失去“安全港”,世界会怎样?
作者:星期二, 十一月 3, 20150

2015年10月6日,欧盟最高法院裁定自2000年以来的美欧“安全港”框架协议无效事件,犹如飓风一般横扫全球。而在此之前,“安全港”协议允许美国的互联网科技公司可以在最小监督下传输、储存、使用和处理欧盟成员国公民的数据。

640.webp

这听起来有点不太靠谱,不过仔细研究一下“安全港”协议的条款你会发现,只要美国的互联网科技公司在自律的情况下坚持以下七个“安全港”原则,一般来讲该协议还是在可接受范围之内的:

  • 告知原则——网站须告知用户收集了什么信息、谁在收集信息,以及为什么要收集该信息;
  • 选择原则——允许用户选择是否允许自己的信息被网站收集;
  • 传播原则——允许用户选择是否允许自己的信息向第三方进行传播;
  • 访问原则——允许用户有权更正、修改或删除自己的数据;
  • 安全原则——网站必须保障用户数据得到安全保护;
  • 数据完整性原则——网站所收集的数据必须与收集数据的目的相关联;
  • 强制合规原则——网站所收集的用户数据结构必须通过“安全港”合规验证。

“安全港”协议制定的初衷有着双重目的,既保护欧盟成员国公民的隐私,同时又允许用户数据流从欧盟向美国的互联网科技公司流动。而如今,“安全港”协议已经成为历史。早期的传言表明,“安全港”协议还会变相回归,不过回归的时间表尚且未知,估计最早也要等到2016年下半年了。

未知水域未雨绸缪

为了更好地理解在“安全港”回归之前的这段日子里应该如何应对,以及当“安全港”回归时又该如何继续“航行”我们必须要回顾一下“安全港”崩塌的两大主要原因:一、美国安全事务局在和“安全港”数据隐私原则的对决中取得了胜利;二、国家数据保护部门必须倾听公民投诉,并有权停止数据传输。

尽管欧盟最高法院已经明确做出裁决,但美国商务部依然行使着对“安全港”项目的管理权,并发表网站声明称:

在当前快速变化的国际环境中,美国商务部将继续管理“安全港”项目,包括对向“安全港”框架提交的自认证申请的处理工作。如果您有问题,请与欧盟委员会联络,也可向欧洲的国家数据保护机构或法律顾问机构进行咨询。

所以就目前而言,美国选择无视“安全港”协议失效对美国互联网科技公司的影响,认为这不过是夸大其实。实际上讲,任何未来的双边“安全港”计划都必须协调底层问题,最主要的是欧盟将不会接受以“美国国家安全问题”为由践踏欧盟公民的隐私。

尽管“安全港”协议被裁定无效,但很有可能还会以类似“安全港”补充协议的形式再次出现,协议中有可能会规定所有政府将必须在特定情况下(如法院裁决)才能获取欧盟公民的数据。换句话说,“安全港”协议的失效事件并不能给企业提供过多的指导意见,但对于未来可能出现的状况,应该引起企业足够的警觉。

另一方面,事件肯定会导致实质性变化,各公司可以在这方面着手应对。至少,任何类似“安全港”的补充协议,都将涉及到数据收集地的数据保护部门,各公司必须遵守数据保护部门的具体规则和投诉程序。

国家数据保护部门和跨国公司

受此裁决影响的任何公司首先要做的就是要对其控制或处理的数据所属国进行审计。因为这些国家中的每一个国家,都将认为你理所应当遵守每个国家数据保护部门的当地政策和规程,并且会对必须发生的操作是否更改进行验证。

接下来,审计即将签署的替代协议,保证采用了信息部的公司与公司协议的示范条款以及适用于跨国公司进行数据传输的信息部归口操作法则。至于归口操作法则,各公司最好申请并获得每个数据收集地数据保护部门的批准。

比方说,一家在四个欧盟成员国中收集保险数据的跨国公司,但所有收集来的保险索赔数据都要在美国的分支机构进行处理,那么这种情况下,这家公司就可能需要这四个欧盟成员国的每个数据保护部门的归口操作法则。

同样的,如果数据处理公司并不是在公司内部完成,而是由美国的第三方外包公司进行承担的话,欧盟和美国公司都需要确保服务协议中包含示范条款,以确保满足欧盟数据保护方针的充分性标准。

理想情况下,各公司将不再完全依靠安全港自我认证,而要使用另外的方法,保证数据传输的足够安全,如归口操作法则或示范条款。

不论你是否已经采用了这些方法,你都应该让你的法务部门和管理团队忙活起来,立即制定计划进行审计、审查并纠正发现的问题。当前环境可能会持续一段时间,但不会就这么无限期的持续下去。美欧双方陷入僵局的谈判,加上美国商务部认为“安全港”协议仍然有效的立场,将不可能在短时间内出台一分新的协议。

朱子云:宜未雨而绸缪,毋临渴而掘井。欧盟没准还会兴什么风,作什么浪呢。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!