2021年6月8号消息,欧盟 (EU) 隐私监管机构已对欧洲公共部门组织使用美国云服务的情况展开了两项调查,以查看它们是否有效地保护了公民的个人数据。
欧洲数据保护主管 (EDPS) 的第一项调查将着眼于亚马逊网络服务(AWS) 和微软根据 Cloud II 合同在欧盟公共部门机构和机构中提供的云服务的使用情况。第二个将特别关注欧盟委员会 (EC) 对Microsoft Office 365 的使用。
这些调查构成了EDPS 战略的一部分,以确保欧洲机构根据欧盟数据保护法进行国际数据传输并遵守Schrems II 裁决,该裁决于 2020 年 7 月取消了欧盟-美国数据共享协议隐私盾.
判决发现,美国的监视法意味着美国没有提供与欧盟法律同等的隐私保护,裁定它们不相称,超出了严格必要的范围。
作为其 Schrems II 合规战略的一部分,EDPS 要求多家欧洲机构在 2020 年 10 月报告其向非欧盟国家转移个人数据的情况,然后对其进行分析。
分析证实,欧盟机构越来越依赖来自大型 IT 提供商的基于云的软件、基础设施和平台,其中一些位于美国,因此受到其侵入性监视法的约束。
例如,2018 年 3 月通过的美国云法案有效地允许美国政府访问美国公司在云中存储在任何地方的任何数据,而外国情报监视法案 (FISA)第 702 条允许美国司法部长和情报局局长共同授权对美国以外的人进行有针对性的监视,只要他们不是美国公民。
“根据欧盟机构和机构的报告结果,我们确定了需要特别关注的某些类型的合同,这就是我们决定启动这两项调查的原因,”EDPS 负责人 Wojciech Wiewiórowski 说。
“我知道 Cloud II 合同是在 Schrems II 判决之前于 2020 年初签署的,亚马逊和微软都宣布了新措施,旨在与判决保持一致。尽管如此,这些宣布的措施可能不足以确保完全遵守欧盟数据保护法,因此需要对此进行适当调查。”
根据调查结果,欧盟机构可能需要寻找替代的云服务提供商。
据微软发言人称,该公司将积极支持欧盟机构回答 EDPS 的问题,并有信心将迅速解决任何问题。
“我们确保遵守并超越欧盟数据保护要求的方法保持不变。作为我们捍卫您的数据计划的一部分,我们已承诺在我们有合法依据的情况下挑战政府对欧盟公共部门或商业客户数据的每一项要求,”他们说。
“如果我们违反适用的隐私法披露数据并造成伤害,我们将向客户的用户提供金钱补偿。我们仍然致力于响应监管机构的指导,并将不断寻求加强客户隐私保护。”
虽然微软已承诺在 2022 年底之前创建欧盟数据边界,但数据保护专家 批评此举是默认数据正在欧盟以外进行常规处理,声称没有可行的方法来保护欧洲公民的数据被转移到保护标准较低的美国。
以亚马逊为例,该公司承诺挑战执法部门对数据的要求,并且仅在被迫这样做时才披露必要的最低数据量,一位发言人表示:“欧盟机构能够使用符合 Schrems II 要求的 AWS 服务我们很高兴为我们的客户提供支持,因为他们向欧洲数据保护主管证明了这一点。
“我们加强了保护客户数据的合同承诺,超出了 Schrems II 裁决的要求,建立在我们挑战执法要求的长期记录之上。”
6 月 4 日,欧洲的组织有 18 个月的时间引入新的数据传输协议,称为标准合同条款 (SCC),以在欧洲和其他国家/地区(包括美国和可能的英国)之间传输数据,这些协议很快将作为一个集团之外的第三国。
欧盟委员会 (EC) 提供的修订版 SCC 包括更强大的保护措施,以确保不会向外国政府和情报机构披露向海外传输的个人数据,并特别纳入了《通用数据保护条例》(GDPR) 的要求。
“通过这些强化条款,我们为公司的数据传输提供了更多的安全性和法律确定性,”欧盟委员会的欧洲司法专员迪迪埃·雷恩德斯 (Didier Reynders) 说。“在 Schrems II 裁决之后,我们有责任和优先考虑提供用户可以完全依赖的用户友好工具。该一揽子计划将极大地帮助公司遵守 GDPR。”
律师事务所 Huton Andrews Kurth 的合伙人 Bridget Treacy 和 David Dumont 表示,目前尚不清楚欧洲数据保护监管机构是否会同意 SCC 就足够了,而无需公司采取额外措施。
“欧洲数据保护委员会将在多大程度上考虑新的 SCC 以提供足够的保护水平,或者监管机构是否需要实施额外的合同、组织、技术或其他保障措施,还有待观察,”他们在书面分析。
