#ECJ:关于欧盟-美国数据保护盾牌提供的保护是否足够的决定无效,但@EU_Commission关于将个人数据转移到第三国建立的处理器的标准合同条款的决定有效#Facebook#Schrems pic.twitter.com/BgxGAvuq3T。
这起案件-俗称Schrems II(指的是隐私权活动家和律师Max Schrems,他最初的投诉支撑了这一传奇故事)-有着悠久而错综复杂的历史。简而言之,它涉及与人们的数字数据相关的两个截然不同的法律制度之间的冲突:一方面是美国的监控法,另一方面是欧洲的数据保护和隐私。
更具说服力的是,美国对数字监控的优先考虑-正如2013年美国国家安全局(NSA)泄密者爱德华·斯诺登(Edward Snowden)的爆料所揭示的那样;并在FISA(外国情报监视法案)第702条允许的数据捕获权力的广度上-与赋予公民隐私权和数据保护权的欧洲基本权利直接冲突。
Schrems II案件还直接涉及Facebook,同时对欧盟公民数据可以进行多大规模的数据处理具有更广泛的影响。
具体的问题是围绕Facebook(和许多其他公司)在美国处理地区用户数据所使用的欧洲数据传输机制的合法性问题,该机制被称为标准合同条款(SCC)。
施雷姆斯在2015年底对Facebook使用SCC的做法提出了挑战,当时他向爱尔兰的数据监管机构更新了早些时候就与美国政府大规模监控做法有关的同一数据传输问题提出的投诉。
他要求爱尔兰数据保护委员会(DPC)暂停Facebook使用SCC。相反,监管机构决定将他和Facebook告上法庭,称其担心整个机制的合法性。爱尔兰法官随后将大量微妙的法律问题提交给欧洲最高法院,这将我们带到了今天。值得注意的是,Facebook多次试图阻止向法院提交信息,但均以失败告终。
爱尔兰高等法院的移交还引发了对欧盟委员会(European Commission)一项名为欧盟-美国隐私盾牌(EU-US Privacy Shield)的旗舰数据传输协议的质疑。这取代了一项名为安全港的长期欧盟-美国数据传输协议,该协议在Schrems早些时候也提出挑战后,于2015年被CJEU否决。(因此,Schrems II。)
因此,与此案相关的部分预期与欧洲最高法官是否会选择就隐私盾(Privacy Shield)的合法性进行权衡有关。隐私盾是一种数据传输框架,目前已有5300多家公司使用。而欧盟委员会几年前才开始实施。
批评这一安排的人士坚称,它并没有解决美国监控和欧盟数据保护之间的根本冲突-近年来,随着特朗普政府的上台,隐私盾牌的位置看起来越来越不稳定。
在这一事件中,CJEU站在了批评人士一边,这些批评者长期以来一直认为隐私盾牌相当于猪身上的口红。对于欧盟委员会(European Commission)来说,今天肯定不是好日子(昨天它在法庭上就另一件事也经历了非常糟糕的一天)。我们联系了欧盟行政部门就Schrems II发表评论,一位发言人告诉我们,它将在中午举行新闻发布会。
突如其来:欧盟法院刚刚宣布欧盟和美国之间的隐私盾牌数据共享系统无效,原因是美国的监听范围过大。此处提供所有详细信息:https://t.co/xN4HKhZaBT#PRISM#FISA702#隐私#PrivacyShield#SCC#GDPR#CJEU。
隐私盾牌也受到了单独的法律挑战-在该案中的原告(La Quadrature Du Net)辩称,该机制侵犯了欧盟的基本权利,没有为欧盟公民的数据提供足够的保护。那个案子现在已经没有意义了。
在SCC方面,CJEU没有对该机制本身提出异议-但法官认为,数据管制员有义务对数据将被获取的国家提供的数据保护进行评估。如果该级别不等于欧盟法律规定的级别,则控制器有法律义务暂停数据传输。
这还意味着,欧盟监管机构(如爱尔兰的DPC)有明确的义务暂停通过SCC向数据保护不足的第三国传输数据。这是Schrems一开始就要求爱尔兰监管机构做的事情。
目前尚不清楚Facebook等使用SCC将欧盟公民数据带到美国的公司还有什么替代方案,因为法官以在美国缺乏对欧盟公民数据的保护为由,宣布Privacy Shield无效。美国的监控法阻碍了他们的数据流。
在一份声明中,兴高采烈的施雷姆斯在评论这一裁决时说:“我对这一判决感到非常高兴。乍一看,法院似乎在所有方面都跟随我们。这对爱尔兰民主党和Facebook是一个彻底的打击。很明显,如果美国企业想要继续在欧盟市场上发挥作用,美国将不得不认真修改他们的监控法。“