咨讯 5个关键见解:《通用数据保护条例》如何影响美国公司和跨大西洋数据传输的未来

Amanda Witt（美国凯拓国际律师事务所合伙人）撰写

欧盟的《通用数据保护条例》 (“GDPR”) 标志着全球隐私和数据保护实践的转折点，并改变了美国公司处理个人数据保护的方式。由于通用数据保护条例潜在的巨额罚款和复杂性，美国公司投入了大量的资源来制定隐私和合规计划，以此为 2018 年通用数据保护条例的有效性做准备。经证实，通用数据保护条例已被证实是在美国提议且采用的综合隐私法的启示。

然而，在过去几年中，可以说通用数据保护条例对于美国公司来说最重要的方面是跨大西洋数据传输问题以及欧盟是否正在慢慢转向要求数据本地化问题。虽然欧盟委员会更新的标准合同条款（“SCCs”）和欧洲数据保护委员会的指南提供了关于如何在欧盟法院（“ CJEU ”)在Schrems II案件中宣布“隐私盾”协议无效后完成欧盟—美国数据传输的指导，欧洲监管机构最近发布的执行裁决使得美国和欧洲公司越来越难以将个人数据传输到美国去—或者了解他们接下来的义务。

10 月 18 日，美国凯拓律所的技术、隐私和网络安全团队联合主管 Amanda Witt 在瑞典斯德哥尔摩参加了由 JP Infonet 主办的法律培训活动。在此次演讲中，Witt 女士通过解读美国监管法关于如何制定补充措施的提议以及对风险缓解策略的讨论，就公司如何解决这些难题提供了见解。她还讨论了最近提出的欧盟-美国数据传输框架，以及这种机制是否是解决跨大西洋数据传输难题的可行替代方案。

在 JP Infonet 主办的演讲中，Witt 女士提出了以下五个关键见解：

通用数据保护条例引发的美国隐私计划的变革：通用数据保护条例的颁布对全球范围内的公司来说是一个分水岭。 法律的综合性质和潜在的巨额罚款都需要复杂而耗时的准备工作，包括了解全面个人数据处理的大量数据配置，与经办人和其他业务合作伙伴准备和协商数据处理协议，实施数据主体访问请求和数据保护影响评估政策和程序，改进安全措施，更新隐私通知和实施数据传输机制等任务。在通用数据保护条例颁布之前，一些美国公司没有专门负责员工隐私的专家或顾问，条例颁布后稳步扩大了公司的隐私保护团队，至少拥有一名，通常超过五名左右的隐私专家或律师完全致力于公司的隐私保护。 鉴于美国（即加利福尼亚州、弗吉尼亚州、科罗拉多州、犹他州和康涅狄格州）颁布了综合隐私法以及国际上采用的类似通用数据保护条例的法律（例如巴西的 LGPD），一些公司继续大力投资发展其隐私计划 。根据国际隐私专家协会发布的 2021 IAPP-EY 年度隐私治理报告，员工人数为 25,000-74,900 的公司平均拥有 13 名全职隐私保护专员和 33 名兼职隐私保护专员。 员工人数在该范围内的公司通常平均每年花费 873,000 美元用于隐私保护相关的合规活动，自 2020 年以来增加了200,000 美元。许多公司计划在总监级别或更高级别雇佣 1 到 5 名额外的负责隐私保护的员工。

跨大西洋数据传输挑战：自 2020 年 7 月 欧盟法院（“ CJEU ”)在Schrems II案件中宣布“隐私盾”协议无效以来，很多公司已经花了两年多的时间来应对该裁决带来的影响。 如下文进一步讨论的那样，此挑战自该裁决判定以来愈发严峻。 为了处理 Schrems II 案件的裁决并为了通用数据保护条例从整体上更新标准合同条款（“SCC”），欧盟委员会于 2021 年 6 月 4 日采用了更新后的标准合同条款。更新后的该条款更受欢迎，用模块化的方法更恰当地反映了数据传输的多种类型。鉴于 Schrems II案例，一些公司必须在 2022 年 12 月 27 日之前更新旧版的标准合同条款，它们还必须评估是否需要采取补充措施并实施复杂的传输影响分析，以确认个人数据传输可以符合此类标准合同条款。 由于英国脱欧，英国（“UK”）有自己的国际数据传输协议和附录，要求英国于2024 年 3 月 21 日之前更新旧版的标准合同条款，以及该国版本的传输影响评估。

美国国家安全法：欧盟法院在Schrems II案件中解决了一个非常棘手的问题，该问题的类型和程度相当于美国政府通过国家安全监视活动访问从欧盟传输的个人数据。 欧盟法院裁定，政府进行访问的可能性导致欧盟数据主体无法获得通用数据保护条例规定的隐私权。欧盟法院侧重于监控两个授权渠道：《外国情报监视法》(FISA) 第 702 条和第 12333 号行政命令，该法院认为这涉及在没有充分的监督或个人补救权的情况下大量收集个人数据。 不幸的是，“电子通信服务供应商”和“远程计算服务”的广泛定义使许多美国公司及其承包商需遵守《 外国情报监视法 》且有受情报界访问的风险。根据美国司法部的指示，提供内部通信平台（例如，向员工发送电子邮件）的美国公司可能需要作为“电子通信服务供应商”遵守 《 外国情报监视法 》第 702条。

通用数据保护条例执法趋势：美国公司（尤其是科技公司）一直是欧盟的一些规模最大、最著名的通用数据保护条例相关执法行动的对象。迄今为止最大的罚款是由卢森堡监管机构对美国在线市场开出的。许多其他美国科技公司已被法国、爱尔兰和英国的监管机构罚款。奥地利、法国、意大利和丹麦最近的一些执法行动已经裁定某些美国的网站分析工具由于不充分的补充措施而通过美国情报机构的访问权进行非法传输。如果其他欧洲监管机构遵循这些裁决（他们很可能会这样做），美国公司依赖标准合同条款（“SCC”）将个人数据从欧洲传输到美国是非常冒险的，这种传输行为有可能被判为违法行为。让事情进一步复杂化的是，监管机构几乎没有提供切实可行的解决方案或替代方案，而且相对来说该条例也是不容更改的。

新提出的数据传输框架—数据传输难题的可能解决方案？：鉴于欧洲目前的监管执法趋势，唯一可行的解决方案似乎是改变美国情报机构收集和处理信号情报的方式，许多人认为这是不可能的。幸运的是，妥协可能即将到来。 欧盟-美国于 2022 年初发布的联合声明宣布原则上同意新的数据传输框架以取代失效的“隐私盾”协议，正如今年早些时候的事先提示，白宫发布了期待已久的跨大西洋数据传输行政命令（ “EO”）以取代 2022 年 10 月 7 日失效的“隐私盾”协议。此外，美国司法部（“DOJ”）根据这一公告发布了相关法规，设定了新的补救机制，包括设立数据保护审查法院（“DPRC”）。 跨大西洋数据传输行政命令旨在解决由欧盟法院在 Schrems II 一案中引起的众多批评。行政命令要求美国情报当局将美国情报活动限制在必要和合适的范围内。行政命令启动了欧盟委员会的批准程序，预计需要长达六个月的时间。新框架有望在 2023 年 3 月或之后不久开始实施，尽管该框架仍有可能面临新的挑战。但需要注意的是，行政命令和司法部的规定自发布之日起具有法律效力，因此企业在进行传输影响分析时可以依据 “必要性” 和 “相称性” 原则，而且一旦司法部确定欧盟是一个 “合格联盟”，补救机制就会生效。 正如这个领域的众多执业者所知道的那样，跨大西洋数据传输从不乏味！ 敬请期待更多… …

更多信息，请联系：
Amanda Witt，awitt@ktslaw.com

www.kilpatricktownsend.com