从GDPR到英国脱欧,再到目前正在讨论的新的人工智能数据隐私立法,过去几年是欧洲合规领域的繁忙时期。虽然在英国脱欧期间,许多人最担心的是商品和人员的自由流动,但在欧盟内外传输个人数据的能力也至关重要,尤其是对于像HireRight这样依赖这些数据传输来运营的企业来说。
那么,英国脱欧对英国和欧盟之间数据传输的潜在影响是什么?英国关于充分性裁决的重要性是什么? GDPR对全球数据隐私立法的广泛影响是什么?
从法律角度来看,由于已经就贸易协定本身及其条款进行了谈判,以及英国政府和欧盟委员会为确保裁决的充分性所做的努力,英国脱欧不会对数据传输产生实际影响。
2021年6月28日,英国收到了充分的正式裁决,允许企业将数据从欧盟转移到英国而无需采取任何进一步步骤,因为英国被认为是一个安全的地方,并提供足够的安全和技术措施来保护数据。
在达成贸易协议之前,有一件非常有趣的事情是,欧盟实体不愿参与或完全接受数据中心可能不在欧盟境内的想法,特别是在处理个人数据的地方。部分原因是施雷姆斯II案的裁决,该裁决确定隐私盾在美国不再适用。
该裁决还消除了一些围绕标准合同条款的争议,并且实体确实需要确保它是正确的数据传输方法,因为没有对充分性的裁决,传输方法将是这些标准合同条款。有一定的不情愿,因为充分性裁决将是最好的事情,在2020年底的某个时候,贸易谈判看起来可能会失败,不会达成协议,这导致一些欧盟实体有点谨慎。
快进一点,仍然有一些谨慎,但最终贸易协议要求欧盟国家不参与任何新法律,这意味着欧盟实体不应该从事要求你在欧盟内部拥有国内数据的活动,因为这违反了贸易协议的原则,也违反了充分性裁决。我们的预期是,随着时间的推移,非法定基础上产生的任何紧张情绪都有望减少,数据将根据充分性裁决在欧盟和英国之间自由流动。
当考虑到最近的其他立法更新从合规性的角度产生了影响时,从判例法的角度来看,有一些事情非常有趣。英国发生了几起备受瞩目的数据泄露事件,导致信息专员办公室(ICO)处以巨额罚款。
隐私专家们想知道的一件事是,随着GDPR的出现和候选人权利的增强,“我们是否会开始看到与数据泄露索赔有关的集体诉讼或‘救护车追踪’?”
我们已经开始在电视上和我们的电子邮件中看到受特定数据泄露影响的人的广告。任何该组织的客户都将收到他们的电子邮件,或者被邀请与他们联系,加入集体诉讼,并有可能赢得一些赔偿。因此,该公司不仅面临GDPR罚款,还可能面临集体诉讼,他们可能不得不直接向个人支付赔偿金——我们开始看到与此相关的一点趋势。
第二大影响是施雷姆斯二世案。早在2015年,奥地利隐私维权人士马克斯·施雷姆斯(Max Schrems)就挑战了“安全港”,最终它被拆除,取而代之的是“隐私盾”。隐私盾保护数据从欧盟(当时是英国)转移到美国,是您可以为您的美国组织获得的认证。
Schrems也对Privacy Shield提出了挑战,并在2020年7月获得了支持,Privacy Shield被认为不再是对数据传输的适当和充分的保护。这意味着,任何仅仅依靠Privacy Shield提供保护的组织都必须转向并确保其他措施到位,无论是有约束力的公司规则还是标准合同条款。
有几个监管机构,例如挪威和德国,一夜之间询问他们领土内的组织,如果他们确实依赖隐私盾认证的组织来存储他们的个人数据,他们立即停止这样做。这是一个非常有影响力的裁决。
现在,任何拥有隔离数据的组织,如HireRight,都没有受到这一特定裁决的影响。HireRight将美国数据和欧盟数据分开,并将欧盟数据牢牢保存在欧盟或英国境内。但除了标准合同条款之外,现在显然会有更多的审查,欧盟委员会已经发布了这些标准合同条款的更新草案,旨在使其更加健全。它还为处理器模型条款引入了流程,可以用于审查和评论(我们从2010年开始就一直在等待这些条款)。
最后一件有影响力的事情发生在最近,欧盟委员会发布了一份关于管理人工智能(AI)使用及其如何与数据隐私交互的新指令的立场文件。这是非常有趣的,因为人们认识到技术和自动化确实在推动数据的处理方式,而这本身确实存在一些风险。
咨询文件现在已经公开,我敦促所有处理数据并希望利用技术的组织看一看,并可能参与咨询,因为立法也将产生影响。
Caroline Smith是HireRight的副总裁兼副总法律顾问