导读:
《隐私保护协议》认证的机构“只有在服务于(最初或相符)处理目的的期限内”才能保留个人信息,但如果相关信息不是“已识别或可识别个人身份的形式”,那么机构就能无限期地保留这些信息。个人身份在数据集中是否可识别,这取决于机构或其他任何第三方能否通过“他们有可能利用(要考虑识别身份所需的费用和时间、处理时的可用技术等等)的身份识别手段和保留的数据形式”来识别个人身份。
《隐私保护协议》最重要的创新之一是扩大了个人信息再次转移给第三方的责任,比《安全港协议》的要求更加严厉,这在再次转移责任原则中有所描述。《隐私保护协议》认证的机构可以把数据转移给第三方,但前提是这种转移必须受到合同的约束,无论第三方是否也是《隐私保护协议》认证的机构。合同必须把处理活动限制在数据主体同意的条款范围内,并使第三方遵守《隐私保护协议》认证的机构承诺遵守的那些标准。
GDPR将在两年内正式生效,届时将适用于任何一家处理欧盟居民个人数据或者监督欧盟居民行为的机构,不管这些机构位于世界的哪个角落。GDPR规定的义务比《隐私保护协议》更加严格。因此,在两年内,受到GDPR约束的美国机构将不得不履行GDPR更严格的义务。
原文翻译:
2015年10月,欧盟最高司法机构欧洲法院废除了《安全港协议》(Safe Harbor)。
2016年2月,欧盟和美国宣布达成《隐私保护协议》(Privacy Shield)。
2016年7月,该协议正式生效。美国商务部长佩妮·普里兹克(Penny Pritzker)表示,从8月1日开始,想要将欧盟数据转移到美国的机构可以申请认证。
《隐私保护协议》临时文本在2016年3月发布,相对于《安全港协议》作出了一些操作上的修改。这些修改包含在协议框架的附件二中,在原则中也有所描述。此后,《隐私保护协议》经过了第29条工作组、欧洲议会、欧盟数据保护专员和第31条委员会的审查。7月发布的新文本试图解决审查过程中出现的很多担忧。
最重要的变化涉及到美国国家安全机构使用欧盟数据的棘手问题,基本上不会对参与数据转移的公司造成影响。例如,新文本就信号情报的大量收集问题作出了更多的保证和澄清。对于想要申请《隐私保护协议》自我认证的公司来说,新文本中有几个值得注意的变化。特别需要注意的是,新文本阐明了有关个人信息二次处理、保留期限和再次转移的标准。
关于二次处理的更详细阐述
《隐私保护协议》规定,机构只能处理“与处理目的有关”的个人信息,而且“对个人信息的处理方式不得与收集这些信息或随后获得相关个人授权的目的相矛盾”。该规定包含在数据完整性和目的限制原则中。
批评者担心,只要与处理目的相关以及不存在相矛盾的情况就允许处理,这可能导致过于宽泛的理解和实践。因此,新文本添加了与处理目的相符的处理活动的例子。是否相符取决于具体情况,但可能包括“合理地服务于客户关系、合规和法律方面的考虑、审计、安全和欺诈防范、保护或捍卫机构法律权利或者在特定的信息收集背景下与理性主体的预期相符的其他目的”。
欧盟委员会的“充分决定”还进一步澄清,这些有关符合处理目标的规定与选择原则相辅相成。因此,“在(变更后的)新目的与最初目的存在很大差异、但仍然符合最初目的的情况下,选择原则赋予信息主体反对(选择退出)的权力”。但这并不意味着机构可以利用选择退出机制进行与目标不一致的处理。
《隐私保护协议》对去身份化和数据保留采取“基于风险的方法”
新文本采取“基于风险的方法”来定义用于二次处理目的的、可识别身份的个人信息。《隐私保护协议》认证的机构“只有在服务于(最初或相符)处理目的的期限内”才能保留个人信息,但如果相关信息不是“已识别或可识别个人身份的形式”,那么机构就能无限期地保留这些信息。个人身份在数据集中是否可识别,这取决于机构或其他任何第三方能否通过“他们有可能利用(要考虑识别身份所需的费用和时间、处理时的可用技术等等)的身份识别手段和保留的数据形式”来识别个人身份。
按照《数据保护指令》(Data Protection Directive),这种基于风险的框架与第29条工作组对身份可识别性的定义存在明显冲突。《数据保护指令》基本上对再次识别身份的风险持零容忍态度。
《隐私保护协议》新文本允许机构保留个人信息,但保留的“期限和程度必须合理地服务于公共利益、新闻、文学和艺术、科学或历史研究以及统计分析的存档目的”。和《通用数据保护条例》(General Data Protection Regulation,简称GDPR)中的研究豁免一样,这种数据保留豁免可能会使很多处理活动合法化。
加大针对再次转移的责任追究
《隐私保护协议》最重要的创新之一是扩大了个人信息再次转移给第三方的责任,比《安全港协议》的要求更加严厉,这在再次转移责任原则中有所描述。《隐私保护协议》认证的机构可以把数据转移给第三方,但前提是这种转移必须受到合同的约束,无论第三方是否也是《隐私保护协议》认证的机构。
合同必须把处理活动限制在数据主体同意的条款范围内,并使第三方遵守《隐私保护协议》认证的机构承诺遵守的那些标准。另外,认证的机构必须“采取合理和适当的措施”,确保第三方对数据的处理符合《隐私保护协议》的原则。如果第三方违反其义务,那么认证的机构必须“采取合理和适当的措施,阻止和补救未经许可的数据处理”。《隐私保护协议》认证的机构对第三方的数据处理行为负有责任,除非“证明自己与导致损害的事件无关”。
《隐私保护协议》新文本在这个框架中添加了第三方的通知义务。新文本规定,如果第三方无法再履行其责任,必须及时通知认证的机构。这个通知义务必须在双方的合同中写明。
有关自动化处理的规定即将出台
欧盟委员会的“充分决定”指出,在信贷、抵押贷款和就业等几个特定领域,美国法律保护个人免于自动化处理导致的不利决定。但美国法律对自动化处理的监管范围并不比欧盟更广。“充分决定”强调这是“需要密切监督的领域”,并把讨论自动化处理作为《隐私保护协议》首次年度审查的一部分。
《隐私保护协议》只有两年的存在意义?
GDPR将在两年内正式生效,届时将适用于任何一家处理欧盟居民个人数据或者监督欧盟居民行为的机构,不管这些机构位于世界的哪个角落。GDPR规定的义务比《隐私保护协议》更加严格。因此,在两年内,受到GDPR约束的美国机构将不得不履行GDPR更严格的义务。
《隐私保护协议》通过两个办法来解决这个问题。首先,当GDPR生效时,年度审查过程将允许欧盟委员会提高《隐私保护协议》规定的标准。其次,“充分决定”指出:“《隐私保护协议》的原则只适用于美国机构进行的个人数据处理,且这些机构进行的数据处理不属于GDPR的范畴。”决定申请《隐私保护协议》认证的机构应该在两年内做好遵守GDPR的准备。