در 16 ژوئیه 2020، دیوان دادگستری اتحادیه اروپا (CJEU) تصمیمی را صادر کرد که اکنون به عنوان یک تصمیم مهم در رابطه با انتقال داده های شخصی در سراسر مرزهای ملی شناخته می شود. در پرونده C-311/18 کمیسیونر حفاظت از داده ها علیه فیس بوک ایرلند با مسئولیت محدود و ماکسیمیلیان شرمز (“Schrems II”)، دادگاه دیوان عالی آمریکا برنامه سپر حریم خصوصی ایالات متحده و اتحادیه اروپا را باطل کرد، یک پروتکل انتقال داده که طی دو دوره مذاکره شده بود. نیم سال توسط وزارت بازرگانی ایالات متحده و کمیسیون اروپا (EC). ایجاد برنامه سپر حریم خصوصی خود نتیجه تصمیم قبلی CJEU، Schrems I بود، که بر این باور بود که برنامه قبلی سپر حریم خصوصی، برنامه بندر امن، برای محافظت از داده های شخصی اتحادیه اروپا که از اتحادیه اروپا به ایالات متحده منتقل می شد، کافی نبود. نتیجه افشاگری های ژوئن 2013 پیمانکار سابق NSA ادوارد اسنودن مبنی بر اینکه NSA با بی اعتبار کردن Privacy Shield تمام ترافیک اینترنتی وارد شده به ایالات متحده را جستجو می کند، دادگاه قانونی بودن انتقال داده های شخصی فراآتلانتیک را برای هزاران سازمان زیر سوال برد، در حالی که پیشنهاد داد. یک مسیر تاریک رو به جلو حصار جغرافیایی، فناوری که اکثریت قریب به اتفاق دادهها را قادر میسازد تا با رعایت رژیمهای حفاظت از دادهها در کشورهای چندملیتی سفر کنند، به عنوان راهحلی برای دستورات دادگاه نویدبخش است.
انتقال داده های شخصی به خارج از اتحادیه اروپا
اتحادیه اروپا اولین رژیم جامع حفاظت از داده خود را، دستورالعمل حفاظت از داده 95/46/EC، در اکتبر 1995 اعلام کرد. طبق این دستورالعمل، در صورتی که کشور مقصد دارای قوانین حفاظت از داده باشد، داده های شخصی می تواند به سازمان های خارج از اتحادیه اروپا منتقل شود. کمیسیون اروپا آن را «کافی» میداند، یعنی کم و بیش به اندازه دستورالعمل این دستورالعمل دقیق است. اگر قرار بود دادههای شخصی به کشوری که کفایت کافی ندارد (مانند ایالات متحده آمریکا) منتقل شود، انتقالدهنده (موسوم به «صادرکننده») باید قرارداد جداگانهای (به نام «بندهای قرارداد استاندارد» یا «SCC») با گیرنده امضا میکرد. (به نام «واردکننده») که تمام اقدامات حفاظت از دادهها را که واردکننده قرار بود انجام دهد ذکر کرد. در مورد نقل و انتقالات به ایالات متحده، صادرکنندگان این گزینه را داشتند که از برنامه بندر امن استفاده کنند، که اساساً مجموعه ساده شده ای از SCC بود که از قبل توسط واردکنندگان مستقر در ایالات متحده با ثبت نام در وزارت بازرگانی ایالات متحده موافقت شده بود. برنامه Safe Harbor بین واردکنندگان مستقر در ایالات متحده محبوب بود زیرا استفاده از آن نسبتاً ساده بود.
افشاگریهای اسنودن و Schrems I
با این حال، در ژوئن سال 2013، ادوارد اسنودن، پیمانکار سابق NSA فاش کرد که NSA در حال جستجوی تمام دادههایی است که از طریق خطوط “تنه” زیردریایی که تقریباً تمام دادههای الکترونیکی را از بقیه جهان حمل میکنند، وارد ایالات متحده میشود. بر این اساس، ماکسیمیلیان شرمز، وکیل اتریشی، شکایتی را علیه استفاده فیس بوک از Safe Harbor برای انتقال داده های شخصی اتحادیه اروپا به ایالات متحده با آژانس حفاظت از داده های ایرلند (مرکز اتحادیه اروپا در فیس بوک در ایرلند) ارائه کرد. این موضوع به دیوان عدالت قضایی آمریکا رسید که در 6 اکتبر 2015 این برنامه را نامعتبر اعلام کرد. دادگاه این کار را انجام داد زیرا (1) در آن زمان برای مقامات ایالات متحده قانونی بود (و هنوز هم هست) که به طور کلی به ارتباطات الکترونیکی وارد شده به ایالات متحده و (2) موضوع داده های اتحادیه اروپا دسترسی و جست و جوی آن ها در ایالات متحده وجود داشت. دادگاه ها این موضوع باید به پایان می رسید. با این حال، کمیسر حفاظت از دادههای ایرلند به Schrems اطلاع داد که فیسبوک برای انتقال دادهها به SCCها و نه به بندر امن متکی است. Schrems سپس کل فرآیند را با یک شکایت اصلاح شده آغاز کرد.
جاده Schrems II
بلافاصله پس از باطل شدن برنامه بندر امن، مذاکره کنندگان در وزارت بازرگانی ایالات متحده و اتحادیه اروپا بحث های جایگزینی برای بندر امن را تسریع کردند. در عرض 10 ماه، این جایگزین، اتحادیه اروپا-ایالات متحده. چارچوب سپر حریم خصوصی، توسط EC کافی تشخیص داده شد و شرکتهای مستقر در ایالات متحده شروع به تأیید خود تحت دستورات برنامه جدید کردند. در همین حال، شکایت اصلاح شده شرمز به سیستم دادگاه ایرلند راه پیدا کرد و این موضوع به دیوان عدالت اداری بازگردانده شد. در 16 ژوئیه 2020، CJEU آنچه را که Schrems II نامیده می شود، صادر کرد. این تصمیم هم Privacy Shield را باطل کرد و هم انتقال داده ها با استفاده از SCC را زیر سوال برد. دادگاه همان استدلال قبلی را به کار برد: شنود بدون محدودیت مقامات ایالات متحده از ارتباطات الکترونیکی دریافتی، هم بر اساس قوانین ایالات متحده قانونی بود و هم به سوژه های داده اتحادیه اروپا توسل قانونی نمی کرد. علاوه بر این، هیچ مهلتی برای صادرکنندگان داده وجود نداشت تا تغییراتی ایجاد کنند – آنها باید هر گونه سؤال قانونی در مورد انتقال داده ها را فوراً حل کنند. از زمان Schrems I، مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) به اجرا درآمد و جایگزین این دستورالعمل شد. اکنون، آن سازمانهایی که برای انتقال دادههای شخصی اتحادیه اروپا به ایالات متحده به سپر حریم خصوصی متکی هستند، مجبور بودند یا برای یافتن استثنایی از قوانین انتقال دادههای GDPR (کاری که انجام آن دشوار است) تلاش میکردند یا از SCCها استفاده میکردند، که اکنون مشکلات قابل توجهی دارد.
قانون جدید “ضمانت های اضافی” برای بندهای قرارداد استاندارد
دادگاه در حکمی که سپر حریم خصوصی را باطل می کند، صادرکنندگان و واردکنندگانی را که به SCC ها تکیه می کنند، بر اساس مورد به مورد تعیین می کند که آیا قوانین کشور واردکننده (که «کشور ثالث» نامیده می شود) برای حمایت کافی است یا خیر. داده های شخصی افراد سوژه داده اتحادیه اروپا دادگاه اعلام کرد.
آن “ضمانت های اضافی” چیست؟ دادگاه نگفت. در 10 نوامبر 2020، هیئت حفاظت از داده های اروپا (EDPB)، یک مرجع حفاظت از داده ها و اندیشکده حریم خصوصی مستقر در اتحادیه اروپا، سند “توصیه هایی” را منتشر کرد که در آن سناریوهایی ذکر شد که ممکن است با استاندارد “ضمانت های اضافی” مطابقت داشته باشند. با این حال، سناریوها چندان مفید نبودند. در برخی موارد، آنها در مرز پوچ هستند. همچنین در ماه نوامبر، EC SCC های به روز شده را به ویژه در پاسخ به تصمیم دادگاه منتشر کرد. با این حال، آنها بر همان فرضیه سند EDPB تکیه می کنند: پادمان های اضافی باید به نحوی تلاش های سازمان های اطلاعاتی یک بازیگر دولتی را ناکام بگذارد یا حتی آن ها را ناکام بگذارد، یک مانع بسیار بالا برای پاکسازی – شاید غیرممکن باشد.
ژئو حصارکشی به عنوان یک محافظ اضافی
حصار جغرافیایی استفاده از مختصات سیستم موقعیت یابی جهانی (GPS)، آدرس های IP یا سایر تله متری ها برای قرار دادن یک مرز مجازی در اطراف یک منطقه فیزیکی است. نمونه های اصلی از موارد استفاده از حصار جغرافیایی عبارتند از:
- تبلیغات: تبلیغات هدفمند بر اساس موقعیت مکانی کاربر
- امنیت: محدود کردن دسترسی به اطلاعات بر اساس موقعیت مکانی کاربر
حصار جغرافیایی نشان دهنده یک راه موثر برای حفاظت از داده های شخصی در تجارت چند ملیتی است. به عنوان مثال، سناریوهای توصیف شده در هر دو مورد Schrems را در نظر بگیرید: یک صادر کننده داده (فیس بوک ایرلند) مایل است داده ها را به یک واردکننده واقع در کشوری که توسط EC (فیس بوک ایالات متحده آمریکا) کافی تلقی نمی شود، منتقل کند. بسیاری از این داده ها به عنوان “شخصی” واجد شرایط نیستند و حتی کمتر به عنوان “شخصی حساس” تحت GDPR یا رژیم حفاظت از داده مشابه واجد شرایط هستند. با طبقهبندی دادهها بر اساس حساسیت آنها و سپس اعمال حصار جغرافیایی، اسناد، فایلها یا ارتباطات را میتوان به یک کشور خاص منتقل کرد (یا به آن دسترسی پیدا کرد، و برخی از آنها براساس اینکه آیا کشور مقصد مناسب در نظر گرفته میشود، «غربالگری میشوند». برای این موضوع، معیار برای اینکه چه دادههایی را میتوان به یک کشور خاص منتقل کرد، میتواند هر چیزی باشد، که صادرات دادهای را که در اتحادیه اروپا قرار دارد، انعطافپذیری فوقالعادهای در مورد دادههای قابل انتقال ارائه میدهد. مهمتر از همه، با توجه به لزوم تصمیم گیری برای هر انتقال، از رویکرد “همه یا هیچ” که در غیر این صورت ضروری است، جلوگیری می کند.
مربع کردن دایره Schrems با ژئو حصار
تصمیم Schrems II مسئول زیر سوال بردن قانونی بودن انتقال داده های شخصی از اتحادیه اروپا به ایالات متحده و سایر کشورها است. این پروتکل این کار را با بی اعتبار کردن یک پروتکل انتقال داده، برنامه سپر حریم خصوصی، و به کار بردن بندهای دیگر قرارداد استاندارد (SCCs)، با لزوم «اقدامات اضافی» برای کنترلهای امنیت سایبری فعلی انجام داد. دیوان دادگستری آمریکا چشم انداز نظارت الکترونیکی آژانس های اطلاعاتی ایالات متحده بر انتقال داده های فرا آتلانتیک را تهدیدی برای حقوق افراد اتحادیه اروپا می داند که ظاهراً اقداماتی برای خنثی کردن چنین نظارتی انجام شده است. متخصصان حفاظت از داده ها اکنون وظیفه دارند تعیین کنند چه کنترل هایی واجد شرایط اجرای این دستور جدید هستند و به دلیل فقدان راهنمایی CJEU این کار را تا حد زیادی توسط خودشان انجام دهند. حصار جغرافیایی روشی قدرتمند برای محدود کردن دسترسی به انواع محدود دادههای موجود در یک جغرافیا (مانند اتحادیه اروپا) از جغرافیای دیگر (مانند ایالات متحده، چین یا روسیه) ارائه میکند. با انجام این کار، امکان انتقال اکثریت قریب به اتفاق دادههای مورد نیاز برای مشارکت در تجارت چند ملیتی را فراهم میکند و در عین حال به نیازهای متنوع رژیمهای حفاظت از دادههای در حال تکامل در سراسر جهان احترام میگذارد.
“قدرت 2” – خطاب به Schrems II
فنآوریها به تکامل خود ادامه میدهند و همچنین به شکلی مکمل برای رسیدگی به Schrems II و همچنین بسیاری از موارد استفاده دیگر هماهنگ میشوند.
Spirion و Seclore نیروهای خود را برای ایجاد یک پیشنهاد “بهترین نژاد” ترکیب کرده اند که اطلاعات شما را به روشی کاملاً خودکار کشف، شناسایی، طبقه بندی و محافظت می کند. حفاظتی که شامل موارد زیر است: “چه کسی” می تواند به اطلاعات دسترسی داشته باشد، “چه” می تواند با اطلاعات انجام دهد (مشاهده، ویرایش، چاپ، کپی/پیست و غیره)، “چه زمانی” می توانند به اطلاعات دسترسی داشته باشند (بمب ساعتی)، و از کجا می توانند به اطلاعات دسترسی داشته باشند (ژئو حصار).
ترجمه: