新闻动态

国际:欧盟-美国跨境数据传输

《通用数据保护条例》(欧盟(EU)2016/679)(“ GDPR”)禁止将个人数据转移到没有为个人数据提供足够保护水平的第三国,但是,《瑞士-美国隐私保护法》框架和欧盟-美国隐私保护框架(“隐私保护”)允许美国和欧盟的公司在跨境传输个人数据时遵守数据保护法规。概述了当前可用于跨界传输个人数据的机制,并讨论了数据传输限制和数据本地化要求的利弊。

国际:欧盟-美国跨境数据传输

全球数据流和连接性正在创造前所未有的经济机会。跨境数据访问,使用和交换对于数字时代的经济增长至关重要。数据的自由流动使企业和消费者无论身在何处都能获得最佳的可用技术和服务。日常业务活动(例如提供商品或服务,管理全球员工队伍以及维护供应链)要求在公司位置之间以及向全球的服务提供商,客户和其他人员传输数据。组织自由移动数据的能力至关重要,因为它与全球经济的增长和成功息息相关。

2019年,世界人口估计为77亿人1。截至2019年6月30日,互联网用户数量估计为45亿,占世界人口的58.8%2。自2014年以来,全球互联网用户数量增长了超过19亿,这意味着在短短五年内增长了75%以上3。这些前所未有的互联网访问和连接水平导致了数据经济的快速增长。无论是直接还是间接利用全球规模的数据基础架构(例如云计算),全球连接都可以实现跨境经济活动,使个人,初创企业和小型企业能够参与全球市场。当今数字经济的进步要求海量电子数据跨辖区无缝地流动。最近的一项研究发现,尽管全球商品和金融流量趋于平缓,但在2005年至2014年之间,跨境数据流量增长了45倍4。同一项研究还发现,全球数据流在2014年将全球国内生产总值提高了约2.8万亿美元5,到2025年可能达到11.1万亿美元6。

尽管允许数据跨国际自由流通有无数好处,但在欧盟的情况下,许多国家和政治联盟对跨境数据传输实施了法律限制。为了国家安全和执法目的,已经实行了转移限制,以打击不分青红皂白的外国政府监视。其他限制措施基于政府加强国内产业和支持国有企业的努力。

但是,最终,这些限制并没有创造就业机会和促进经济增长,反而会降低效率,增加本地企业的成本并阻碍与国外客户的联系。另外,它们阻止本地消费者获得他们选择的产品和服务。随着数据驱动型组织的增多,对跨境转移的限制可能使国内经济与数字经济相关的增长潜力隔离。数据的自由流通不仅使数据驱动型组织受益,对于制造商,医疗保健提供者和金融机构等传统企业也至关重要。这些类型的组织可能未开发支持Internet的产品,但它们依靠Internet来销售和营销其产品,处理交易并管理其员工。

跨境数据传输的限制 毫不费力地跨国际边界转移大量数据的能力引起了许多隐私问题,并且可能破坏传输出口方现有的数据保护要求。这激发了各国实施转让限制的动机,并且越来越有这样做的趋势。数据传输限制通常分为两类:

跨境数据传输限制;和数据本地化规则。 跨境数据传输限制允许组织仅将数据传输到被认为已充分保护个人数据或采取其他保护措施的司法管辖区,然后再将数据传输到原籍国之外。相反,数据本地化规则更加繁琐,并且通过要求将数据或数据副本本地存储在来源国的服务器上,给全球组织带来了更大的管理负担。因此,跨境转移限制往往更有效,经济上的破坏也较小。就是说,在数字革命之前,已经建立了许多当前已经广泛使用的跨境数据传输机制,因此并未精心设计来解决数据流的方式。

欧盟是数据传输限制的较早采用者,将该概念嵌入了数据保护指令95/46 / EC(“指令”)中。GDPR在2018年5月取代了该指令,但保留了禁止将个人数据转移到没有为个人数据提供足够保护水平的第三国的一般性禁令。欧盟委员会可能会根据其国内法或它所遵循的国际承诺,确定欧盟以外的第三国或地区确保足够水平的数据保护。这是“必要等效性”的确定。迄今为止,只有13个国家被欧盟委员会正式认可为个人数据提供了充分的保护7。结果,个人数据只能从欧盟自由地流到这13个国家。在美国,是否足够的发现仅限于“隐私盾”涵盖的个人数据传输。超过5,000家公司已通过了2016年实施的Privacy Shield认证,并取代了2000年创建的Safe Harbor。这些公司依靠此认证作为将个人数据从欧盟或瑞士自由转移到公司的机制美国盾牌认证的实体。

如果接收实体不在“适当的”国家/地区,则欧盟出口商必须使用批准的数据传输机制将个人数据传输到该实体。欧盟委员会已批准标准合同条款('SCCs')作为确保适当性的一种方法。迄今为止,SCC是最普遍使用的传输机制,因为它们价格便宜且安装迅速。SCC是该指令的遗留物,其效用日益受到质疑。它们通常在线性数据传输方面表现最佳,但是其刚性结构通常不适合数据传输网络以及服务提供商和分包商之间的继续传输,这种情况经常是基于流动的,特别是在基于云的情况下平台。此外,

SCC的替代方法是具有约束力的公司规则(“ BCR”)。BCR是基于欧盟数据保护原则的一套内部规则或行为准则,各组织自愿制定并遵循这些原则或规则,以确保为在欧盟以外转移给非欧盟集团实体的个人数据提供充分的保护。BCR必须获得欧盟数据保护机构的批准,并且批准过程可能漫长且昂贵。因此,截至2018年5月,只有131个跨国组织采用了BCR。GDPR还允许转移到已制定行为准则或认证的第三国或国际组织。但是,迄今为止,尚未批准任何此类行为准则。

最近对增加数据传输限制的要求可以追溯到有关政府监视的高调启示。2015年,欧洲法院(CJEU)取消了美欧安全港框架8。在被称为“ Schrems I”的情况下,安全港框架被裁定为无效,其依据是美国立法并未将对个人权利的干涉限制在严格必要的范围内。安全港框架已经实施了15年,拥有超过4,500个经过认证的组织。认证组织被迫寻找替代传输机制,以允许这种无效后继续将数据流向美国。在大多数情况下,组织依靠SCC允许继续将数据传输到美国,或者后来转向为响应Schrems I决定而开发的Privacy Shield。

最近通过“ Schrems II”案再次提出了增加数据传输限制的要求。CJEU面临的基本问题是,美国执法机构在商业交易中访问转移到美国的欧盟公民个人数据的能力是否违反了欧盟数据保护法,以及SCC是否由于未能充分保护而无效?欧盟数据保护权。在听证会上,施雷姆斯的律师还要求将“隐私保护盾”宣布为无效,并且围绕“隐私保护盾”提供的数据保护水平进行了激烈的辩论。CJEU的判决要到2020年上半年才到期,这可能会在欧盟数据保护领域造成真正的地震,因为这可能导致SCC失效,在实践中几乎普遍使用的一种机制,用于将个人数据从欧盟转移到非欧盟国家/地区的合法性。欧洲法院对提到的广泛问题的决定也可能会影响“隐私盾”的有效性。因此,Schrems II的结果可能会对欧盟的数据传输和全球经济造成严重影响,尤其是因为除了隐私保护盾以外,没有其他SCC的真正替代品,隐私保护盾仅适用于向美国的传输,并且也有潜在的BCR风险。 ,以及GDPR减损9,仅适用于有限的情况。因此,在没有SCC的情况下,大多数组织将被迫求助于BCR,BCR通常适合那些拥有更成熟的隐私框架的群体。BCR通常也只能使同一公司集团内的数据传输合法化,因此具有BCR的企业仍将需要寻找其他解决方案以将其个人数据传输到其集团之外,例如,转移到服务提供商。

尽管数据传输限制在作为全球经济的一部分而移动时提供了对数据的增强保护的好处,但它们仍然限制了数据的自由流通,并给组织带来了行政和财务负担。确保业务运营符合适用的数据保护法律可能会非常昂贵。例如,数据传输限制增加了与建立定制数据存储中心以适应国家法律相关的财务负担。欧盟的某些组织不得不投入大量资源来重组其IT系统,以限制源自欧盟的个人数据违反GDPR的规定而转移到“不适当的”司法管辖区。另一方面,一些美国 基地企业选择避免在欧盟进行资本投资,因为GDPR的苛刻合规要求不鼓励在欧盟成员国设立子公司或办事处。如果不鼓励企业进入或投资新市场,则消费者和企业都可能无法获得世界一流的产品和服务。

数据本地化 数据本地化要求可能广泛适用于在国内处理的所有个人数据,或者可能是针对特定部门的,仅适用于某些类型的数据,例如健康或财务数据。数据本地化要求通常会完全禁止将数据转移到国外,或者要求建立或使用本地基础结构和服务器来存储个人数据,从而允许在原始数据前提下将数据副本从原籍国转移出去。仍在国内。从政策的角度来看,数据本地化规则的趋势正在增长,并且某些管辖区已基于数据安全性问题和当地经济刺激的努力提出或颁布了数据本地化要求。例如,于2017年6月1日生效的《 2016年中国网络安全法》,越南的网络安全法第24/2018 / QH14号都包含本地化要求,印度目前正在考虑一项数据保护法案草案《 2018年个人数据保护法案》(2018年7月27日),其中将包含本地化要求。印度目前有适用于财务数据的数据本地化要求,并且数据保护法案草案考虑更广泛地应用数据本地化规则,例如要求将所有个人数据的副本存储在印度。

那些赞成数据本地化限制的人认为,实施此类限制有许多公认的好处。结果,世界各地提出了许多本地化建议。赞成者认为,本地化限制导致:

通过提供对数据的便捷访问来增强国家安全; 增强数据安全性;和 通过刺激当地经济促进国内产业和就业保护。 无论是出于对国家安全监视的关注,保护国内工业的愿望,还是对它们的某种组合,这些提议都是基于许多错误的假设,最终都无法达到既定目标。

关于数据本地化要求促进国内产业的建议是不正确的-这些限制产生相反的效果。本地化通过限制对全球供应链的访问来限制组织在全球市场中竞争的能力。数据本地化要求也使本土企业无法与母国边界之外的数十亿潜在客户隔离。这种隔离的结果是,它还减少了投资,减少了获得资本和客户的机会。因此,数据本地化要求可能会导致实际的经济成本,而不是刺激经济增长。欧洲国际政治经济中心进行的一项研究,研究了七个司法管辖区中拟议或颁布的立法的影响,10。

关于数据本地化要求的另一个神话是,它们提高了安全性。现实情况是,数据安全性不仅取决于服务器的物理位置,还取决于过多的控件以及系统的整体可靠性和弹性。在一个地区整合数据可能会导致集中的“攻击地点”,容易受到破坏,腐败,区域基础设施不一致和自然灾害的影响。此外,数据本地化可能会通过迫使组织依赖本地存储提供商来伤害国内行业。尽管这可能会促进本地数据中心和云计算行业的增长,但从更广泛的公共政策来看,这种方法充其量只是近视。这些本地提供商可能缺乏适当保护数据的资源,与其他地区的经验丰富的运营商提供的灵活的云存储选项相比,它们通常要求本地企业花费更多的资金。从长远来看,竞争而不是贸易保护主义将产生积极的结果,并且能够利用世界各地最有效,最可靠的服务的组织可以更好地促进经济增长。

由于这些原因,数据本地化是对数据自由流动的主要威胁,因此不利于有效的全球信息经济。相比之下,消除数据本地化的障碍为共享繁荣创造了机会。美国商会在2016年的一项研究中发现,从长远来看,全球数据自由化将创造数十万个新的就业机会,并节省数十亿美元的国家成本,最终将提高包括韩国在内的国家的GDP( 330.1亿美元),土耳其(减少71.5亿美元),印度尼西亚(减少293.8亿美元),越南(减少34.6亿美元),尼日利亚(减少234.3亿美元)和整个欧盟(减少2755.7亿美元)。该研究得出的结论是,随着时间的流逝,解锁跨境数据流将使全球GDP总量增加1.72万亿美元11。

结论 有点自相矛盾的是,随着数字全球经济的增长,数据传输限制和数据本地化要求继续激增。这些限制虽然是作为保护个人数据的保护措施而精心设计的,但它们往往会降低效率并为经济增长创造障碍。数据的自由流通不仅有益于数据驱动的组织,也有益于寻求在全球市场竞争的传统企业。对数据移动的法律限制,无论是以传输限制形式还是更严格的本地化要求形式,都可能威胁到21世纪的经济增长。

上一篇:国际:未来的国际数据传输注意事项

下一篇:如何看待镭速传输的Raysync高速文件传输协议?

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯