2019年10月23日,欧盟委员会发布了《“欧盟-美国隐私盾”第三次年度审查的报告》,该报告确认,美国将继续确保对根据“隐私盾”从欧盟转移到美国公司的个人数据提供足够的保护。自第二次年度审核以来,该框架的功能已有许多改进。这次审查涉及了“隐私盾”的所有方面,并重点关注了欧委会在第二次审查中认为应当密切监控的方面,着重于从其实际实施和日常功能中总结经验教训。
欧委会在第三次年度审查中还对公开提供的材料进行了参考和进一步说明,包括法院判决、美国有关部门执行的规则和程序、来自非政府组织的研究报告、由隐私盾认证组织发布的透明度报告、媒体报道等。欧委会的报告有以下结论:
1、企业方面
根据去年的调查结果,欧委会对企业层面注意集中在美国商务部取得的进展上,包括再审核程序,由商务部积极监测认证公司的合规情况(所谓的“抽查”),用于发现虚假请求的工具、FTC关于违法的执法行动结果和进展情况,关于人力资源数据指南的进展。商务部对于没有完成在审核程序却在隐私盾名单上的企业也要求其遵守相关的义务;商务部主动检查公司是否遵守隐私保护规定,根据要求,于2019年4月推出了一套系统,每月抽查30家公司。欧委会认为这种检查不应当仅限于针对一些形式上的要求,也应当包括“隐私盾”中的实质性义务;在发现虚假声明中,欧委会发现只是针对已经加入“隐私盾”的企业,有些方法可以针对已经被认证或申请认证的企业,对于从未申请认证的企业也进行跟踪,这对于保护公平竞争环境非常重要。欧委会肯定地指出,越来越多的欧盟数据主体正在“隐私盾”的保护下行使自己的权利;关于执法,欧委会指出在过去一年中,FTC审结了7件违反“隐私盾”的案例,均涉及参与“隐私盾”的虚假声明,其中两种情况也更实质性的违反隐私保护的要求,如未能通过自我评估验证或通过外部合规审查。欧委会希望对于实质性违反隐私保护要求的企业能够施以更严厉的惩罚。但FTC声称有些信息由于具有机密性所以不能提供,欧委会并不能接受这一说法,督促FTC尽快采取措施提供更详细的信息;关于人力资源数据处理,商务部、FTC和欧盟数据保护机构正在制定指南,但仍未出台。
2、美国公共机构对个人数据的访问和使用
关于美国公共机构访问和使用个人数据的相关方面,第三次年度审查的目的首先是确认充分性决定所依赖的所有限制和保障措施仍然有效。此外,第三次年度审查还审查新的事态发展,并进一步澄清法律框架的某些方面,以及不同的监督机制和补救的可能性,特别是在民政监察员处理和解决申诉方面。
在外国情报收集立法方面,除《外国情报收集法》外没有新的进展。但美国对于收集外国情报的规划和目标做出了更进一步的解释说明;关于《总统政策指令28》,美国确认其继续有效,其中的批量收集,包括那些关于临时获得的,不适用于在美国境内收集外国情报信息(例如,从处理数据的认证公司收集信息);关于隐私和公民自由监督委员会机构,美国增加了其成员,该委员会通过了新的工作计划,包括十项正在进行的监督项目,其中一些与委员会隐私保护的定期审查相关;同时美国也增加了“隐私盾”监察机制的人员,美国当局还就监察员的做法提供了进一步的解释,包括与其他独立监督机构合作,以及如何纠正违规行为。
3、结论
欧盟委员会得出结论,认为在实践中需要采取一些具体措施更好地确保隐私保护的有效运作:
第一,美国商务部应缩短企业完成再认证程序的不同期限。最多30天的期限是合理的,可以让公司有足够的时间进行重新认证,包括纠正在重新认证过程中发现的任何问题,同时确保这一过程的有效性。如果在此期限结束后仍未完成重新认证,商务部应立即发出警告信。
第二,抽查时,商务部应先评估企业是否遵守了数据转移的责任规定,包括相关的合同和转移的目的。
第三,商务部应开发用于发现公司参与隐私保护的虚假声明、从未申请认证,并定期、系统地使用这些工具。
第四,FTC应优先找到与欧委会、欧盟数据保护机构分享有价值的信息的方式,欧盟数据保护机构也具有执行“隐私盾”的权力。
第五,欧盟数据保护机构、商务部、FTC共同制定人力资源数据定义和处理指南。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。