“Schrems II”：使欧盟-美国隐私护盾无效对跨大西洋贸易和创新意味着什么

信息技术与创新基金会 | 2020年12月“Schrems II”：使欧盟-美国隐私护盾无效意味着什么跨大西洋贸易和创新丹尼尔·卡斯特罗和ELLYSSE奈杰尔•科里迪克|2020年12月欧盟-美国隐私盾的消亡影响了数千家依赖它传输数据的公司。政策制定者应该认识到双边和全球范围内涉及的巨大贸易和创新风险，并为数据保护和数字贸易建立一个更好的框架。关键的外卖▪跨大西洋数据流使各行各业的公司都能从数据驱动的创新中受益，加强贸易，并增加消费者获得越来越多的数字和数字化商品和服务的机会。▪隐私盾是数千家主要中小型企业的两种不同数据保护制度之间的重要桥梁。鉴于替代品的成本和复杂性，它们将受到其消亡的不成比例的影响。▪摆在面前的政治挑战是协调欧盟和美国之间以及欧盟成员国之间的不同政府监控系统。这个问题不是私营部门可以自己解决的。▪跨大西洋数据流和数据保护的作用和重要性只会越来越大。政策制定者需要认识到这一点，并确保通过进一步合作和新的数据传输机制得到支持。▪欧洲和美国的共同点比他们通常承认的要多，特别是与中国这样的威权大国相比。切断数字贸易关系将因全球数字经济的碎片化而伤害双方。 信息技术与创新基金会 | 2020年12月页面的页面1介绍欧洲法院 （ECJ） 于 2020 年 7 月作出的使欧盟-美国隐私护盾无效的决定将对依赖它合法向国外传输数据用于运营、客户服务、通信、研发和人力资源的数千家组织产生直接且潜在的长期影响。数据传输是全球数字经济贸易和创新的必要条件，尤其是在COVID-19大流行期间。这些组织（主要是来自不同部门和国家/地区的中小型企业）在管理数据传输的替代方案方面面临着相当大的不确定性，因为这些选项成本更高，也更复杂，而且它们现在的法律依据不稳定。另一种选择——事实上在欧洲强制本地数据存储——对公司来说也是昂贵和复杂的，并且会转移组织可以采取的更有意义的数据保护步骤的资源。大西洋两岸的政策制定者需要认识到利害关系，并紧急合作建立一个新的法律框架。清晰、可预测且可访问的数据保护法律框架使组织能够更轻松地管理和传输数据。跨大西洋数据流使各行各业的公司都能从数据驱动的创新中受益，加强国家之间在越来越多的数字和数字化商品和服务方面的贸易，并扩大消费者获得越来越多的商品和服务的机会。其他更昂贵和更复杂的法律机制。如果政策制定者不创造欧盟-美国隐私盾的替代方案，那么大西洋两岸各行各业的公司都将受到影响——就像 COVID-19 加速我们社会和经济的数字化转型一样。长期以来，试图调和欧盟和美国数据保护方法的尝试一直受到对监控和隐性保护主义的担忧的困扰。虽然双方已经就建立跨大西洋数据流的法律工具达成一致——最初是2000年的美国-欧盟安全港，最近是欧盟-美国隐私盾——但欧盟法院现在已经两次破坏了这些努力。Schrems我和Schrems二世裁决.尽管最近的挫折无疑令欧盟和美国的政策制定者感到沮丧，但它有望澄清需要进一步工作的地方来解决悬而未决的问题，以便在数字政策上发展合作，综合和稳定的跨大西洋关系。如果政策制定者不创造欧盟-美国隐私盾的替代方案，那么大西洋两岸各行各业的公司都将受到影响——就像 COVID-19 加速我们社会和经济的数字化转型一样。对于欧盟-美国谈判和任何潜在的新协议来说，这是一个特别具有挑战性的环境。许多政策制定者'最近的双边贸易和政治紧张局势决定了人们的观点。一些人还倾向于通过单一的视角来看待数字政策，这种视角只关注领先的美国科技公司。可以理解的是，政策制定者也全神贯注于其他紧迫问题，包括 COVID 大流行对健康和经济的影响，以及为即将上任的拜登政府做准备。这意味着，如果这一关键组成部分的这一关键组成部分，政策制定者可能无法认识到直接和长期后果。 信息技术与创新基金会 | 2020年12月页面的页面2跨大西洋经济关系不会很快得到修复或取代。虽然制定新的解决方案将具有挑战性，需要双方开展大量工作，但值得庆幸的是，真诚接触的历史、对新想法的开放和共同的价值观为欧盟和美国创造互惠互利的东西奠定了基础。本简报概述了欧盟-美国隐私护盾、谁使用它，以及其失效可能对个别公司和更广泛的数字创新产生的影响。最终，政策制定者需要意识到利害关系，并优先考虑创建解决方案。“SCHREMS II”和欧盟-美国隐私盾：切断关键连接在Schrems二世,欧洲法院发现，美国的数据监控法律和数据处理者的合规要求使公司无法确保一旦转移，美国的个人数据将得到与欧盟同等的保护。具体而言，法院认为《外国情报监视法》（FISA）第702条和第12333号行政命令允许美国情报机构收集有关外国国民的数据，与欧盟宪章保障的权利不一致。美国政府对欧洲法院裁决的优点提出异议，认为法院没有考虑许多监督职能，其中一些是最近做出的。例如，美国外国情报监视法院积极监控美国情报机构是否适当地针对个人以获取情报信息。美国法律，包括FISA和《行政程序法》，允许外国个人通过民事诉讼在美国法院寻求对违法行为的补救。此外，欧洲法院决定的理由也存在严重问题。一个简单的事实是，绝大多数使用欧盟-美国隐私盾的公司都没有与国家安全相关的数据，也不太可能受到与FISA相关的请求。无论如何，欧盟-美国隐私护盾的所有参与者都失去了根据该计划传输数据的能力，尽管这对大多数人来说可能是一个不切实际的问题。一个简单的事实是，绝大多数使用欧盟-美国隐私盾的公司都没有与国家安全相关的数据，也不太可能受到与FISA相关的请求。欧洲法院的裁决使欧盟委员会的充分性决定无效，该决定允许公司根据欧盟 - 美国隐私护盾进行自我认证。因此，组织不再能够使用此框架来传输个人数据，并且必须使用替代传输机制。这Schrems二世裁决维持标准合同条款（SCC）的有效性，并采取“补充措施”以确保充分的保护。欧洲数据保护委员会 （EDPB） 关于这些措施的建议提供了一些指导，但在如何与欧盟委员会的政策建议、过去和即将出台的与 SCC 相关的欧洲法院裁决以及每个欧盟成员国的数据保护局 （DPA） 将如何解释和执行所有这些变化方面仍然存在相当大的不确定性3。 缺乏充分性决定。出口商还可以使用其他法律替代方案，例如具有约束力的公司规则 （BCR） 和减损，以确保合规。 信息技术与创新基金会 | 2020年12月页面的页面3欧盟-美国隐私护盾：不同数据保护方法之间的桥梁欧盟和美国使用过渡机制——首先是安全港，最近是隐私盾 — 因为他们管理数据保护的方式非常不同，但都意识到数据传输对贸易和创新的重要性。美国使用基于风险和问责制的方法，其中公司仍然在法律上负责管理数据，无论他们在哪里传输和存储数据，而欧盟使用更严格、基于合规性的方法，将国际数据传输限制在一小部分国家/地区，它表示提供与欧盟通用数据保护条例 （GDPR） 相同的保护。 欧盟委员会既考虑了进口国的法律保护水平，也考虑了阻止数据流向该国的潜在影响。这些决定不允许将欧盟个人数据继续传输到第三国（除非它们也被认为足够或使用其他法律工具）。由于欧盟认为美国没有达到其充分性测试，它与美国合作制定了一项解决分歧的计划。美国公司和拥有美国子公司的欧盟公司必须遵守这些额外的法律机制来接收欧盟个人数据。隐私护盾是提供欧盟法律将个人数据从欧盟传输到美国所需的额外保障的关键桥梁。它为欧盟消费者提供了信任元素、追索权系统以及传输欧盟个人数据的更简单途径。2000年建立的欧盟-美国安全港框架最初提供了这座桥梁。在欧洲法院宣布安全港无效后Schrems我决定，美国和欧盟在2016年就隐私盾框架进行了谈判。隐私盾旨在提供更强大的互操作性机制来管理美国和欧盟之间的欧盟个人数据传输。该协议受到大西洋两岸的欢迎，当时的委员会副主席安德鲁斯·安西普（Andrus Ansip）指出，“[欧盟]企业，尤其是最小的企业，具有发展跨大西洋活动所需的法律确定性。5同样，时任美国联邦贸易委员会（FTC）主席伊迪丝·拉米雷斯（Edith Ramirez）表示，“[确保]大西洋两岸的消费者隐私受到保护至关重要。6隐私护盾是两个制度之间的重要桥梁，为将个人数据从欧盟传输到美国提供了欧盟法律要求的额外保障。隐私盾为欧盟消费者提供了信任元素、追索权系统以及传输欧盟个人数据的更简单途径。根据隐私护盾，打算传输数据的组织可以通过美国商务部自我证明遵守一系列原则，例如在其数据传输政策和实践中包含额外的隐私和保护措施.7 组织必须继续遵守这些原则，以保持遵守欧盟法律。组织支付年费以参与隐私护盾。年费基于组织的年收入，收入不超过 500 万美元的组织起价为 250 美元，收入超过 50 亿美元的组织为 3，250 美元。8 因此，隐私盾的价格低廉，因此可供更广泛的小公司使用。 信息技术与创新基金会 | 2020年12月页面的页面4虽然价格实惠，但隐私盾不一定容易或便宜。这不仅仅是一个打勾练习，因为许多公司投入了大量资金、时间和精力来制定新的数据保护政策和程序，作为自我认证（并保持合规性）的一部分。例如，确定和重新谈判与外部供应商的合同（以嵌入数据处理要求）涉及相当大的复杂性和管理成本。除非公司已经受到特定的美国数据隐私法（如美国健康保险流通与责任法案）的约束，否则他们可能不必对他们的数据进行盘点，并为欧盟个人数据建立数据保护实践。公司还必须提供一个现成的独立申诉机制来听取个人投诉（个人无需支付任何费用）。虽然选择自我认证是自愿的，但这些原则具有法律约束力，确保框架为跨大西洋数据传输提供一致和普遍的保障。联邦贸易委员会监督合规性，并有权对虚假声称参与或遵守隐私护盾的公司采取法律行动。2019 年 4 月，商务部启动了一个系统，每月对公司进行 30 次抽查，以主动确保公司遵守其承诺.9 在 2020 年上半年，联邦贸易委员会与至少 12 家虚假陈述其参与隐私护盾或未能遵守隐私护盾原则的公司达成和解.10 隐私护盾还为欧盟公民提供了一个选择，可以援引具有约束力的仲裁来确定是否一个组织违反了协议。美国商务部设立了一个基金，所有隐私护盾组织都为之捐款，以支付仲裁费用（该基金和仲裁本身由国际争议解决中心-美国仲裁协会管理）.11隐私盾对许多参与跨大西洋贸易和创新的公司的数据隐私实践产生了重大影响。它导致许多新的公司，尤其是规模较小的公司将更多的资源和注意力分配给数据合规性，这使他们能够更好地满足欧洲和其他地方未来的数据合规性要求。因此，欧盟-美国隐私护盾为跨大西洋数据流建立了更高的基线。欧盟和美国的政策制定者应该认识到，这是参与隐私盾的许多公司的真诚努力，也是改善商业数据隐私和数字贸易的积极整体成果。这是他们应该争取再接再厉的进展。无论法律技术如何，数据传输都是必要的，有利于跨大西洋贸易和创新在快速采用以下技术的推动下，组织的数字化程度不断提高随着云计算和数据分析，数据作为贸易和商业投入的重要性日益增加，不仅影响信息产业，也影响传统产业.12数据流对7.1万亿美元的跨大西洋贸易和创新关系至关重要.13数据驱动的商品和服务的开发，采用和消费对于提高生产力和创新至关重要， 以及美国和欧盟的生活水平14。正如信息技术和信息基金会（ITIF）在“通过利用下一次数字技术浪潮促进欧洲增长，生产力和竞争力”中所概述的那样，欧盟有机会在下一波数字化转型中取得重大进展，特别是在其具有竞争优势的领域，例如智能 信息技术与创新基金会 | 2020年12月页面的页面515 但这需要欧盟和美国制定正确的政策，允许数据传输，以支持数据的互利流动和使用，同时显然要考虑各自的数据隐私方法。数据的数量、类型和流量继续呈指数级增长。公司收集和分析个人数据，以更好地了解客户的偏好和支付意愿，并相应地调整其产品和服务。一个简单的事实是，如果不跨境收集和发送个人数据（例如姓名，地址，账单信息等），就无法进行涉及消费者的国际贸易。同样，现代创新通常需要传输个人数据，例如临床试验。但个人数据只是更广泛的数据流和使用的一部分。组织越来越依赖数据来监控生产系统、管理全球劳动力、监控供应链以及实时支持现场产品。但是，个人信息通常与非个人数据交织在一起。因此，对个人数据的限制可以限制数据中