Im April vor einem Jahr hat Apple offiziell die ATT-Richtlinie eingeführt, eine neue Datenschutzmaßnahme – App Tracking Transparency (kurz ATT).
ATT erfordert, dass die Anwendung die Erlaubnis des Benutzers zum Sammeln von Informationen einholt. Nachdem der Benutzer diese Version des Systems aktualisiert hat, kann er prüfen, welche Informationen die App im App Store erhalten kann.
Die Rolle der ATT-Richtlinie besteht darin, den Vorgang der „Nummernmarkierung" von der Standardimplementierung in eine Popup-Erinnerung umzuwandeln. Viele Freunde haben möglicherweise ähnliche Popup-Fenster gesehen. Es liegt an dem Benutzer, zu entscheiden, ob er es zulässt oder nicht.
Daher wurden Hunderttausende von Apps auf der ganzen Welt aus den Regalen genommen, weil sie die Beschränkungen nicht erfüllen, und viele von ihnen werden von chinesischen Unternehmen entwickelt; Apples Schritt läutet zweifellos den Beginn der „globalen Datensicherheitsrevolution“ ein Veränderungen in Zeiten starker globaler Datenregulierung suchen Gleichzeitig reagiert auch Google auf diesen Trend und realisiert zunächst die von großen Cloud-Dienstleistern errichtete „Privacy Security Compliance Wall“.
Die Datenschutzmaßnahmen der Internetgiganten folgen dem Trend, der das starke Signal der globalen Datengovernance und das Spiel der Datensouveränität zwischen den Ländern widerspiegelt, und persönliche Informationen und Datenschutz sind zu Schlüsselfaktoren geworden.
US-EU Privacy "War" - Änderungen in Datenschutzvereinbarungen
Der Schritt von US-Cloud-Service-Giganten wie Apple und Google ist zweifellos eine positive Antwort auf die derzeitige starke Forderung nach „Schutz der Privatsphäre der Benutzer“. Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union in der Rechtssache Schrems II entschieden, dass das von der EU und den Vereinigten Staaten erreichte „Privacy Shield“ für die transatlantische Übermittlung personenbezogener Daten auf den Gründen beruht dass das US-Geheimdienstüberwachungsprogramm dem Datenschutz nicht förderlich ist.“ Das Abkommen ist nichtig, weil es gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verstößt. Bisher, seit dem 12. Juli 2016, ist das „Privacy Shield“-Abkommen, das die Angemessenheitsbescheinigung der EU bestanden hat, offiziell nach vier Jahren ausgelaufen.“ Die Erhebung personenbezogener Daten unter erforderlichen Bedingungen“ ist eine Bewertung der Datensicherheit zu einem langfristigen Eindruck geworden. Seitdem wenden amerikanische Unternehmen zwar Standardvertragsklauseln (SCCs, Standard Contractual Clauses) als Grundlage für grenzüberschreitende Datenübermittlungen an, nachdem die Datenschutz-Non-Profit-Organisation NOYB (Non Of Your Business) immer wieder Beschwerden über Daten initiiert hat Übermittlungen in den Vereinigten Staaten, die SCCs Die Wirksamkeit wurde wiederholt von europäischen Datenbehörden untersucht und in Frage gestellt. Mehr als ein Jahr später, am 25. März 2022, erklärten EU-Kommissionspräsidentin Von der Leyen und US-Präsident Biden auf einer Pressekonferenz, dass die EU und die Vereinigten Staaten eine grundsätzliche Einigung über einen neuen Rahmen für die transatlantische Datenübertragung erzielt und dies versprochen hätten Schaffung eines neuen transatlantischen Datenschutzrahmens. Das bedeutet auch, dass der Gerichtshof der Europäischen Union nach dem Fall Schrems II entschieden hat, dass „unter den Umständen, dass die von chinesischen Unternehmen allgemein angenommenen Standardvertragsklauseln („SCC“) angefochten werden, die Vereinigten Staaten und Europa die Grenze überschreiten Konfrontation auf dem Gebiet der Daten und verpflichten sich, ein neues Kooperationsschema für die Datenübertragung zu bilden.
Die Vereinigten Staaten haben höhere Standards für den Schutz der Datenübertragung festgelegt, darunter:
(1) Auf der positiven Seite werden wir den Schutz der Privatsphäre und der Datenfreiheit der Bürger stärken, die an der Verwaltung von US-Signalaufklärungsaktivitäten beteiligt sind, umfassende Reformen durchführen, die strenge Verwaltung und mehrschichtige Überwachung von Signalaufklärungsaktivitäten stärken und sicherstellen, dass die Geheimdienstaktivitäten und die verfolgten Sicherheitsziele angemessen;
(2) Auf der negativen Seite eine Reihe von Beschränkungen für nachrichtendienstliche Aktivitäten einhalten, der EU Entlastungskanäle für US-Geheimdienstaktivitäten bereitstellen, um Datenschutzrechte zu verletzen, und einen Abhilfemechanismus schaffen. Solche Verpflichtungen bringen die Gedanken der Vereinigten Staaten zum Aufbau eines Zwei-Wege-Systems zum Schutz der Privatsphäre zum Ausdruck. Die Europäische Union erklärte auch, dass dieses Abkommen es ermöglichen wird, dass die Datenübertragung vorhersehbare und vertrauenswürdige Ergebnisse erzielt.
Der Schritt bietet eine vielversprechende Lösung für ein bestehendes Problem der Datenübertragung zwischen Partnerunternehmen auf beiden Seiten des Atlantiks. Erst im Februar dieses Jahres hat die französische nationale Datenschutzbehörde CNIL eine offizielle Mitteilung an eine lokale Website herausgegeben, dass die Verwendung von Google Analytics gegen die EU-DSGVO verstößt, weil sie diese Software verwendet, um die Leistung von Inhalten und Seitenbesuche zu verfolgen. CNIL stellte fest, dass dieses Tool bei der Verwendung personenbezogener Daten und deren Übertragung in die Vereinigten Staaten nicht den europäischen Vorschriften entspricht. Die US-Geheimdienste haben immer noch die Möglichkeit, auf eine große Menge privater Daten zuzugreifen, und die Vereinigten Staaten haben keinen gleichwertigen Datenschutz Mittel. Zufälligerweise erklärte im Februar dieses Jahres auch das Social-Media-Unternehmen Meta Platform (ehemals Facebook US) öffentlich, dass das Unternehmen aufgrund des Fehlens einer wirksamen Datenübermittlungsvereinbarung, wenn es nicht auf bestehende oder neue Datenübermittlungsvereinbarungen gestützt werden kann, dies tun könne stoppt sein soziales Netzwerk Facebook.Operationen mit Instagram in Europa. Ähnliche Compliance-Probleme im Prozess des Datenflusses in Unternehmen weisen darauf hin, dass es nach der Außerkraftsetzung des „Privacy Shield“-Abkommens in der bisherigen Praxis weitreichende Gesetzeslücken gibt, einen Monat nach der „Ausnahme“ und nach der gesetzlichen „Window Period“, die den Cloud-Dienst plagte Anbietern haben die Vereinigten Staaten und Europa Ende dieses Monats erneut eine vorläufige strategische Vereinbarung zum Thema Datenschutz bei der Datenübertragung getroffen, die aktuelle Vereinbarung befindet sich jedoch noch im Stadium der politischen Ankündigung, der auswertbare Text steht noch aus in einigen Monaten entworfen werden, und das Ergebnis dieser Vereinbarung ist noch unbekannt. Die Ungewissheit, die durch den nicht-textlichen Charakter des politischen Engagements der USA hervorgerufen wurde, veranlasste auch die europäische Seite, Bedenken hinsichtlich dieser Zusammenarbeit zu äußern. Die vorläufige Erklärung von NOYB zu diesem Rahmen lautet, dass der US Foreign Intelligence Surveillance Act immer noch eine Datenschutzbedrohung für die grenzüberschreitende Datenübertragung zwischen Europa und den Vereinigten Staaten darstellt. NOYB hofft, dass die USA "jedes neue Abkommen, das nicht den rechtlichen Anforderungen der EU entspricht, innerhalb weniger Monate dem Europäischen Gerichtshof durch Zivilprozesse und einstweilige Verfügungen vorlegen können. Wenn das Abkommen eindeutig gegen frühere Urteile verstößt, kann der Europäische Gerichtshof sogar eingreifen." vorläufige Maßnahmen. ”
EU-Datengesetzgebungssystem——Pyramide des Datenschutzes
Im Rahmen des Datenschutzrahmens der DSGVO hat die Europäische Union im Dezember 2020 zwei Legislativvorschläge für den Markt für digitale Dienste angekündigt – den Digital Services Act (Digital Services Act, DSA) und den Digital Market Act (Digital Market Act, DMA). verwendet, um den Verbrauchern und ihren Datenrechten einen stärkeren Schutz zu bieten, und baut einen strengen Schutzwall-Überwachungsmechanismus für Online-Netzwerkplattformen auf. Kapitel II des DSA regelt eindeutig die Ausnahmebedingungen der verschuldensunabhängigen Haftung für Anbieter von Datenvermittlungsdiensten – mit Ausnahme der Erbringung von „reinen Übertragungsdiensten (Artikel 3)“, „Caching (Artikel 4)“ und „Hinterlegungsdiensten (Artikel 5)“. Darüber hinaus kann der Anbieter nicht von der Verantwortung für seine Übermittlung und Speicherung von Informationen Dritter befreit werden; Kapitel III des Gesetzes legt fest, dass alle Anbieter digitaler Dienste eine transparente und sichere Online-Umgebung mit Sorgfaltspflichten, einschließlich Inhalten, die gegen EU-Recht verstoßen, einhalten müssen Das Gesetz „Verpflichtung zur Beschränkung der Haftung und Maßnahmen zur Durchsetzung der Beschränkung (Artikel 12)“, „Verpflichtung zur Löschung und Deaktivierung (Artikel 13)“, außerdem legt Abschnitt 4 des Kapitels III das Verwaltungssystem für sehr große Online-Netzwerke fest plattformen Diese Plattformen müssen regelmäßige Bewertungen der von ihnen verursachten systemischen Risiken durchführen, Compliance-Beauftragte zur Selbstprüfung ernennen und wahrheitsgetreu Bericht erstatten sowie externe Aufsicht und unabhängige Audits akzeptieren. Der Vorschlag dieses Gesetzentwurfs hat die oben genannten amerikanischen Internet-Technologiegiganten dazu veranlasst, mehr Energie in den Bereich der Datenkonformität zu investieren und sich mit illegalen Inhalten zu befassen, da ihnen sonst eine enorme Strafe in Höhe von 6 % des weltweiten Umsatzes droht.
Anders als DSA richtet sich DMA an spezifischere US-Cloud-Service-Giganten wie Google, Amazon, Apple, Meta und Microsoft. Der Gesetzentwurf betont, dass viele große Plattformen Vermittlerdienste für die meisten Transaktionen von Endbenutzern und Geschäftsbenutzern anbieten und sich allmählich von Kanälen zu wichtigen Kanälen oder sogar „Gatekeepern“ entwickeln. - Sobald sich die Industrie auf diese "Gatekeeper" verlässt, sind sie verpflichtet, unfaires Verhalten gegenüber Benutzern zu implementieren, und DMA wird durch die Notwendigkeit motiviert, einen stabilen und gut funktionierenden Markt aufrechtzuerhalten. Erwägen Sie eine strenge Regulierung bestimmter digitaler Dienste (Kernplattformdienste). . Konkret listet Kapitel III des Gesetzes die Praktiken von „Gatekeepern“ zur Beschränkung von Wettbewerb und Unlauterkeit auf, legt darauf aufbauend die entsprechenden Verpflichtungen und Ausnahmen fest, die Gatekeeper einhalten sollten, und legt fest, dass „Gatekeeper“ ernannt werden und ein Rahmenmechanismus dafür besteht zeitnaher Dialog mit dem DMA-Regulierungsausschuss. Kapitel IV des Gesetzentwurfs enthält die Verfahrensanforderungen und -regeln für die Durchführung von Markterhebungen und stellt sicher, dass die Ernennung von Gatekeepern und die Untersuchung nicht konformer Praktiken auf einem einheitlichen Standardrahmen basieren, der die Umsetzung des Gesetzentwurfs nach seiner offiziellen Verkündung erleichtert . Kapitel V enthält spezifische Implementierungs- und Richtungsregeln auf Implementierungsebene.
Der transatlantische Datenschutzrahmen ist eine institutionelle Antwort auf zwei streng aktualisierte EU-Rechtsvorschriften. Die EU-Seite betonte in ihrer Erklärung, dass sie weiterhin aktiv mit der US-Regierung an diesem Abkommen zusammenarbeiten wird, um diese Vereinbarung so bald wie möglich in ein Rechtsdokument zu überführen, das von beiden Parteien angenommen werden kann. Gemäß dem Gesamtrahmen der EU-Datengesetzgebung müssen sich die Vereinigten Staaten verpflichten, die bestehenden datenrechtlichen Dokumente der EU vollständig zu respektieren, und ihre Überwachung des Datenschutzes sollte den DSA und DMA der EU für Datenübertragungseinheiten, insbesondere große Dienstanbieter, entsprechen .. erfordern.
Was sind die Folgen für unser Land?
In- und ausländische Compliance-Anforderungen für Anbieter von Daten-Cloud-Diensten sind ein wichtiger Vorschlag, der in der heutigen Zeit, in der der Datenschutz einen hohen Stellenwert hat, nicht ignoriert werden darf. Die Erfahrung der Zusammenarbeit zwischen den Vereinigten Staaten und Europa zeigt, dass die Einrichtung eines Compliance-Systems für den grenzüberschreitenden Datenverkehr der Eckpfeiler einer langfristigen und stabilen Zusammenarbeit zwischen Ländern und Regionen im Zeitalter der digitalen Wirtschaft ist. Das „Personal Information Protection Law“, das „Data Security Law“, das „Cyber Security Law“ und die „Network Security Review Measures“ meines Landes haben einen starken Einfluss auf die Überwachung der Netzwerksicherheit und andere Inhalte, die von den Vereinigten Staaten im „Transatlantic Datenschutzabkommen“ und zur Datensicherheit im EU-Recht. Anforderungen wie regelmäßige Gefährdungsbeurteilungen haben unterschiedliche Übereinstimmungen. Wir sollten uns jedoch auch darüber im Klaren sein, dass in dem Moment, in dem die Datenschutzanforderungen von Überwachungsplattformen für Datendienste immer strenger werden, es notwendig ist, eine ausreichende und hochstandardisierte Selbstkontrolle der Datenkonformität zu realisieren und ein vollständiges normatives Selbstkontrollsystem zu bilden den tatsächlichen Anforderungen der grenzüberschreitenden Datenübermittlung von Datenunternehmen gerecht zu werden und damit einen ausreichenden Austausch und eine ausreichende Zusammenarbeit im Kontext der digitalen Wirtschaft zu fördern, was das erste Signal ist, das das Transatlantische Datenschutzabkommen aussendet. (Autor dieses Artikels: Che Xiaoxuan)