《隐私盾》废除：意味着欧美从此无法传输数据！

云头条 2020-08-13

1718

全球范围内数据方面的限制日益严格，这促使企业重新考虑业务经营方式。

用于将数字信息传输到欧洲境外的工具现面临法律困境。现在，许多公司在考虑曾经无法想象的局面：限制数据流出欧盟。

在欧盟最高法院上个月废除了名为《隐私盾》（Privacy Shield）的第二份跨大西洋数据保护协议后，大洋两岸的公司企业一直呼吁迅速换成新协议，积极倡导自问世以来支撑互联网的无摩擦数据这个概念。

但是《隐私盾》的废除表明真正无边界的互联网这个想法正在发生变化。

欧洲监管机构日益呼吁将数据存储在欧盟内部。虽然欧洲大陆具有里程碑意义的《通用数据保护条例》（GDPR）为世界其他地区的隐私规则提供了模板，但目前也有类似中国的数据传输方面的限制——在印度和巴西，类似GDPR的法律和本地数据存储需求正在酝酿中。

虽然欧盟监管机构将如何解读《隐私盾》裁决仍需拭目以待，但越来越多的公司不愿静观其变，而是主动决定将数据保留在欧盟内部。

2018年，网络安全公司卡巴斯基开始将来自欧洲和北美的数据存储在瑞士，以防止隐私问题。数字钱包提供商Dashlane自2012年创办以来就一直将用户数据存储在欧洲，因为几位创始人认为数据保护方面的高标准会吸引客户。

Peter Yared的公司InCountry帮助企业客户遵守本地数据法规，他告诉POLITICO网站：数据本地化要求日益被客户（尤其是那些业务遍布全球的客户）考虑进来。他说：“我们与客户交流后认为，具有全球思维方式的公司……正在为未来更严格的数字数据法规积极做准备。”

这些公司很可能成为先行者。一名不愿透露姓名的代表大型科技公司的律师表示，他们现在建议一些客户应考虑在不同的地区对数据进行分区。

该律师提到本月初废除《隐私盾》时说：“过去，我们告诉客户不用担心数据存储在哪里，因为数据导出机制允许很大的灵活性，但是我们已发生了180度大转变，告诉客户考虑首先在本地存储数据。这倒不是由于Schrems II判决本身，而是数据传输方面的限制越来越严格似乎是当今世界的发展方向，这将帮助客户使合规计划适应未来需要。”

德国成为急先锋

虽然欧盟最高法院因担心美国监视而废除了《隐私盾》，但它维持了用于在世界范围内导出个人数据的工具：标准合同条款（SCC）的合法性。

但是明显认可SCC带有隐藏的问题：最高法院强调，公司和数据保护监管机构有责任检查使用那些工具进行的传输是否符合欧洲数据保护方面的高标准。

欧洲的数据保护机构组织表示，评估使用SCC导出的数据是否合法这项工作必须“具体情况具体分析”，这加大了公司只要想把数据传输到境外，不得不认真分析外国监视制度的可能性，这表明即将出现棘手的法律难题。

德国的监管机构则更进一步，柏林的数据保护监管机构要求存储在美国的数据迁移到欧洲，而巴登-符腾堡州的监管机构告诉POLITICO，现行的SCC目前基本上不适合从欧洲导出数据。该国所有隐私权监管机构随后发表的一份联合声明称，在没有其他保护措施的情况下，针对美国数据传输的SCC“通常不够到位”。

要求数据本地化的呼声（尤其来自注重隐私的德国）不是什么新鲜事，但是这回可能不一样。数字主权已俨然成为欧洲最高决策者的头等大事，他们全力支持Gaia-X之类的项目，这个项目旨在加强欧盟将数据存储在欧洲大陆的能力。

本地数据存储要求也大行其道。中国和俄罗斯是该政策的重要拥护者，但数据方面的限制却在到处出现。在铁腕领袖Narendra Modi和Jair Bolsonaro的领导下，印度和巴西也倾向于数据本地化要求，而越南和马来西亚等国家有类似的规定。像澳大利亚和加拿大一些省份这样的西方盟友也有这方面的限制。

对于像谷歌和Facebook这样的公司来说，它们的全球帝国依靠从个人数据中提取价值的能力，向数据本地化转变意味着坏消息。许多这些公司将数量庞大的数据发回到美国进行处理、分析、研究及用于其他用途。不得不对那些业务职能进行区域划分，将意味着重组公司结构，并受到其他国家更严格的监管审查。

数字身份识别公司Dashlane的联合创始人兼首席执行官Emmanuel Schalit说：“如果您考虑这些大公司的运营，迁移数据并不像听起来那么简单，除非您一开始就进行了针对性的设计。谁知道供应商和客户之间签订了哪些错综复杂的协议？”Dashlane自一开始就将数据存储在欧洲境内。

虽然律师们急于想方设法让数据可以继续传输到境外，技术游说人士大声疾呼用另一种《隐私盾》来代替已废除的《隐私盾》，但一些分析师警告：修改法律的时机已过去了。

独立的网络安全研究人员和顾问Lukasz Olejnik通过电子邮件告诉POLITICO：“如果没有另一个类似《隐私盾》的方案，并假设它在技术和组织层面上做得很到位，数据本地化听起来是最简单的方法。我觉得纯粹的法律回应不够到位……我坚信合规将需要实际的技术性变化。在一些情况下，这意味着需要重新设计系统的架构。”

巴登-符腾堡州的隐私监管专员Stefan Brink赞同这个观点，告诉POLITICO：单单有法律层面的变化不足以让数据可以继续传输。

公司可以将其数据存储在欧洲，也可以采取这一招：对穿越大西洋的所有数据进行加密。

Brink声称：“我一般同意，将数据导出到第三国可能不再基于标准合同条款。然而欧洲法院表明了通过额外的保证继续这种数据导出的可能性。这可能包括对存储在美国的数据进行有效的加密，美国服务提供商无法破解加密数据。”

参考资料：

https://www.politico.eu/article/eu-court-ruling-strikes-hammer-blow-to-transatlantic-data-flows/

https://www.loc.gov/law/foreign-news/article/european-union-court-of-justice-invalidates-u-s-eu-privacy-shield/

https://www.cbronline.com/opinion/cloud-quake-safe-harbor

《隐私盾》废除：意味着欧美从此无法传输数据！

评论