC只批准情报收集项目, 而不是解决个人是否有针对性, §702“并未表明对其授予的以外国情报为目的实施监视项目的权力有任何限制[.]”²³
• 第28号总统政策指示-总统政策指令28 (PPD-28)由美国总统巴拉克·奥巴马于2014年1月17日发布, 斯诺登泄密事件发生大约8个月后. PPD-28旨在要求美国情报界尽量减少收集非美国人的个人信息. However, 爱尔兰高等法院明确指出，PPD-28对这些人的个人资料提供的保护不足, 声明“PPD - 28不授予数据主体在法院对美国当局提起诉讼的权利.”²⁴

数据控制者或处理者应提供“适当的保障措施”来保护事务中的数据.

隐私保护的失效

看看这三个法律文书的总和，以及由此导致的非美国人在美国法院缺乏有效挑战它们的能力, 联邦法院宣布隐私保护计划无效, stating that:

[T]隐私保护裁决不能确保基本等同于《澳门赌场官方下载》的保护水平。, 与GDPR第45(2)(a)条的要求相反，等效性的发现取决于, inter alia, 个人资料被转移至有关第三国的资料主体是否拥有有效和可执行的权利.²⁵

欧洲法院后来的结论是:

因此，无论是FISA第702条，还是E.O. 12333, 与PPD‑28一起阅读, 与由此产生的最低保障措施相关, under EU law, 从比例原则, 其结果是，不能将基于这些规定的监测方案视为限于严格必要的情况.²⁶

这样一来，隐私保护就不复存在了.²⁷

“额外保障措施”让美国澳门赌场官方下载陷入困境

当爱尔兰高等法院将施雷姆斯的第二起诉讼提交给欧洲法院时, 它要求对11个问题作出初步裁决, 几乎所有这些都涉及SCCs的有效性. 自施雷姆斯1号决定以来，欧盟既生效又开始执行GDPR. GDPR第44-50条涉及欧盟以外的个人数据转移, and, in particular, 第46条涉及使用法律协议来实现转移“如果控制者或处理者提供了适当的保障措施[.]”²⁸ 在本文中，scc被称为“标准数据保护条款”.”²⁹

在回答转介的有关scc的问题时, 欧洲法院认为，欧盟委员会(最初批准了SCCs)不必调查潜在的非欧盟目的地国家对欧盟个人数据的数据保护水平是否足够. Instead, 数据控制器或处理程序应提供“适当的保障措施”来保护事务中的数据. 法院随后讨论了这一“保障”主题的几种变体，其中三种包括:

1. “控制者使用欧盟委员会采用的标准数据保护条款的可能性不应阻止它添加其他条款或额外的保障措施和国家. 应当鼓励控制者提供补充标准数据保护条款的额外保障措施.”³⁰
2. "只要这些标准的资料保障条款不能...提供超出合同义务的保证，以确保遵守欧盟法律所要求的保护水平, they may require, 取决于某一特定第三国的普遍地位, 控制者为确保遵守该保护水平而采取的补充措施.”³¹
3. 因此，最重要的是，...核实，在个案的基础上，并在适当时...第三目的地国的法律是否确保充分的保护, under EU law, 根据标准数据保护条款传输的个人数据, by providing, where necessary, 这些条款提供的额外保障.”³²

数据保护专业人员现在的任务是，必须确定哪些控制措施符合这一新的要求，并且主要由他们自己来完成.

值得注意的是，在施雷姆斯二案的判决中，法院没有提供任何例子来说明什么是潜在可行的保障措施. 这些措施可以是技术性的或组织性的，也可以是两者的结合. 其含义是，这些保障措施可能需要被设计成挫败或减缓国家情报机构的收集能力. 从该决定中可以明显看出，识别和实施满足这一要求的保障措施的责任现在是组织的数据保护专业人员及其法律顾问的责任. In this respect, Schrems II is not a recipe for clarity or consistency; in fact, 它给商业运作注入了相当大的不确定性.

Conclusion

施雷姆斯二号案的判决，让人们对从欧盟向美国和其他国家转移个人数据的合法性产生了质疑. 它通过使一个数据传输协议失效来实现这一点, 隐私保护计划, and belaboring another, SCCs, 有必要对目前采用的网络安全控制措施采取补充措施. 欧洲法院认为，美国情报机构对跨大西洋数据传输进行电子监控的前景，对欧盟人民的权利构成了威胁，因此显然旨在挫败此类监控的措施是理所当然的. 数据保护专业人员现在的任务是，必须确定哪些控制措施符合这一新的要求，并且主要由他们自己来完成, 因为欧洲法院缺乏指导. Furthermore, 这些专业人士必须在短时间内做出决定, 鉴于欧洲法院的裁决一经宣布即立即生效. 缺乏法律指导和立即改变组织当前数据保护实践的需求的结合几乎是前所未有的. 这可能需要对从业者如何在跨境数据传输的背景下处理数据保护进行彻底的重新思考. “Schrems II对现代跨国信息安全实践的影响，第二部分” will discuss the response from the European Data Protection Board (EDPB), 数据保护执法机构, 以及数据保护团队现在可以采取哪些措施来最大限度地减少对其组织的影响.

Endnotes

¹ Court of Justice, 资料保障专员 Facebook爱尔兰有限公司，马克西米利安 Schrems，案例C-311/18, 2020年7月16日， http://curia.europa.欧盟/法学/文件/文档.jsf?docid=228677&pageIndex=%200&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=3705396
² 2016年4月27日欧洲议会和理事会条例(EU) 2016/679，关于在个人数据处理和此类数据自由流动方面保护自然人, 及废止指令95/46/EC(一般资料保护规例), http://op.europa.eu/en/publication-detail/-/publication/3e485e15-11bd-11e6-ba9a-01aa75ed71a1/language-en
³ 谷歌，《澳门赌场官方下载》，谷歌云平台条款，美国，2018; http://cloud.google.com/terms/eu-model-contract-clause
⁴ Salesforce, Salesforce的处理器绑定 Corporate Rules 处理个人资料 Data, June 2021, http://www.salesforce.com/content/dam/web/en_la/privacy/BCRPublicFAQ.pdf
⁵ 2000/520/EC:根据欧洲议会和理事会指令95/46/EC，关于安全港隐私原则提供的保护的充分性和美国商务部发布的相关常见问题，2000年7月26日委员会决定, 2000, http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX%3A32000D0520
⁶ Gellman, B.; “U.S.英国情报机构从9个美国国家收集数据.S. 互联网公司的广泛秘密计划，” The Washington Post, 7 June 2013, http://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-%20program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html
⁷ IC Off the Record，“PRISM/US-984XN概述”，2013年4月 http://nsa.gov1.info/dni/prism.htm
⁸ 电子隐私信息中心(EPIC. DOJ – PRISM,” http://epic.org/foia/doj/olc/prism/
⁹ Schrems, M.; “Complaint Against Facebook Ireland Ltd—23 ‘PRISM,’” 25 June 2013, www.europe-v-facebook.org/prism/facebook.pdf
¹⁰ 欧洲法院， Maximillian Schrems vs. 资料保障专员，案例C-362/14, 2015年10月6日 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62014CJ0362
¹¹ Ibid.
¹² 美国科学家联合会， 外国情报监视法, USA, 1978, http://fas.org/irp/agency/doj/fisa/
¹³ De La Torre, L. F.; “Schrems and the Future of EU-US Data Transfers (or Lack Thereof…),” Medium, 30 June 2019, http://medium.com/golden-data/schrems-and-the-future-of-eu-us-cross-border-data-transfers-13970bf500b6
¹⁴ Ibid.
¹⁵ Ibid.
¹⁶ 隐私保护框架，“隐私保护概述”， http://www.privacyshield.gov/program-overview
¹⁷ Ibid.
¹⁸ Gorski, A.; “EU Court of Justice Grapples With U.S. 《澳门赌场官方下载》，2019年7月26日， http://www.justsecurity.org/65069/eu-court-of-justice-grapples-with-u-s-surveillance-in-schrems-ii
¹⁹ Op cit Court of Justice
²⁰ Ibid.
²¹ 美国国家安全局(NSA)，“PRISM/US-984XN概述”，IC不公开记录，2013年4月， http://nsa.gov1.info/dni/prism.html
²² Op cit 美国科学家联合会
²³ Op cit Court of Justice
²⁴ Ibid.
²⁵ Ibid.
²⁶ Ibid.
²⁷ As of this writing, 爱尔兰高级法院驳回了Facebook对2020年9月爱尔兰数据保护专员暂停从欧盟向美国传输数据的命令的挑战.
²⁸ Intersoft Consulting, Art. GDPR，适用于适当保障措施的传输，比利时，2018; http://gdpr-info.eu/art-46-gdpr/
²⁹ Ibid.
³⁰ Op cit Court of Justice
³¹ Ibid.
³² Ibid.

Scott M. 佐丹奴，JD, CISSP, IAPP FIP

律师是否有超过20年的法律经验, 技术和风险管理咨询经验. He is vice president, 公司隐私和Spirion的总法律顾问, 他在哪里担任跨国数据保护及其与技术交叉领域的主题专家, export compliance, internal investigations, 信息治理和风险管理. Prior to joining Spirion, 他曾担任Robert Half Legal的数据保护总监，并为Esterline Technologies Corporation建立了全球隐私计划. During his career, 佐丹奴曾在几家法律技术公司担任高级职位，是电子存储信息智能搜索的共同发明者. 他在法学院开设了第一个电子证据和电子证据开示课程.