欧盟坚决要求美国采取下一步行动,以协商一项替代现已失效的《安全港协议》(Safe Harbor Agreement)的协议,该协议旨在保护跨大西洋个人数据传输的隐私。
“我们需要一项新的跨大西洋框架进行数据转移,”欧盟司法和消费者委员专员věraJourová表示,强调了这种情况的紧迫性。然而,她周五在布鲁塞尔的一部新闻发布会上说:“现在是美国的答案。”
欧盟法律要求,无论公司在世界各地处理欧盟公民的个人信息,都必须保证其所持有的个人信息受到同样的隐私保护。
《安全港协议》是一种简单的机制,公司可以通过它提供这种担保。欧盟委员会(European Commission)与美国于2000年达成协议,允许美国公司证明自己遵守了欧盟的隐私规定——但事实的确如此欧盟法院于10月6日推翻了该法案没有提供足够的法律保障。
周五,委员会发布了寻找的企业新指南向美国合法输出个人信息的方式,后安全港。然而,它所做的不过是重复委员会在法院裁定当日所提供的建议.
该指南称:“在更新的跨大西洋框架到位之前,企业需要依赖现有的替代转移工具。”
Jourová认识到这并不总是容易的:“公司在依赖替代工具时面临一些限制。”
对于欧洲公司来说,实施“安全港”很简单,因为他们所要做的就是与根据协议注册的美国数据处理器签订合同。确保合规是这家美国公司的责任。
欧盟1995年的《数据保护指令》(Data Protection Directive)中规定的替代机制——标准合同条款、有约束力的公司规则,或获得数据被转移者的知情同意——将责任直接推给了转移发生之时的公司。
Jourová说:“无论他们选择什么,他们必须能够证明保护已经到位,他们保证保护转移到美国的数据。这对中小企业来说尤其是个挑战。”
她的同事安德鲁斯Ansip,欧洲的数字单一市场委员会指出,使用这些工具并不新鲜:许多公司在安全港之前五年开始遵守指令的要求。
他说:“许多数据流都是基于合同条款的。”
新的“安全港”协议能否解决该法院提出的问题还有待商榷。一些批评人士说,如果不对美国法律进行全面改革,就不可能提供欧盟法律要求的担保。虽然欧盟大多数数据保护部门仍在研究替代工具是否足够,德国当局非常担心关于他们已暂停所有新注册的数据出口
安西普对其中的一些担忧表示赞同:“具体需要什么取决于律师。一个具有法律约束力的行政决定将需要使安全港2.0防弹,”他说。
换句话说,“安全港”的继任者在受到欧盟最高法院的考验之前并不安全。
这就是美国官员面临的挑战,Jourová正在等待他们的答复。她说,她下周将前往华盛顿,“在最高政治级别上讨论这个问题”。