简评:无论是政府机构还是企业都一视同仁,该罚就得罚(但这次没有罚款)。
2024年3月8日,EDPS(European Data Protection Supervisor)宣布,经调查,发现欧盟委员会(EU Commision)在使用Microsoft 365时违反了几项关键的数据保护法规。
EDPS要求欧盟委员会采取措施以符合相关数据保护法规,并停止向未与欧盟签订隐私协议的美国公司及其位于第三国的子公司跨境传输数据,同时明确最后整改期限为2024年12月9日
一、背景信息[1]
(一)适用规则
本案所适用规则并非大家熟悉的GDPR,欧盟机构、机构、办事处和机构的欧盟数据保护法律,以及EDPS的职责,均在Regulation (EU) 2018/1725[2](以下简称“条例》”)明确。
(二)EDPS及EDPB介绍
EDPS是欧盟机构中负责个人数据和隐私保护以及促进良好实践的独立监管机构,主要职能包括:
- 监督欧盟管理机构对个人数据的处理;
- 监督并就影响隐私和个人数据保护的政策和立法的技术发展提供建议;
- 进行调查,包括进行数据保护审计/检查;
- 与其他监督机构合作,确保个人数据保护的一致性。
EDPB(European Data Protection Board)则是一个由欧盟成员国的数据保护监督机构组成的机构网络。其主要任务是促进欧盟成员国之间在数据保护方面的协调和合作。EDPB负责制定指导方针、建议和决定,以确保在欧盟内部实施的数据保护法律得到一致的解释和应用。
(三)调查历程
EDPS对欧盟委员会使用 Microsoft 365 的调查于 2021 年 5 月开展,是在Schrems II 判决之后进行的。其目的是核实欧盟委员会是否遵守了之前由EDPS发布的有关欧盟机构和机构使用微软产品和服务的建议。这项调查是EDPS在参与EDPB在2022年协调执法行动框架下采取的行动之一。
二、违法行为[1]
EDPS发现,欧盟委员会违反《条例》,包括有关个人数据在欧盟/欧洲经济区之外转移的规定。具体来说,欧盟委员会未能提供适当的保障措施,以确保个人数据在转移至欧盟/欧洲经济区之外时,能够获得与在欧盟/欧洲经济区中同等级别的保护。
此外,在与微软签订的合同中,欧盟委员会未能充分明确在使用Microsoft 365时将收集哪些类型的个人数据以及用于何种明确指定的目的。
欧盟委员会作为数据控制者的违规行为还涉及数据处理者代表其进行的数据处理活动,包括个人数据的跨境传输。
Wojciech Wiewiórowski,EDPS,表示:“欧盟机构、机构、办事处和机构均有责任确保在欧盟/欧洲经济区内外进行的任何个人数据处理,包括在云服务的场景下,都采取强有力的数据保护措施。此为确保《条例》所要求:每当个人数据被欧盟机构或其代表处理时,其数据均得到保护的必要条件。”
因此,EDPS决定,自2024年12月9日起,欧盟委员会暂停其使用Microsoft 365向Microsoft及其位于未获得适当性决定的欧盟/欧洲经济区之外国家的子公司和子处理者的所有数据流EDPS还决定,命令欧盟委员会使其使用Microsoft 365的处理操作符合《条例》。欧盟委员会必须在2024年12月9日之前证明其完成整改。
EDPS认为,考虑到发现的侵权行为的严重性和持续时间,其实施的责令整改措施是适当的、必要的和相称的
欧盟委员会及代表其进行数据处理的处理者在使用Microsoft 365时进行的所有处理操作涉及多项违规行为,并影响大量个人。
EDPS还指出,为了不损害欧盟委员会履行保障公众利益的任务及其他法律授予的监管职责,同时也需要给予欧盟委员会足够的时间来实施预计的暂停相关数据流的措施,以确保数据处理符合《条例》的规定。
EDPS在其2024年3月8日的决定中实施的措施不影响EDPS可能采取的任何其他或进一步行动。
三、媒体报道[3]
相关媒体报道,开展相关调查的担忧起源于2013年前美国情报人员爱德华·斯诺登披露了美国大规模监视的情况。
欧盟委员会没有立即对媒体置评请求做出回应。
微软表示将审查EDPS的决定,并与欧盟委员会合作解决相关问题。 “EDPS提出的担忧主要与GDPR下更严格的透明度要求有关,该法仅适用于欧盟机构,”一位发言人说道。 
四、附录[4]
附录:欧盟委员会使用Microsoft 365后EDPS调查的整改措施和违规行为清单
(一)整改措施
1. EDPS已决定针对违规要求欧盟委员会采取以下整改措施:
1.1 根据《条例》第58(2)(j)条的规定,自2024年12月9日起,暂停所有由其使用Microsoft 365向Microsoft及其位于未获得适当性决定的第三国的子公司和子处理者产生的数据流,并展示此类暂停的有效实施。
1.2 根据《条例》第58(2)(e)条的规定,确保其使用Microsoft 365产生的数据处理合规,并在2024年12月9日之前证明相关合规性,具体做法如下:
1.2.1. 进行一项跨境传输映射测试,确定将哪些个人数据转移到哪些第三方国家的接收者,用于何种目的,并受到何种保障措施的约束,包括进一步的转移。
1.2.2. 确保所有向第三国的跨境传输仅在为了欧盟委员会职权范围内的任务而进行。
1.2.3. 通过根据《条例》第29(3)条订立的合同条款和其他组织性和技术性措施,确保:
a)所有个人数据仅为明确和确定的目的而收集;

b)个人数据的类型在与其处理目的相关的情况下已经充分确定;
c) Microsoft或其关联公司或子处理者的任何处理都只能根据欧盟委员会的书面指示进行,除非在欧洲经济区内的处理是欧盟或成员国法律所要求的,或者在欧洲经济区外的处理是受第三国法律约束的,并确保与欧洲经济区相当的保护水平,且Microsoft或其子处理者受此法律约束;
d) 个人数据不得以与其收集目的不相容的方式进行进一步处理,须符合《条例》第6条规定的标准。
e) 向Microsoft Ireland或其位于欧洲经济区的关联公司和子处理者的任何传输都符合《条例》第9条的规定。
f) 在处理位于欧洲经济区内的个人数据时,只有在欧盟法律或成员国法律禁止向欧盟委员会报告有关披露请求的情况下,才不需要向委员会通报。而对于在欧洲经济区外处理的个人数据,任何禁止通报的规定都必须符合《条例》第29(3)(a)条的规定,并且需要在民主社会中被视为一项必要且适当的措施,尊重《欧盟基本权利宪章》所确认的基本权利和自由的实质。这一规定是在Schrems II案的裁决下得到特别解释的,该裁决强调了保护个人数据转移到欧盟境外的必要性,同时确保在保护个人数据的同时尊重个人权利。
g) Microsoft或其子处理方不会披露个人数据,除非在欧洲经济区内处理的个人数据方面,披露是由欧盟或成员国法律要求的,或者在欧洲经济区之外处理的个人数据方面,披露是由确保与欧洲经济区基本等同的保护水平的第三国法律要求的,而Microsoft或其子处理方受其约束。
1.3 根据《条例》第58(2)(b)条规定,对欧盟委员会发出警告。
(二)不符合目的限制原则
2. EDPS认定,欧盟委员会在2021年5月12日至2024年3月8日期间:
a) 违反了《条例》第4(1)(b)条款,未能:
- 充分确定与Microsoft Ireland达成的2021年跨机构许可协议(“2021 ILA”)相关的个人数据类型,以便针对处理的每个目的进行明确定义。
- 确保根据2021 ILA,Microsoft被允许收集个人数据的目的是明确定义的。
b) 违反《条例》第29(3)(a)条的规定,未充分确定在2021年与Microsoft Ireland签订的2021 ILA中,哪些类型的个人数据将被用于哪些目的,并未提供充分清晰的书面指示以进行处理。
c) 违反《条例》第4(2)、第26(1)条还有第30条的规定,未能确保Microsoft仅按照欧盟委员会的文件化指示处理个人数据以提供其服务。
d) 违反《条例》第6条的规定,未能评估进一步处理的目的是否与最初收集个人数据的目的相一致。
e) 违反《条例》第9条,未能评估将个人数据传输至位于欧洲经济区的Microsoft Ireland及其子处理者(包括附属公司)是否符合的必要性和比例原则。
(三)违规将个人数据传输至欧盟/欧洲经济区之外
3. EDPS还发现,除前述问题外,欧盟委员会:
a) 违反《条例》29(3)(a)条在2021 ILA中,未能明确提供哪些类型的个人数据可以转移至哪些第三国的接收方,以及为何目的,以及未Microsoft提供相关文件指示。
b) 违反《条例》第4(2)、46和48条,未能提供适当的保障,确保据传输的保护水平与欧洲经济区内的水平基本相当:
- 在数据传输启动之前或之后,未对将要传输的个人数据、接收方、第三国以及传输目的进行评估,因此未获得确定是否需要采取补充措施以确保基本等效保护水平以及是否存在可实施的有效补充措施的最低信息。
-在美国充分性决定生效前,未能参考Schrems II判决针对数据传输至美国采取有效措施,亦无法证明相关措施存在。
c) 违反《条例》的第4(2)、46和48(1)以及48(3)(a)条的规定:
- 在未进行转移影响评估并在标准合同条款(SCCs)中包含适当保障的情况下,就达成了从欧盟委员会向Microsoft跨境传输的SCCs。
- 未根据《条例》第48(3)(a)条的规定,获得EDPS对欧盟委员会向Microsoft公司跨境传输的SCCs的授权。
d) 违反了《条例》第47(1)条,结合第4、5、6、9和46条的规定,未能确保跨境传输仅为执行控制者职责范围内的任务而进行。
(四)未经授权披露个人数据
4. EDPS还发现,欧盟委员会:
a) 违反《条例》第29(3)(a)条,特别是在Schrems II后,未能确保在欧洲经济区处理的个人数据仅受欧盟或成员国法律禁止向委员会通报有关披露请求,并且对于在欧洲经济区之外处理的个人数据,任何禁止通报的措施均应构成一项在尊重《欧盟基本权利宪章》所承认的基本权利和自由的基础上,符合民主社会必要和适度的措施;
b) 违反《条例》的第4(1)(f)、第33(1)和(2)条以及第36条,具体表现为:
-未对计划在2021 ILA项下转移个人数据的所有第三国的法律进行评估,从而未能确保Microsoft及其子处理者不在未经欧盟法律授权而在欧洲经济区内外披露个人数据;
-未能实施有效的技术和组织措施,以确保在欧洲经济区内按照完整性和保密性原则进行处理,并作为保护水平的基本等同的一部分,在欧洲经济区之外也是如此处理。
参考网址:
[1] https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en
[2] https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32018R1725
[3] https://www.reuters.com/technology/eu-commissions-use-microsoft-software-breached-privacy-rules-watchdog-says-2024-03-11/
[4] https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
继续阅读
阅读原文