两年前,欧盟法院宣布欧盟-美国数据流的法律框架“隐私保护”无效。该裁决的后果强化了欧盟的数字主权议程,该议程越来越将数据本地化视为其核心要素之一。
自欧盟法院作出“Schrems II”判决以来,美国总统府和欧盟委员会一直在努力以一项新的协议取代跨大西洋协议,该协议可能会在欧洲*高法院接受司法审查。2022年3月,美国总统乔·拜登和欧盟委员会主席乌苏拉·冯·德莱恩宣布原则上达成协议。
然而,尽管布鲁塞尔似乎致力于与其*亲密的盟友重建数据传输框架,但欧盟决策者一直在逐步研究数据本地化的要素,这些要素将对跨大西洋数据流带来更严格的限制。
“Schrems II”裁决已证明,除非有足够的保障措施,否则在不具备与欧盟一般数据保护条例同等数据保护水平的管辖区内的数据传输是非法的。reuschlaw律师StefanHessel :
“即使没有充分性决定,也不清楚是否有可能以及在多大程度上将数据传输到美国。标准合同条款在多大程度上仍然是一种有效的工具,这一点存在争议,监管当局相互矛盾的声明正在尽其所能增加公司之间的不确定性。”
这是原话?如果是,老板的表达能力真差。
判例法将欧盟的数据充分性制度置于中心地位,根据该制度,欧盟委员会决定一个国家拥有足够的数据保护水平,从而实现与该国的无限制传输。
Fundaço Getulio Vargas法学院的客座CyberBRICS教授Ian Brown表示:“其他国家采用类似GDPR的立法,以简化充足性决策,这是一个非常长期的趋势——而美国正在成为一个例外。”
欧洲数据保护委员会发布了关于在向未被充分性决定涵盖的国家传输数据时确保GDPR合规性的指南。法律分析人士认为,在这项建议中,欧洲DPA呼吁数据本地化,或多或少暗中支持欧洲数字主权背景下的数据本地化倡导者。
对隐私未来论坛副主席Gabriela Zanfir Fortuna来说,欧盟的国际数据传输制度至少在理论上与数据本地化制度相反,因为它旨在允许个人数据的国际传输,同时确保数据受到与欧盟类似的保护。
尽管如此,在欧洲数据保护监管机构和EDPB关于欧盟健康数据空间立法提案的联合意见中,当局敦促立法者对健康数据引入本地化要求。理由是,如果处理基础设施位于其管辖范围之外,“对遵守欧盟数据保护规则的控制可能并不总是得到充分保证。”
因此,欧洲DPA似乎越来越支持与布鲁塞尔当前政治议程齐头并进的数据本地化要求,即使对于数据保护水平足够的国家也是如此。Zanfir Fortuna指出,这种政策转变将导致与数据充足性制度的严重紧张关系。
有意义的是,“Schrems II”裁决的动机是,美国情报机构有不成比例的机会获取欧盟居民的数据,而没有司法补救的可能性。相称性和司法补救是欧盟的两项核心原则。
对Brown来说,“施雷姆斯二号”当然不是“宏伟计划”的一部分,因为欧盟委员会是一个独立机构。尽管如此,它补充了某些欧盟国家,特别是法国对数字主权的推动,其目的是“欧洲在数字世界中独立行动的能力”。
将欧洲数据(包括非个人数据)置于外国司法管辖区之外,在这一概念中起着关键作用。例如,《数据治理法》要求数据中介机构采取一切合理措施,防止国际转移或政府访问欧盟境内持有的非个人数据,以免与欧盟或国家法律产生冲突。
《数据法》也包含了类似条款。对欧洲政策制定者来说,这些措施背后的理由并不意味着惩罚性的,而是要确保欧盟为创建工业数据市场而制定的严格规则不能仅仅因为居住在欧盟之外而被绕过。
“我们不想让外部参与者难以在欧盟运作,但我们希望确保每个人都遵守同样的规则。我们所定义的义务对外部参与者来说根本不是禁止性的,”欧洲议会议员Damian Boeselager解释道。
云基础设施方面是欧盟议程中另一个具有数据本地化特征的方面。对于数字主权的倡导者来说,欧洲过度依赖非欧洲云服务提供商。作为欧洲数据战略的一部分,欧盟为自己设定了“减少对这些战略基础设施的技术依赖”的任务。
*新的倡议来自欧洲云服务网络安全认证计划,这是一项基于《网络安全法》的认证。该计划有三个级别的保证,根据*近通过的《网络和信息安全指令》修订版,*高级别的保证将成为提供基本服务的组织的强制性保证。
根据泄露的草案,高保证计划包括主权要求,这将使非欧洲公司不可能获得证书。云服务提供商必须将总部设在欧洲,不受任何非欧盟实体的控制,完全独立于非欧盟法律。
该提案得到了法国和欧盟委员会的支持,但遭到了一些成员国和企业代表的抵制,他们反对在安全基础设施的技术讨论中引入出于政治动机的标准。
分界线是数字主权辩论的典型分界线。巴黎和其他欧盟大国通过建立欧洲冠军来推动从美国技术中解放出来。相反,更小、更自由的成员国希望获得*好的技术,也不想为扩大法德公司的规模买单。
reuschlaw的Hessel补充说:“创建自给自足的数据空间对创新发展是一种风险。此外,在芯片短缺的时候,鉴于欧盟的计算机容量有限,只在欧盟存储所有数据也是一个基础设施问题。”
由于适用管辖权是数字主权的一个关键方面,这一概念不可避免地导致法律冲突的根本问题。这一问题不能简单地通过立法来解决,因为根据定义,其他“主权”司法管辖区不受其他法律制度的影响。
对于数字欧洲贸易协会(trade association Digital Europe)CIPP/E主任Alberto Di Felice来说,欧洲试图阻止第三国司法管辖区访问欧盟数据是完全不现实的。在他看来,这些努力只会给具有国际业务的企业带来法律不确定性和合规问题。
Di Felice警告说:“如果你是一家欧洲公司,并且你的所有数据都存储在欧洲,但你在美国做生意,你仍然会受到美国相关数据请求的约束。真正改变这一情况的唯一单方面方法是要求欧洲公司停止在美国的业务,这将是自取灭亡。”
-End-