关注我们

数据

是时候在美国数据隐私问题上虚张声势了吗?

共享:

发布时间

on

我们使用您的注册以您同意的方式提供内容并增进我们对您的了解。 您可以随时取消订阅。

对于拜登总统于 7 月 XNUMX 日签署的行政命令能否解决施雷姆斯二号案中突出的法律问题并恢复跨大西洋数据流的“信任和稳定”,陪审团尚无定论, 迪克·罗奇写道,前爱尔兰欧洲事务部长,他在爱尔兰公投中发挥了核心作用,该公投批准了里斯本条约,该条约承认保护个人数据是一项基本权利。

欧盟的数据保护法被广泛认为是数据监管和保护公民个人隐私权的黄金标准。

当互联网处于起步阶段时,欧盟在 1995 年开辟了新天地,在欧洲数据保护指令中制定了管理个人数据移动和处理的规则。

根据 2007 年里斯本条约,保护个人数据成为一项基本权利。 2009 年生效的《欧盟运作条约》和《欧盟基本权利宪章》保护了这一权利。

2012 年,欧盟委员会提出了《通用数据保护条例》(GDPR),提出了一套旨在促进欧洲数字经济和加强公民在线安全的全面改革。

2014 年 621 月,欧洲议会以压倒性优势支持 GDPR,来自各个政治领域的 10 名欧洲议会议员投票支持这些提案。 只有 22 名欧洲议会议员投反对票,XNUMX 人弃权。 

GDPR 已成为数据保护法的全球典范。  

广告

美国的立法者没有走与欧洲相同的道路。 在美国,执法部门的数据保护权利受到限制:倾向于赋予执法和国家安全利益特权。

当欧盟法院发现命名为“安全港”和“隐私护盾”的安排颇为奇特时,两次试图弥合欧盟和美国方法之间的差距并创建数据流机制的尝试都失败了。  

问题是,拜登总统 7 日签署的“加强对美国信号情报活动的保障”行政命令中规定的新的欧盟-美国数据隐私框架安排是否th 十月将在安全港和隐私盾失败的地方取得成功。 有很多理由怀疑他们会这样做。

Schrems II 设定了一个高标准

2020 年 XNUMX 月,在 Schrems II 案中,欧洲法院裁定美国法律不满足欧盟法律中关于访问和使用个人数据的要求。

法院持续关注美国机构对欧盟数据的使用和访问不受相称性原则的限制。 它认为“不可能得出结论”欧盟-美国隐私盾协议足以确保对欧盟公民的保护水平与 GDPR 所保证的水平相当,并裁定根据隐私盾创建的监察员机制是不足,无法保证其独立性。  

拜登总统的提议和欧盟委员会的认可

上7th XNUMX 月,拜登总统签署了“加强对美国信号情报活动的保障”的行政命令 (EO)。

除了更新奥巴马时代关于美国境内数据保护运作方式的行政命令外,该命令还制定了新的欧盟-美国数据隐私框架。

白宫关于 EO 的简报将框架描述为恢复跨大西洋数据流的“信任和稳定性”,并将其描述为“对实现 7.1 万亿美元的欧盟-美国经济关系至关重要”——这一说法过于夸张。

简报将新安排描述为支持“美国信号情报活动已经严格的一系列隐私和公民自由保障”。

它争辩说,新的安排将确保美国的情报活动只会在追求明确的美国国家安全目标的情况下进行,并且仅限于“必要和相称的”——这是对施雷姆斯二世判决的屈从。  

简报还规定了“多层机制”,这将使那些因美国情报活动而受害的人“获得(一项)独立且有约束力的审查和索赔的补救”。

欧盟委员会支持拜登总统的命令,热情地将其描述为为个人数据被转移到美国的欧洲人提供“具有约束力的保障措施,将美国情报当局对数据的访问限制在保护国家安全所必需和相称的范围内”。 在没有支持分析的情况下,它将命令的补救条款和法院描述为“调查和解决有关美国国家安全当局访问(欧洲)数据的投诉”的“独立和公正”机制。

一些严肃的问题

白宫和委员会的陈述中有很多值得质疑的地方。

许多人会质疑美国情报机构受制于“一系列严格的隐私和公民自由”的想法。 

关于美国用来引入这些变化的法律文书,出现了一个重大问题。 行政命令是灵活的行政工具,可以由现任美国总统随时更改。 白宫的变化可能会使已同意的安排被扔进垃圾箱,正如特朗普总统放弃经过艰苦谈判达成的限制伊朗核计划以换取制裁救济的协议时发生的那样。

还出现了关于“必要的” “相称” 出现在白宫和委员会的声明中将被定义。 大西洋两岸对这些关键词的解释可能大相径庭。 

Max Schrems 创立的欧洲数字权利中心指出了这一点,而美国政府和欧盟委员会则复制了“必要“和”成比例的“从 Schrems II 的判决来看,它们的法律含义并不相同。为了使双方意见一致,美国必须从根本上限制其大规模监视系统,以符合欧盟对“比例”监视的理解,并且不会发生:美国情报机构的大规模监视将在新安排下继续进行。

补救机制引起了特别严重的关注。 拜登总统的行政命令创建的机制复杂、受限且远非独立。

补救安排要求首先向美国情报机构任命的公民自由保护官员提出投诉,以确保机构遵守隐私和基本权利——这是一种偷猎者转变为猎场看守人的安排。  

这些官员的决定可以上诉到新成立的数据保护审查法院 (DPRC)。 这个“法庭”将“由美国政府以外的成员组成”。

使用“法院”一词来描述这个机构是有问题的。 欧洲数字权利中心拒绝认为该机构属于《欧盟基本权利宪章》第 47 条的正常含义。

其“法官”必须具备“必要的(美国)安全许可”,将由美国司法部长与美国商务部长协商后任命。

一旦任命法院的成员成为美国政府机构的一部分,就远非“在美国政府之外”。

如果申诉人或“情报界的一个成员”向法院提出上诉,三名法官小组将开会审查申请。 该小组再次选择了一名具有美国“必要安全许可”的特别辩护人来代表“申诉人在此事中的利益”。

在访问问题上,来自欧盟的投诉人必须将他们的案件提交给欧盟的相关机构。 该机构将投诉转移到美国。 在对案件进行审查后,“通过合格州的适当机构”将结果通知申诉人“没有确认或否认申诉人受到美国信号活动的影响”。 投诉人只会被告知“审查要么没有发现任何涵盖的违规行为”,要么已经发布了“需要适当补救的决定”。 很难看出这些安排如何满足隐私保护中的监察员提案未能通过的独立性测试。 

总体而言,数据保护审查法院的安排与备受诟病的美国 FISA 法院有几分相似,后者被广泛视为美国情报部门的橡皮图章。

下一步是什么?

随着美国行政命令的通过,该行动回到欧盟委员会,欧盟委员会将提出一项充分性决定草案并启动采用程序。

采用程序要求委员会从欧洲数据保护部获得不具约束力的意见。 委员会还必须获得由欧盟成员国代表组成的委员会的批准。

欧洲议会和理事会有权以其内容超出 2016 年 GDPR 法规规定的执行权力为由,要求欧盟委员会修改或撤回充分性决定。

作为直接代表欧洲人民的机构和如此压倒性地支持 GDPR 中规定的原则的机构,欧洲议会有责任长期认真地审视摆在桌面上的内容,并对这些提案在多大程度上符合 GDPR 中确立的原则以及欧洲人对其隐私权得到尊重的期望。

欧盟和美国在保护公民个人隐私权方面的根本分歧不太可能因拜登总统的行政命令而停止:争议仍有一段路要走。

分享此文章:

EU Reporter 发表来自各种外部来源的文章,表达了广泛的观点。 这些文章中的立场不一定是欧盟记者的立场。

热销