当地时间7月16日,欧盟最高法院(CJEU)欧洲法院裁定:欧美之间的数据跨境共享协议《欧美数据隐私护盾》(简称《隐私盾》)失效,将个人数据转移到第三国建立的数据控制者和/或处理者的标准合同(SCCs)仍然有效。
当前,可替代《隐私盾》的数据跨境安全保障措施有:
一是在标准合同条款中增加附加保障措施。欧洲法院指出,控制者和处理者可基于SCCs增加额外保障措施,以确保在第三国能充分保护个人数据和保障数据主体的权利。因此,企业可考虑在SCCs中附加一些规定以明确标准合同条款中未涉及或未解决的问题,尤其是关于政府访问个人数据要求的处理。
二是申请数据安全管理部门批准“特别条款”。作为一种可替代性的长期措施,企业可考虑向数据安全管理部门申请批准自身提出的标准数据保护条款。
三是采用有约束力的公司规则(BCR)。BCR中包含了如下安全保护措施,如向政府机构披露数据,满足BCR被批准之前的高安全规格审查等具体内容。因此,BCR可能会成为跨境数据流动合法化的最可靠机制。
企业当下紧急应对《隐私盾》失效的主要措施有:
一是采取可替代《隐私盾》的其他保护措施,将过去仅适应《隐私盾》规定的数据跨境场景,转换到另一种可适应的保障措施涵盖范围内。
二是核准接收方的数据保护水平,对确定要跨境的个人数据进行评估,明确与其匹配的安全保障措施和接收方的数据保护能力及水平。
三是为欧盟客户提供数据安全需要的协助,美国和其他地方的数据处理方应为欧洲客户提供协助,确保采取的保护措施能满足其对数据安全的合规性要求。
四是关注欧洲数据保护局(DPA)的声明,DPA和欧洲数据保护委员会(EDPB)可能会发布基于SCC向某些国家传输数据的合法性声明。
五是动态监测SCCs的更新,尽管CJEU宣布SCCs有效,但欧盟委员会有可能发布新的SCCs,以解决CJEU和情报机构在美国发现的安全风险。
(相关新闻由Engage发布,https://www.engage.hoganlovells.com/knowledgeservices/news/schrems-ii-privacy-shield-invalidated-and-standard-contractual-clauses-under-scrutiny)
声明:本文来自互联网新技术新业务安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
