CJEU裁决后，法律乌云聚集在美国云服务上

最初的申诉导致欧盟法院(CJEU)做出裁决，重点是Facebook使用一种名为标准合同条款(SCCS)的数据传输机制，授权将欧盟用户的数据转移到美国进行处理。

鉴于美国政府的大规模监控项目，申诉人Max Schrems要求爱尔兰数据保护委员会(DPC)暂停Facebook的SCC数据传输。相反，监管机构诉诸法院，对转移机制的合法性提出了更广泛的担忧。

这反过来又导致欧洲最高法官否决了欧盟委员会的充分性决定，这是欧盟-美国隐私盾牌的基础-这意味着美国不再有一项特殊的安排来润滑来自欧盟的个人数据流动。然而，在撰写本文时，Facebook仍在使用SCC处理欧盟用户在美国的数据。情况发生了很大变化，但数据还没有停止流动。

昨天，这家科技巨头表示，它将“仔细考虑”CJEU对Privacy Shield的裁决的结果和影响，并补充说，它期待着“监管指导”。它当然没有主动提出主动拨动杀死开关并停止处理本身。

与此同时，作为Facebook在该地区的主要数据监管机构，爱尔兰的DPA回避了在昨日裁决后将采取什么行动的问题，称它(也)需要(更多)时间来研究法律上的细微差别。

DPC的声明也只是说，使用SCC将数据带到美国进行处理是“有问题的”-补充说，个案分析将是关键。

该监管机构仍是欧洲持续批评的焦点，原因是其在重大跨境数据保护投诉的执法记录-在欧盟的一般数据保护条例(GDPR)生效两年多后，仍没有发布任何决定，针对平台巨头数据处理活动的公开调查也在不断积压。

今年5月，DPC最终向其他DPA提交了其关于跨境案件(对Twitter安全漏洞的调查)的第一份决定草案，表示希望该决定能在7月份最终敲定。在撰写本文时，我们仍在等待欧盟监管机构就此达成共识。

围绕欧洲旗舰数据保护框架的艰苦执法步伐，仍是欧盟立法者面临的一个问题--欧盟立法者上月进行了为期两年的审查，要求监管机构统一“大力”执法。

在Schrems II裁决之后，欧洲数据保护监管机构(EDPS)今天发出了类似的呼吁-这项裁决似乎只会让资金不足的DPA的办公桌上堆满更多工作，从而使监管数据流的过程进一步复杂化。

EDPS Wojciech Wiewiórowski在一份声明中写道：“欧洲监管机构有义务认真执行适用的数据保护立法，并在适当的情况下暂停或禁止向第三国传输数据。”该声明警告称，不要在干预战线上进一步犹豫不决或无动于衷。

他接着说：“作为欧洲数据保护委员会(EDPB)的成员，EDPS将继续努力在欧洲监管机构之间实现必要的协调一致的方法，以实施欧盟的个人数据国际转移框架。”他呼吁欧盟的DPA进行更多的联合工作。

Wiewiórowski的声明还强调了他所说的关于数据管制员和欧洲DPA责任的“受欢迎的澄清”，即“考虑到与第三国公共当局访问个人数据有关的风险”。

“作为欧盟机构、机构、办事处和机构的监督机构，EDPS正在仔细分析对欧盟机构、机构、办事处和机构所订立合同的判决的后果。EDPS最近主动调查欧洲机构使用微软产品和服务的例子证实了这一挑战的重要性。“他补充道。

执行欧洲数据保护规则的部分复杂性在于缺乏一个单一的机构；负责调查投诉和发布决定的各种监管机构拼凑在一起。

现在，CJEU的一项裁决要求监管机构自己评估第三国-以确定SCC的使用在特定用例和国家是否有效-如果不同的DPA得出不同的结论，就有进一步分裂的风险。

昨天，汉堡的DPA在回应CJEU的裁决时批评法官没有也打掉SCC，称他们宣布隐私盾牌无效，但又允许这种另一种机制进行国际转移是“不一致的”。DPA警告称，德国和欧洲的监管当局现在必须迅速就如何处理继续非法依赖隐私盾牌的公司达成一致。

在声明中，汉堡的数据专员约翰尼斯·卡斯帕(Johannes Caspar)补充说：“国际数据通信的艰难时期即将到来。”

他还直言不讳地警告说：“向没有足够数据保护水平的国家传输数据将导致…。以后再也不允许了。“。

将这一点与爱尔兰的DPC逐一讨论使用SCC是“有问题的”进行比较和对比。(或者英国的ICO提供这个最低价格。)。

卡斯帕还强调了欧盟DPA拼凑而成的挑战，即在CJEU裁决后制定和实施应对SCC的“共同战略”。

在今天的一份新闻简报中，柏林的DPA也采取了强硬的立场，警告称，只有在第三国的数据保护水平基本上与欧盟内部提供的数据保护水平相当的情况下，才会允许向这些国家传输数据。

在美国这个拥有最大和最多使用的云服务的案例中，欧洲的最高法官昨天非常明确地重申，事实并非如此。

柏林数据专员玛雅·斯莫尔奇克(Maja Smoltczyk)在一份声明中表示：“CJEU已经明确表示，数据出口不仅关系到经济，而且必须是人们最基本的权利。”(我们使用谷歌翻译翻译了这份声明)。

“为了方便或节省成本，个人数据可以转移到美国的时代在这一判决后已经结束，”她补充说。

两个DPA都警告说，这项裁决对云服务的使用有影响，在这些国家，数据是在其他第三国处理的，在这些国家，欧盟公民的数据也无法得到保护，也就是说，不仅仅是美国。

在这方面，Smoltczyk将中国、俄罗斯和印度列为欧盟DPA将不得不评估的类似问题的国家。

一些评论员(包括Schrems本人)也暗示，这项裁决可能会让公司转向欧盟用户数据的本地处理。尽管有趣的是注意到法官选择不使SCC无效-从而为合法的国际数据传输提供了一条途径，但前提是在给定的第三国提供了必要的保护。

欧洲数据保护委员会(EDPB)今天也对CJEU的裁决做出了回应。也就是由来自整个集团的DPA代表组成的机构。主席安德里亚·耶利内克(Andrea Jelinek)发表了一份温和的声明，写道：“EDPB打算继续在确保个人数据跨大西洋转移方面发挥建设性作用，使欧洲经济区的公民和组织受益，并随时准备向欧盟委员会提供援助和指导，帮助它与美国一起建立一个完全符合欧盟数据保护法的新框架。”

不过，如果不对美国监控法进行彻底修改，很难看出如何才能让任何新的框架在法律上站得住脚。隐私盾牌的前身安排，安全港，已经持续了大约15年。它闪亮的“新的和改进的”替代品甚至不到五年。

在CJEU裁决之后，数据出口商和进口商被要求在使用SCC向那里传输数据之前，对一个国家的数据制度进行评估，以评估其与欧盟法律标准的充分性。

“在进行此类事先评估时，出口商(如有必要，在进口商的协助下)应考虑SCC的内容、转让的具体情况以及进口商所在国家适用的法律制度。对后者的审查应根据GDPR第45条第(2)款规定的非穷举因素进行，“Jelinek写道。

“如果评估的结果是进口商的国家没有提供基本上相等的保护水平，出口商可能不得不考虑在SCC中包括的措施之外实施额外的措施。经济发展及规划委员会现正进一步研究这些额外措施可能包括的内容。“。

同样，还不清楚一个平台可以采取什么“额外措施”来“修复”美国监控法给予外国人的严重缺乏补偿。似乎确实需要进行重大的法律手术来摆平这个圈子。

Jelinek表示，EDPB将研究这一判决，目的是在未来提供更细粒度的指导。但她的声明警告数据出口商，如果合同义务没有或不能得到遵守，他们有义务暂停数据传输或终止SCC，否则如果打算继续传输数据，他们有义务通知相关监管机构。

她还以迂回的方式警告说，DPA现在有明确的义务终止在第三国无法保证数据安全的SCC。

Jelinek写道：“EDPB注意到主管监督当局(SAS)有义务根据SCCS暂停或禁止向第三国转移数据，如果主管SA认为，并根据转移的所有情况，该第三国没有或不能遵守这些条款，并且无法通过其他方式确保对转移的数据的保护，特别是在管制员或处理机本身尚未暂停或结束转移的情况下，”Jelinek写道，“根据SCCS，主管监督当局(SAS)有义务暂停或禁止向第三国转移数据，如果该第三国没有或不能遵守这些条款，并且无法通过其他方式确保对所转移的数据的保护，特别是在管制员或处理机本身尚未暂停或结束转移的情况下。”Jelinek写道。

有一件事是非常清楚的：美国云服务因欧盟-美国隐私盾牌(EU-U.S.Privacy Shield)的存在而产生的任何法律确定性-及其关于数据保护充分性的有缺陷的说法-已经像夏雨一样消失了。

取而代之的是一种似曾相识的感觉和律师们更多的工作。