UNDERSTANDING WHY THE FIRST PIECES FELL IN THE TRANSATLANTIC TRANSFERS DOMINO

谁推倒了跨大西洋数据传输的第一块多米诺骨牌?‍

作者信息

Gabriela Zanfir-Fortuna,The Future of Privacy Forum,The Vice President for Global Privacy

未来隐私论坛(Future of Privacy Forum),2008年成立于美国华盛顿特区,为非政府智库组织,其致力于推进数据隐私保护,促进行业、学术界与监管者之间的沟通。成员包括Facebook, Google和Microsoft等企业,以及Daniel Citron, Evan Selinger等学者,现任主席为Hogan Lovells US LLP合伙人Christopher Wolf

KEY TAKEAWAYS

后隐私盾时代,跨大西洋数据传输将何去何从?Gabriela这篇文章,通过分析和对比两起GDPR执法案例,提炼出欧洲数据监管机构们如下几个观点:

首先,在用户设备上存放cookies即构成对个人数据的处理欧盟数据保护监管局认为,即使cookies“并未激活”,也存在传输个人数据的可能性。奥地利数据保护机构裁定,能明确识别到设备及其使用者的数字痕迹即是个人数据,其强调,个人数据需要具有“可识别性”,只要有人能够凭借“合法手段和正当合理努力”将数据对应到个人,即具有可识别性,该数据即为个人数据。基于此,GDPR评述第26条规定的“任何人”至少包括两类人,即某一特定数据处理行为的处理者以及有可能访问该数据的国家安全机构。

其次,数据经过外国公司提供的cookies处理即构成跨国数据传输。欧盟数据保护监管局和奥地利数据保护机构均认为,经过cookies处理后,个人数据就被传输到了美国。跨国数据传输必须采取额外措施以保证数据得到与欧盟同等水平保护,而仅仅是签订格式条款合同等,或存在美国当局基于美国法律访问这些个人数据的可能性,就不能认为数据得到了有效保护。基于此,未来的国际数据传输也会受到影响,即接收方不必对数据传输合法性承担责任。

再次,无论是欧盟数据保护局还是奥地利数据保护机构,二者均未对涉案主体处以罚款,而是采取措施禁止相关跨境数据传输行为。

最后,这两个案例还有更深远的后续影响。第一,欧洲各国数据保护机构之间会加大合作力度;第二,要求欧盟对相关规则进行统一解释的呼声也愈发高涨,欧盟法院的裁判也将深远影响后续的类似案例;第三,相似的美国cookies提供商也将落入FISA第702节和EO 12333适用范围内,受到更严格监管

全文翻译如下:

谁推倒了跨大西洋数据传输的第一块多米诺骨牌

Gabriela Zanfir-Fortuna

欧洲各国数据保护机构(DPAs)于2022年1月第二周先后公布两项裁定,一项裁定涉及欧盟议会承包商,另一项则涉及一家奥地利公司,二者分别运行两家网站。以上两位涉事主体被认定非法向美国传输个人数据,“仅”因为其在用户设备上存放了由美国公司提供的Cookies(即Google Analytics和Stripe)。这两项裁决均对网站控制者(即对网站承担法律责任的实体)所采取的数据传输保障措施进行了调查,发现这些措施要么不充分(欧盟议会承包商),要么就根本没用(如奥地利公司)。

两项裁定均认为,就如同 2020年欧盟法院在“Schrems II”一案的判决中评估的那样,在没有充分性认定的情况下,考虑到美国当局出于国家安全目的访问个人数据的法律框架,所有从欧盟向美国转移个人数据的行为都需要在GDPR第46条所规定的保障措施的基础上采取“补充措施”。此外,在奥地利一案中,有关机构裁定,若想确保向美国传输数据行为的补充措施有效,必须“消除美国情报机构监视和获取(个人数据)的可能性”,这似乎让“后Schrems II”时代在国际数据传输中采取风险本位的观点风吹云散。

基于上述两个案例的对比分析可以发现,除时间和背景相似之外,二者还存在很多相似之处:首先,两个网站均大范围地使用Cookies(主要是Google Analytics,欧盟议会案件中还使用了Stripe);其次,两个案件的投诉人都是奥地利非政府组织NOYB;最后,在2020年8月,其他数据保护机构收到了来自该非政府组织基于同一法律依据和类似事实提起的101起投诉,这些案件的处理可能会参照上述俩案件的裁定。本文对奥地利数据保护机构(The Austrian DPA)和欧盟数据保护监管局(EDPS)裁定中最重要的一些认定进行分析,指出二者做出相同裁定的原因,并对这些裁定对后续相似案件的后续影响进行阐释。

/01/

即使未识别用户,也并不意味着Cookies不“活跃”,相反,“个人数据”正在通过Cookies被“处理”

在第一个裁定中,欧洲数据保护监管局(EDPS)调查了几名欧洲议会议员对欧盟议会内部新冠病毒检测管理网站的投诉。投诉人称,该网站通过美国公司(Google和Stripe)提供的cookies向美国传输他们的个人数据,这些Cookies会在他们访问新冠病毒检测网站时存放在他们的设备上,对这种行为他们表示担忧。该投诉基于《欧盟机构数据保护条例》(EUDPR),该条例与GDPR有着相同的定义和几乎一样的规定。

在适用EUDPR之前,还需要分析一个关键问题,即仅仅在网站访问者的设备上存放cookies是否构成处理个人数据。根据EDPS(欧盟数据保护监管局)在2016年通过的《网络服务个人数据处理保护指南》,使用“跟踪型cookies,诸如Stripe和Google Analytics cookies,被视为处理个人数据,即使跟踪者并不知道被跟踪用户的传统身份识别参数或在收集后已经予以删除”。该指南还指出,“所有包含标识符的数据记录,只要能够单独识别出特定用户,均视为个人数据,必须视为个人数据来对待和保护。”

欧盟议会在其提交给监管机构的文件中辩称道,Stripe cookie“从未激活,因为欧盟工作人员和欧盟议会议员注册该测试网址不需要提供任何信息”。然而,欧盟议会也承认,承包商创建新冠肺炎专用检测网站时复制了其运营的另一网站代码,且“复制的那部分代码包含Stripe的cookie代码,该代码在该网站中主要用于收集用户在线支付信息”。欧盟数据保护监管局的裁决强调“只要cookie存在于设备中,就不能被视为‘不活跃’。每次用户访问(该网站),其个人数据都会通过含有Stripe的cookie传输到Stripe,并且这些个人数据能够识别到个人身份。(……)而Stripe是否进一步处理通过cookie传输的数据并不影响认定其传输个人数据”。

至于Google Analytics cookies,欧盟数据监管局仅提到,欧盟议会(作为控制者)承认这些cookies“旨在处理‘在线标识符,包括cookie标识符、互联网协议地址及设备标识符以及客户端标识符’”。因此欧盟数据监管局认为,个人数据也在“通过上述跟踪器”被传输到美国。

第二项裁定涉及一家奥地利公司,该公司旗下的网站将奥地利用户作为目标用户,使用Google Analytics收集数据。奥地利数据保护机构在这份裁定中就该网站通过Google Analytics cookies处理个人数据这一认定提供了更详细的说明。

1.1 Cookie识别码本身即个人数据

奥地利数据保护机构指出,这些cookies包含了许多识别码,包括识别码末端的显示cookie设置时间的UNIX时间戳。此外,该机构还指出,这些cookies存放在投诉人的设备或浏览器上。依靠这些识别码,该网站和谷歌公司可以“对网站访客进行区分……并确定该访客是新房客还是回访访客”。

该机构在其裁定的法律分析部分中指出,“如果企业采取某些手段识别出网站访问者,例如本案对身份标识号进行分配,这就会侵犯访问者的数据保护基本权利。通过分析GDPR中关于“个人数据”的“可识别性”的定义、GDPR评述第26条以及第29条工作组关于“个人数据”概念的第4/2007号意见,奥地利数据保护机构指出,被处理数据被认为是个人数据时,对 “个人数据可识别性”的认定并不要求即时性,即不要求当下即可将相关身份号和特定自然人匹配上。

奥地利数据保护机构还补充道,“能明确识别到设备及其使用者的数字痕迹即是个人数据”。该机构指出,投诉人设备或浏览器上的cookies中包含的识别号是个人数据,特别强调了这些号码具有“独特性”,能够挑选出特定个人。同时,对涉案网站提出的抗辩——他们没有采取过任何手段将这些识别码与投诉人的身份联系起来,该保护机构予以特别指正。

1.2 Cookie识别码与其他元素结合后形成额外个人数据

然而,奥地利数据保护机构并没有就此打住。就为何在用户访问网站时设置备受争议的cookies可以视为处理个人数据这一问题,该机构指出,“如果考虑到身份识别号可以与其他元素结合,就更容易认同这涉及个人数据的观点”。例如,投诉人访问的网站和其子页面的地址和HTML标题,浏览器、操作系统、屏幕分辨率、语言选择和网站访问日期以及时间等相关信息,投诉人使用的设备的IP地址等。该机构认为,“把这些(数据点)一番结合后,投诉人的数字痕迹的特定性就更强了”。

Google Analytics向用户提供了IP地址匿名化功能,前提是用户激活了这一功能。然而,奥地利数据保护机构直接略过了这一功能,因为该网站在事实调查期间发现没有正确启用该功能。但是,就同一功能及同一事实,监管机构后面又提到,不论如何,IP地址都是该投诉人数字痕迹谜团诸多拼图之一。言下之意,即使该功能正常启用,也不会就此认为正在处理的数据无法识别到特定个人。

1.3 将控制者和其他“具有合法手段和合理努力的人”纳入可识别性测试

奥地利数据保护机构在裁定中进一步探讨了“可识别性”这一概念,强调通过cookies处理的争议数据构成个人数据这一认定,被告自己能否对应到特定个人并不是必要条件,因为识别所需的所有信息都在他们手上。相反,只要有人能够凭借合法手段和适当努力建立起这种对应关系,就足以认定构成个人数据。可见,奥地利数据保护机构在可识别性问题上的立场是,不仅仅要考虑控制者(即本案中的网站),还要考虑“其他人”有无方式方法得以识别个人。

考虑到欧盟法院一再指出“GDPR的适用范围可以被解释的非常宽泛”(例如 C-439/19 B、C-434/16 Nowak、C-553/07 Rijkeboer),奥地利数据保护机构在意见中解释道,其提及的“任何人”一词,以及个人数据定义的范围,“不得被扩大解释为理论上具备建立对应关系的特殊技能的任一未知行为人;因为这将导致几乎所有信息都将落入GDPR的适用范围,个人数据将很难与非个人数据区分甚至根本不可能”

这就是说,奥地利数据保护机构认为经过“正当且合理的努力”能否具有“可识别性”是认定个人数据的决定性因素。在本案中,奥地利数据保护机构认为,会有一些拥有专业技能的人,能够推断并识别出个人。从该监管机构的角度来看,Google Analytics服务提供者肯定可以,美国国家安全部门也有可能。就Google Analytics提供者即Google公司来说,该机构特别强调,从一开始,个人就是通过谷歌账户登录涉案网站的。

1.4鉴于可识别性测试,美国情报机构可能获得额外信息

最后,根据这一裁定,在评估通过cookie处理的数据的可识别性时,美国国家安全部门“必须也被考虑进去”。奥地利数据保护机构认为,“美国的情报机构将IP地址或唯一识别码等特定的在线标识作为监控个人的手段。尤其是,不能排除在这些传输数据的帮助下,已经收集到了能够追溯到投诉人本人的信息。”

为了证明这不仅仅是 “理论设想危险”,奥地利数据保护机构借用了欧盟法院在Schrems II案中关于美国法律框架和谷歌向当局提供的访问可能性的调查结果,以及谷歌的透明度报告(该报告证明美国当局向它提出了数据请求)。该监管机构进一步裁定,即使涉案网站确实不太可能确认每起案件以及全部网站访问者碰到类似请求,“但被调查对象如本案投诉人无法对此提出异议。正因如此,因此,尽管有Schrems II判决在前,但第一被告也就是网站运营者还在继续使用Google Analytics工具”。

因此,基于奥地利数据管理机构在该案中的调查结果,在认定谁可以以合法方式识别数据而构成个人数据时,GDPR评述第26条规定的“任何人”至少要考虑两类人,一类是某一特定数据处理行为的处理者,另一类则是有可能访问该数据的国家安全机构,至少在相关案件中,国家安全机构应当被纳入考虑范围(例如在国际数据传输中)。奥地利数据保护机构这一认定引发了另一问题:在确定一组数据是否可以与“可识别个体”相关联时,即使不存在国际数据传输争议,各国数据保护机构是否可以认为某特定管辖区的国家安全机构一般都是拥有“合法手段”和“专业知识”的行为人。

奥地利数据保护机构认为Google Analytics cookies处理的数据属于个人数据适用GDPR。更重要的是,cookie识别号本身就是个人数据。另外,通过cookie收集到的其他潜在数据元素与标识码一同构成个人数据。

/02/

在欧洲网站上放置美国公司提供的cookies会导致数据被传输到美国

监管机构确定通过Google Analytics和Stripe cookies处理的数据属于个人数据并分别受GDPR或EUDPR的保护后,他们还须确定是否有个人数据从欧盟流向美国,以确定与国际数据传输有关的条文是否能够适用。

欧盟数据保护监管局再次简明扼要提出了观点。其声称,位于美国的两家企业(Stripe和Google LLC)通过在欧盟议会网站上的cookies处理了涉案个人数据,“经由他们处理的个人数据被传输到美国”。该监管机构称“投诉人特别强调道,Google Analytics收集的所有数据都被托管在美国(即存储和进一步处理),”,这一说法进一步佐证了该机构的结论。这一结论表明各国监管机构在协同行动,因为欧盟数据保护监管局在裁定书的脚注27中提到了奥地利的审理流程, “在NOYB就使用Google Analytics时向美国传输数据提出101项投诉的背景下”。

反过来,奥地利数据保护机构也适用了欧盟数据保护委员会(EDPB)《关于GDPR第3条适用范围和第5章之间关系的指南》草案所确定的标准,并认为所有条件均已满足。网站管理员是位于奥地利的数据控制者,作为数据输出方,它“在网站上大规模使用Google Analytics,直接导致向第二被告传输的数据被传输到了美国,由此披露了投诉人的个人数据”。奥地利数据保护机构还指出,作为数据处理者和输入方的第二被告,位于美国,因此,GDPR第五章及其国际数据传输的相关规定适用于本案。

不过,需要特别指出的是,奥地利数据保护机构在本案事实调查部分指出,在2021年4月底之前,涉案Google Analytics版本一直由Google LLC(总部位于美国)提供。基于此,在这一发生于2020年8月的案件,相关数据处理者和最终数据输入方是Google LLC。但奥地利数据保护机构还指出,自2021年4月底以来,Google Analytics开始由Google Ireland Limited(总部设在爱尔兰)提供。

基于上述情形,未来案件需要考虑的问题是,在认定国际数据传输时,数据保护机构是否会适用《欧盟数据保护委员会第5/2021号指南(草案)》中规定的标准。该指南特别要求(至少在目前正在进行社会公开听证的草案版本中)国际数据传输需要满足“数据输出方地处第三国”的条件,但对公司主体或数据处理机构所在地没有进一步规定。

2.1 在没有充分性认定的情况下,所有实施了 “额外保障措施”如SCCs的欧美数据传输行为的都需要补充措施

在认定本案中存在从欧盟到美国的国际数据传输行为后,数据保护机构就数据传输使用的法律依据进行了评估。

欧盟数据保护监管局指出,欧盟各机构和机关 “在挑选数据处理者并允许向欧洲经济区以外传输个人数据时,必须保持对数据的控制并在充分了解相关情况后做出决定”。接着又写道,在没有充分性认定的情况下,他们 “只有在提供适当的保障措施,并为数据主体提供可行使的数据主体权利和有效的法律救济措施后,才可以将个人数据传输到第三国”。该局指出使用标准合同条款(SCCs)或其他传输手段并不能取代Schrems II判决要求的逐案评估,欧盟各机构和机关必须在“进行任何传输之前”进行事先评估,必要时他们还需要在传输工具之外实施补充保护措施

欧盟数据保护监管局引用了欧盟法院在Schrems II案中一些关键结论,特别是 “鉴于《外国情报监视法》第702条、第28总统政策指令(PPD),并结合美国第12333总统行政令(EO),以及美国缺少同《宪章》第四十七条规定基本相当的有效救济措施,美国的监控行为范围大且不合比例,导致美国的个人数据保护水平存在问题”。

值得注意的是,监管机构随后确认,“只有在采取有效补充措施的情况下,才能将个人数据传输到美国,以确保对传输的个人数据提供基本同等水平的保护”。由于欧盟议会没有提供任何证据或文件来证明其在网站隐私声明中提到的标准合同条款之上又采取了补充措施,因此欧盟数据保护监管局认定其向美国传输数据的行为是非法的。

同样,奥地利数据保护机构在其裁定中引用道,欧洲法院在其 Schrems II 判决中,基于相同的三项法律条款(第 702 条 FISA、EO 12333、PPD 28),对美国的法律框架“已经做出了回应”。该机构仅指出“很明显,第二被告(Google LLC)具备FISA 第 702 条所规定的电子通信服务提供商的资格”,因此, “根据 50 US Code §1881a,它有义务向美国当局提供个人可识别信息”,同样,基于谷歌透明度报告,数据保护机构认为“美国当局也经常向它提出此类要求”

考虑到欧盟法院评估的美国法律框架,奥地利DPA也得出了与欧盟数据保护监管局相似的结论,即不能认为仅仅与美国的数据接收方签订标准合同条款就能确保达到足够的数据保护水平。因此“争议的数据传输是否得到有效保护不能仅看被告之间达成的标准数据保护条款”,而必须在标准合同条款的基础上做出补充措施。奥地利数据保护局在分析被告所采取的现有补充措施时,主要依据欧盟数据保护委员会制定的《关于补充数据传输手段的1/2020号建议》。

2.2 补充措施必须“消除”政府访问数据的“可能性”,才算有效

在分析为保护传输个人数据而采取的各种措施时,数据保护机构希望确定“第二被告采取的额外措施是否填补了CJEU[Schrems II]判决指出的法律保护漏洞,即美国情报部门访问和监控的可能性”。基于这一目标,奥地利数据保护机构逐一分析其采取的措施。

案件中考虑的合同和组织补充措施:

· 通知数据主体相关数据请求(所有涉及个人的案件都应如此,

· 公布透明度报告,

· 公布“处理政府请求”的准则,

·仔细评估任何数据请求。

考虑到欧盟法院在Schrems II的观点——即使是“美国情报机构请求获得了准允(如不违反美国法律),但这仍然无法与《欧盟基本权利宪章》第8条规定的数据保护的基本权利相兼容”, 数据保护机构认为,上述措施到底能在多大程度上缩小两国数据保护水平差距并不明朗。

技术性补充措施是:

· 保护谷歌服务之间的通信;

· 保护在数据中心之间传输的数据;

· 保护用户和网站之间的通信;

· “驻场安全”;

· 加密技术,例如,对数据中心的静止数据进行加密;

· 处理假名化个人数据。

关于加密作为正在使用的补充措施之一,基于当前决定这一情形,数据保护机构认为FISA第702条所指的数据接收方 “有提供访问或交出这些数据的直接义务”。数据保护机构认为,“这项义务可以扩展到密码钥匙,即没有密码钥匙就无法读取数据”。因此,似乎只要密钥存储在数据接收方手中,并且接收方受欧盟法院在Schrems II中评估过的美国法律(FISA第702条,EO 12333,PPD 28)约束,加密措施就不能被认为提供了充分保障措施。

德国数据保护机构大会认为,使用cookie ID、广告ID和用户唯一ID并不构成GDPR规定的假名化,因为这些标识符“是用来区分和定位个人的”,而不是用来“掩盖或删除识别数据,以实现大会认为的数据主体无法被定位这一假名化目标”。基于上述观点,奥地利数据保护机构拒绝了经由Google Analytics处理的涉案个人数据属于假名化数据这一抗辩理由。

总的来说,数据保护机构认为技术措施并不充分,因为被告对这些措施在多大程度上“实际阻止或限制了美国情报部门基于美国法律访问数据的可能性”给出全方位的解释(因此,被调查者有举证责任)。

基于这一观点, 采取“基于风险本位的路径”的国际数据传输保护规则在审理过程中也被特别提出来,但是数据保护机构的裁定似乎事实上拒绝了这一观点。裁定的执行部分也特别强调了这点。风险本位路径的观点是,在没有充分性认定的情况下,要使传输合法,只需证明政府在额外保障措施的基础上获取所传输个人数据的可能性很小,或在实践中某类传输相关的政府访问数据行为因此有所减少就足够了,不用再考虑政府在相关法律框架下有多大的权力来获取该数据,也不用再考虑是否缺乏有效的救济措施。

在技术方面,奥地利数据保护机构认为,只要实际上没有阻止基于美国法律访问个人数据的可能性或者没有消除这种可能性,就不足以在实践中减少访问数据的风险。从该决定执行部分使用的语言中也可以得出这一结论,数据保护机构总结道:“除SCC之外采取的措施……无效,因为它们没有消除美国情报机构进行监视和访问的可能性”。

如果其他数据保护机构也在裁定中认同这种数据传输方式,那么向美国传输个人数据的潜在有效补充措施清单将非常少——表面上看,只剩下(符合GDPR标准的)匿名化或任何其他能够有效并物理上实现消除美国国家安全机构访问个人数据的可能性的技术措施。

这里需要提醒的是,在没有充分性认定的情况下,EDPB建议规定,所有基于额外保障措施的国际数据传输(一般来说是指向第三国传输)都必须适用补充措施。裁定的结论是,根据欧盟法院对三项具体法律行为(FISA第702节、EO 12333和PPD 28)的认定结果,补充措施是因为无法弥补美国数据保护法律框架留下的保护“差距”,所以无效。因此,如果是向其他司法管辖区传输数据,关于上述补充措施的讨论和评估可能会有不同结果。

2.3 数据接收方是否对数据传输的合法性承担责任?

奥地利数据保护机构对未来的国际数据传输案件可能会产生的重大后续影响之一是“数据输出方必须遵守GDPR第五章的要求,但数据接收方不必遵守”。因此,根据这一解释,数据传输接收端一方的组织,至少当它们只是本案中数据输出方的处理者时,并没有违反GDPR规定的国际数据传输义务。主要论据是“第二被告(作为数据输入者)不披露投诉人的个人数据,而是(仅)接收这些数据”。因此,在本案中谷歌并没有被认定违反GDPR第44条。

然而,数据保护机构确实认为有必要进一步调查第二被告如何遵守其作为数据处理者的义务,并把这个作为一个单独的审理部分。特别是,处理者根据控制者书面指示处理个人数据的义务,包括GDPR第28条第3款a项和第29条详细规定的向第三国或国际组织传输个人数据。

/03/

制裁和后果:预先删除cookie、事后惩戒和阻止传输

这两个裁定的另一个共同点是,它们都没有苛处罚款。欧盟数据保护监管局对欧洲议会发出谴责,因为它违反了EUDPR的若干规定,包括 “在缺少其向传输到美国的数据主体的个人数据提供了基本同等的保护水平这一证明时,基于标准合同条款”进行的几项国际数据传输行为。值得一提的是,在投诉人于2020年10月27日联系欧洲议会后,欧洲议会几日之内就要求网站服务提供商禁用谷歌分析和Stripe cookies。涉案cookies只在2020年9月30日至11月4日时处于活跃状态。

反过来,奥地利数据保护机构发现“使用Google Analytics工具(至少在2020年8月14日的版本中)不符合GDPR第五章的规定”。然而,如上所述,数据保护机构认为只有身为数据输出方的网站运营商违反了GDPR第44条。奥地利数据保护机构决定不对此案施加罚款。

然而,奥地利数据保护机构试图对该网站实施数据传输禁令或类似命令,但在程序上遇到了一些麻烦。在审理过程中,负责管理该网站的奥地利公司将运营该网站的责任移交给一家位于德国的公司,因此该网站不再受其控制。但奥地利数据保护机构注意到,裁定作出当时网站还在继续使用Google Analytics工具,因此它决定将该案件移交给德国监管机构,看是否有可能对新运营商运用救济权。

因此,根据这些案件在没有适当保障措施的情况下,只会禁止向美国传输个人数据而不是制裁数据输出方。当事人可在规定期限内向各自的管辖法院起诉这两项裁定并寻求司法审查,但目前还没有迹象表明他们会这么做。

/04/

大背景:101项投诉和数据保护机构之间的合作

奥地利数据保护机构裁定Noyb在2020年8月直接向欧洲(欧盟和欧洲经济区)14个数据保护机构提交了101项投诉,包括马耳他、波兰和列支敦士登。奥地利数据保护机构是第一个发布裁定的。这些投诉基于近似的法律论据,即通过使用Google Analytics或Facebook Connect把个人数据跨境传输到美国。而且都只选择了当地网站或本国网站,因此这些案件大概率不会涉及一站式机制。

101项投诉中很大一部分都提交给了奥地利数据保护机构(约50项),要么像本文分析的案例一样直接基于管辖权;要么因为“一站式”机制,即奥地利数据保护机构作为投诉人居住地的相关数据保护机构,可能需要将案件移交给目标网站所在辖区主导数据保护机构。这样一来,会有更多数据保护机构必须做出裁定,从塞浦路斯到希腊,再到瑞典、罗马尼亚和更多国家。在101起近似投诉提交后一个月左右,EDPB决定成立工作组“分析此事并确保委员会成员间密切合作”。

相比之下,针对欧洲议会的投诉不在此列,它是后来单独提交给欧盟数据保护监管局的,但在通过Google Analytics和Stripe cookies向美国跨境传输数据问题上依据的也是类似的观点。如上文,即使欧洲议会该案件不属于101起投诉案之一,当局确实与EDPS进行了合作或沟通,因为EDPS直接参考了奥地利的审理情形。

还有一些其他合作迹象,例如荷兰数据保护机构和丹麦数据保护机构在奥地利公布裁定后也立即发布通知,提醒大家他们可能很快会发布Google Analytics使用新指南,指南会格外参考奥地利案件。值得注意的是,丹麦数据保护机构强调,“由于奥地利数据保护机构的裁定”目前“不太确定是否以及如何根据数据保护法使用此类工具,包括向第三国传输个人数据的规则”。它还呼吁数据保护机构在这个问题上统一行动:“欧洲监管机构对规则达成统一解释至关重要”,因为数据保护法“旨在促进内部市场”。

最终,CJEU在欧盟法律释义上方面拥有最终权威,其法律解释需要适用于所有欧盟成员国,数据保护机构们也将适用CJEU判决结果。所有这一切都表明,在短期到更远的未来,可能会陆续发布一系列类似决定,出现重大变化的可能性很小。这就是为什么说,本文总结的这两个案例可以被视为多米诺骨牌中的最先被推倒的两块。

不过,这一多米诺骨牌关乎的不仅仅是这101个案例和它们针对的这些cookies,它最终还关乎所有美国服务提供商和企业。这些服务提供商和企业从欧盟接收个人数据,但这些数据可能落入FISA第702节和EO 12333适用范围内。使用美国服务提供商提供的服务或将其作为商业伙伴的所有欧盟组织,包括网站运营商、企业、学校和公共机构,都会向其披露个人数据。它还可能影响所有在美国设有办事处和子公司并向这些实体提供个人数据的欧盟企业。

翻译:黄昊 荆文琦

审核:姜唐

编辑:黄昊

声明:本文来自网络西东,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。