端科技您的位置:首页 > 区块链 >

美国和欧盟达成新的安全港协议

欧盟数据保护监管机构在本月早些时候被裁定无效后,已经为修订后的安全港协议设定了截止日期。欧洲法院裁定,安全港在10月初没有给予欧洲和美国之间的数据转移足够的保护,宣布协议无效,但法院已经让欧盟和美国在2016年1月31日之前达成新的协议。应对。

美国和欧盟达成新的安全港协议

如果到那时还没有找到解决方案,监管机构将开始采取措施来执行裁决。法院在一份声明中写道:“欧盟数据保护当局承诺采取一切必要和适当的行动,其中可能包括协调的执法行动” 。Compuware的数据监管专家伊丽莎白·麦克斯韦尔说,这一决定“已经在水面上掀起了波澜”。

“大约4,500家美国公司使用安全港协议和相关认证,允许他们与欧洲经济区开展业务。这一判断向世界提供了一个非常明确的信息,即数据隐私是一个严重问题,将会产生严重后果。违规,“她补充道。Dropbox正在审查宣布安全港协议无效且尚未承诺建立欧洲数据中心以解决该问题的裁决。

安全港是一项长期的欧盟 - 美国原则,保证转移到美国的任何欧盟数据都将获得欧盟内部享有的相同保障。

但欧洲法院(ECJ)上周得出的结论是,该协议不再为欧盟公民提供数据隐私,并裁定该协议无效。

它的决定是基于美国间谍活动的证据,如PRISM,奥地利隐私活动家Max Schrems认为这意味着美国无法保证欧洲公民的数据将保密。

裁决的后果可能引发争夺欧盟数据中心的争夺,文件共享公司Box已经确认客户将能够在一年内在欧盟内存储数据。

但Dropbox没有做出这样的承诺,回应 IT专业人员的问题只是说它正在审查欧洲法院的决定。

一位发言人表示:“Dropbox致力于维护客户数据的安全性和隐私性。我们目前正在详细审查法院的决定,并将继续与我们的欧盟用户和客户合作,继续使用我们的服务。“

事实上,该公司在5月份告诉Cloud Pro,它根本没有建立欧盟数据中心的计划。

英国首席执行官马克凡德林登当时表示:“这完全不在路线图上。我们认为位置只是拼图的一部分。

相比之下,Box首席执行官亚伦·莱维(Aaron Levie)上周告诉“每日电讯报 ”:“从现在开始的一年内,我绝对希望客户能够在国际上存储他们的数据。我们现在正朝着这个方向努力。“

它可以利用属于企业合作伙伴IBM的数据中心来实现这一目标。

现有的文件共享竞争对手谷歌和亚马逊网络服务有许多欧洲数据中心,而另一个竞争对手Egnyte允许人们将他们的数据存储在云端或内部部署,这意味着他们不必信任它到公共云。

但是,在承诺建立新的数据存储站点之前,云服务提供商需要考虑对最新裁决作出回应。

向美国的数据传输实际上并不违法

首先是无论欧洲法院的裁决如何,安全港协议都在重新设计 - 美国和欧盟委员会最早可能会在2015年底宣布一个新的改进框架。

其次,正如IDC的欧洲安全研究主管邓肯布朗指出的那样,该裁决并未使欧盟 - 美国的数据传输变得非法。

“该判决迫使欧盟各国的数据保护机构(DPA)全面调查任何针对将数据传输到美国的数据处理机构的投诉,”他说。

“但是,数据处理器现在可能受到多个法院案件的影响,DPA现在有义务进行调查,并且个别数据传输可能被视为不合规。”

欧盟数据中心可能还不够

一个尚未解决的更广泛的问题可能解释了Dropbox迄今为止对安全港裁决的非承诺回应。

有问题的是微软对法院判决的上诉,命令它将存储在都柏林服务器中的电子邮件移交给美国政府。

如果上诉失败,它实际上意味着美国政府可以要求任何美国公司提供数据,无论数据存在于何处。

将数据合法传输到美国的其他方式

虽然安全港无效意味着供应商将欧盟数据转移到美国的最简单方法已不再可行,但其他方法仍然存在。

“数据保护法为向第三国合法出口个人数据提供了许多其他网关,例如数据主体同意,标准格式合同和自我评估,”国家律师事务所Thomas Eggar LLP律师Daniel Hedley说。

但他补充说,从长远来看,判断也可能影响这些方法,并建议那些需要将数据发送到欧盟以外的企业等待英国的数据监管机构发布建议。

Hedley解释说,信息专员办公室“表示它正在考虑判决,并将在适当的时候为企业提供指导”。

“在各行之间进行阅读,似乎对即时,严格执行新情况的兴趣不大。建议企业与其在美国的云提供商和其他数据处理器开始对话流程,并密切关注ICO以获得进一步的指导。“

欧洲法院(ECJ)裁定欧盟和美国之间的安全港数据传输协议无效,该协议监督了美国云服务的欧洲用户向美国进行处理的数据移动。

该决定可能会导致Facebook,谷歌,苹果,微软等公司的服务中断。

欧洲法院上个月与美国司法部长做出了同样的决定,即2000年制定的数据处理规则并没有给出适当的保证,即欧盟公民的数据一旦在美国境内就会保持安全。这项裁决起源于奥地利居民马克斯·施莱姆斯(Robert Schrems)在爱德华·斯诺登(Edward Snowden)披露的情况下对Facebook提起诉讼,该案件显示了国家安全局如何能够窥探欧盟公民的数据。

根据法院的安全港 裁决,科技公司可能被迫在欧盟而不是在美国存储数据。否则,这些公司可能被迫获得更严格的数据传输规则的认证。

“美国当局能够获取从成员国转移到美国的个人数据,并以与其转让目的不相容的方式处理,超出了严格必要和与之相称的目的。保护国家安全,“该裁决说。

法院还表示,欧盟公民无权要求补救,以阻止滥用个人数据。还发现这些规则破坏了国家数据保护机构对数据传输进行裁决的能力。

“法院认定,安全港的决定否定了国家监管当局的权力,即一个人质疑该决定是否与保护隐私以及个人的基本权利和自由相一致,”它说。

由于美国和欧盟之间已经就建立一个新框架来取代现有的无效框架进行谈判,似乎该裁决即将出台。

英国国际律师事务所Paul Hastings的数据保护和隐私负责人Ashley Winton告诉IT专业人士,这项裁决对在欧洲开展业务的跨国公司产生了严重影响。

“许多欧洲数据保护监管机构,特别是德国的数据保护监管机构,长期以来认为安全港计划的条件不够充分,今天裁决的效果将使他们能够调查和检查任何数据传输本身的可接受性,”他说过。

他补充说,虽然今天的案件主要涉及安全港,但该裁决也适用于其他欧洲委员会批准的国际个人数据转移方法。

“至关重要的是,这个案件不能单独考虑。继上周Weltimmo的具有里程碑意义的案例之后,已经选择在更加商业友好的司法管辖区内建立企业的跨国公司现在可能会对欧盟各地的当地监管机构进行数据保护实践的审查,“温顿说。

他补充说,目前没有任何规则限制个人同时在多个司法管辖区内提出有关数据保护的投诉,“因此我们现在可能会看到这些投诉从各个方向涌现,数据在全球范围内共享。”