個人データの輸出をめぐる費用のかかる法的不確実性を修正することを目的とした、欧州連合と米国の間の輝かしい新しいデータ転送協定はまだ実施されていませんが、欧州議会の市民的自由委員会は、次期 EU-米国データ プライバシー フレームワーク (DPF) を予測しています。 ) は、法的異議申し立てを生き残ることはできません — その前の 2 つのセーフ ハーバー (RIP: 2015 年 10 月) と同じです。 およびプライバシー シールド (RIP: 2020 年 7 月) は、EU の審査員に感銘を与えることができませんでした。
昨日LIBE委員会が可決した決議では、賛成37票、反対0票、棄権21票で、MEPはDPFを改善と呼びましたが、それでも十分ではありません。 彼らはまた、将来的にEU司法裁判所(CJEU)によって無効にされる可能性が高いと予測しました.
開発は次のとおりです LIBEによる意見書草案、2月に戻って、提案に反対し、委員会に有意義な改革を求めるよう促しました.
決議において、委員会は、フレームワークが特定の場合に個人データの大量収集を依然として許可しているため、提案された取り決めはEU市民に十分な保護を提供しないという見解を示しています。 独立した事前承認の対象となる大量のデータ収集を行いません。 また、データ保持に関する明確な規則を提供していません。
MEP はまた、提案された救済メカニズム (いわゆる「データ保護審査裁判所」) が、決定が秘密にされるため、データにアクセスして修正する EU 市民の権利を侵害することを懸念しています。 彼らはまた、その決定を却下する可能性のある米国大統領によって裁判官が解任される可能性があるため、その独立性にも疑問を投げかけています.
議会によると、「決議の中で、欧州議会議員は、データ転送の枠組みは将来にわたって保証される必要があり、十分性の評価は規則の実際の実施に基づく必要があると主張している」と議会は述べている。 プレスリリース、それは委員会が促し続けたと述べた 委員会は、現在の体制に基づいて十分性を認めず、代わりに、法廷で持ちこたえられる可能性が高いデータ転送フレームワークについて交渉します。
コメントイン 声明 投票後、LIBE委員会の報告者であるフアン・フェルナンド・ロペス・アギラールは次のように述べています。
新しいフレームワークは、以前のメカニズムに比べて確実に改善されています。 しかし、私たちはまだそこにいません。 この新しいフレームワークが市民の個人データを十分に保護しているとは確信していません。 欧州委員会は、欧州データ保護委員会によって提起された懸念に対処するために引き続き取り組む必要があります [EDPB] たとえそれが米国との交渉を再開することを意味するとしても、市民的自由委員会。
2 月にさかのぼると、EDPB は その意見 フレームワークについて—プライバシーシールドの改善としても取引を宣伝しています. しかし、影響力のある運営委員会は、「適切な決定が持続することを保証する」ために、対処すべきであると推奨する多くの懸念を提起し、明確化を得た.
LIBE 委員会の投票は、EU の一般的な精査プロセスの一部です。 国会議員はDPFが採用されるかどうかについて積極的な発言権を持たないことに注意することは重要ですが、EDPBでさえそうではありません. 十分性の決定に関する最終決定権は、欧州委員会のみに委ねられています。
同時に、計画された代替枠組みの堅牢性と持続可能性についてEU内で疑問が提起されているとしたら、明らかに厄介です。
欧州議会全体も、LIBE委員会の決議を検討する将来の本会議を通じて、見解を表明することができます。 そのため、国会議員がどのような方法で破るかを見るのは興味深いでしょう。
DPF は、EU 間のデータ フローを容易にする別のいわゆる適切な決定を挿入することにより、EU のプライバシー権と米国の監視権限の間の正面衝突を解決するための、ブロックによる最新の高レベルの入札です。 提案されたフレームワークは、主要な相違点について紙に書くことを目的とした一連の新しい規定を設定することにより、以前の (廃止された) 試みに基づいて構築されています。必要性と比例; そして、スパイの監視を強化するという約束。
前述のように、新しいデータ保護審査裁判所も設置されます。これは、EU 市民の苦情を欧州の裁判官が要求する基準に合わせて解決できる独立した救済メカニズムとなるはずです。 しかし、批評家が主張するのは、完全な法的意味での適切な裁判所ではないため、CJEU との協議には通らないでしょう。
1つ明らかなことは、単純な絆創膏の供給が枯渇したため、今回の取引を採用するのにはるかに時間がかかっていることです.
欧州委員会は、1 年ほど前に DPF に関する原則合意に達しました。 その後、米国大統領のジョー・バイデンが後任の実施に必要な大統領令に署名するのに約6か月かかりました。 EUが合意の草案にたどり着くまで、合意の発表からほぼ9か月かかりました(EOの約2か月後)。 その時点で、他の EU 機関による草案のレビューと精査のプロセスが開始され、現在も進行中です。
(対照的に、EU-US プライバシー シールドは、2016 年 2 月に発効すると発表されてから、同年 7 月に正式に採用され、同年 8 月の初めに稼働するまでのスピードが速まりました。その後、CJEU がそれを廃止するのに 4 年余りかかりました。ですから、立法者が性急に行動し、余暇に悔い改めていることについて、確かに学ぶべき教訓があります。)
昨年 4 月、欧州委員会は、プライバシー シールドを置き換えるプロセス全体が 2022 年末までに「最終決定」される可能性があると示唆しました。最終決定が採用を意味するとすれば、2023 年春に差し掛かってプロセスが混乱しているため、楽観的すぎるのは確かです。の上。
一部のレポートでは、DPF が夏までに採用されないことが示唆されています (ロイター 7月までに準備が整う可能性があることを示唆する無名の関係者を引用しています)。
委員会のスポークスマンは、採用の予定日について尋ねられ、プロセスには複数の利害関係者が関与するため、正確なタイムラインを提供できないとTechCrunchに語った.
彼はまた、EDPB の意見を「慎重に」分析し、採択プロセスの次の段階に進む前に、そのコメントと明確化の要求に対処するために取り組んでいると規定しました。
欧州委員会は明らかに、3 度目のストライキを目の当たりにすることを避けたいと考えています。これが、採用に予想よりも時間がかかっている理由を説明している可能性があります。 また、EDPB などからの懸念を無視していると非難されないように注意を払っているのもそのためです。
フレーム内の Meta の EU-US データ フロー
EU コミトロジーの複雑さは非常にドライなテーマに見えるかもしれませんが、DPF が採用された場合には、非常に具体的な結果が 1 つあります。 これは、Facebook と Instagram の所有者であるテクノロジー大手の Meta が、EU ユーザー データのエクスポートを停止することを余儀なくされる可能性のあるデータ停止命令に直面しているためです。 また、Facebook は連合していないため、命令に従うために EU ユーザーへのサービスを強制的に停止する可能性があります。
この目的のための予備命令は、2020 年秋にアイルランドのデータ ウォッチドッグによって発行されました。その後、Meta は停止が認められ、司法審査も求められたため、プロセスをしばらく遅らせることができました。 しかし、2021 年 5 月に、その特定の法的異議申し立てについては行き詰まりました。その後、2022 年 2 月に改訂された決定草案が発行されました。
Meta の EU-US データ フローに対する最初の異議申し立ては、同じ核心となる米国の監視と EU のプライバシーの問題にかかっています。 そのため、この問題について規制当局は約 10 年間もぐらたたきを行ってきましたが、まだ最終的な決定は下されていません。
しかし、理論的には、ついに終わりが見えてきました。
昨日は EDPB は、この問題について拘束力のある決定を下したことを確認しました。つまり、最終決定は、Meta の主要な EU DPA であるアイルランドのデータ保護委員会 (DPC) によって 1 か月以内に発行されなければなりません。 というわけで5月中旬。
昨年の夏、ソーシャル メディアの巨人は、EU のデータ保護当局が DPC の決定草案について意見を異にしたが、最終的に EDPB につながる一般データ保護規則 (GDPR) に組み込まれた紛争解決プロセスを開始したとき、以前のカットオフ シナリオをかろうじて回避しました。介入して拘束力のある決定を下す必要があります。
決定が何を意味するのかはまだわかりませんが、暫定的な命令が停止であったことを考えると、理事会が根本的に異なる結果に達する可能性は低いと思われます. と この曲がりくねった GDPR 施行プロセスが終わりに近づいている今、問題は何が最初に来るのかということです: EU-US データフローを遮断するメタへの命令、または EU-US DPF の採用?
後者のシナリオはもちろん、停止命令を回避するためにメタが使用する新しいエスケープ ハッチを提供します。
一方、DPF が DPC の最終注文の前に到着した場合、それは同じシナリオです。会社は、高レベルの枠組みを利用して、EU 規則に完全に準拠しているという主張を更新し、缶を蹴り戻します (多くの人にとって可能性が高い)年以上)。
しかし、Meta がデータ フローを一時停止するという命令が最初に出されたとしても、同社は、ナイフを遅らせるための新たな方法を見つけるために、すべての地元の弁護士を投入することは間違いありません。 EU ユーザーのデータの輸出を停止する規制命令に対する控訴は確実です。 また、控訴の結果が出るまで執行を停止しようとする場合もあります。 裁判所がそれを許可するかどうかは定かではありませんが.
ただし、別の可能性もあります。 DPC の最終決定により、Meta にデータ フローを遮断する期間 (たとえば 2、3 か月) が与えられる可能性があります。これにより、DPF が採用されるのに十分な時間が得られ、新しいフレームワークを利用して法的基盤を再起動できるようになります。再びシャットダウンの脅威から逃れます。
先月、DPCのコミッショナーであるヘレン・ディクソンは、 ロイター タイムラインは「ワイヤーに降りてくる」ものでした。
プライバシー ウォッチャーは、Meta がデータ転送に関する最終的な計算に最終的に直面するかどうかを確認するために、これを綿密に精査することは間違いありません。 または、規制当局と議員を互いに敵対させ続ける別の方法に引っかかる場合。