ECJ裁定美国云服务与欧盟隐私法根本不兼容

美国的监视文化今天遭到欧盟的重大回击，欧洲法院(European Court Of Justice)裁定，欧盟标准合同条款作为向欧盟以外的法律制度传输数据的一种方式的合法性。正如我们两年前所写的那样，对上一次美国和欧盟之间的“安全港协议”被驳回负有责任的奥地利人马克斯·施雷姆斯(Max Schrems)表示，一旦欧盟法院进行审议，其继任者“隐私盾牌”(Privacy Shield)就会消失。看来他是对的。

Schrems担心的是，美国外国情报监视法案(FISA)第702条允许美国国家安全局(National Security Agency)通过获取存储在Facebook等电子通信服务提供商的数据的方式，收集属于美国境外非美国人的外国情报。

事实上，像“云法案”这样的法规已经导致美国云公司放弃了对隐私的争夺，促使欧洲云巨头联合起来，提供了另一种选择。

今天，CJEU的判决宣布美国监听案中的隐私权盾牌无效。这里可以阅读Max Schrems&39；NOYB组织关于CJEU裁决的第一份声明。

他们的声明指出，欧盟委员会屈服于美国的压力，没有对美国的监控法进行深入评估，而是迅速通过了隐私盾牌，以保护美国企业的业务，损害了欧盟公民的隐私和安全。引用卢森堡大学(University Of卢森堡)法学教授赫维希·霍夫曼(Herwig Hofmann)的话，霍夫曼是在CJEU为Schrems案件辩护的律师之一：

CJEU已宣布欧盟委员会第二项违反欧盟基本数据保护权的决定无效。不能向拥有大规模监视形式的国家传输数据。只要美国法律赋予其政府权力来真空处理过渡到美国的欧盟数据，这样的工具就会一再无效。欧盟委员会在隐私盾牌的裁决中接受了美国的监控法，这让他们没有辩护理由。

许多德国数据保护当局已经在不同的角度得出结论，认为在学校使用Office 365是非法的，使用外国托管的聊天和视频通信服务会带来合规问题，建议改用Nextcloud Talk。瑞典人和荷兰人一再得出同样的结论。CJEU规定，DPA有义务采取行动，而不是像已经多次发生的那样屈服于政治压力。仅仅把目光移开不是解决问题的办法。

像微软这样的美国云公司已经经常被展示出炫耀欧洲隐私法，荷兰政府最近发布的一份广泛的Office 365数据保护影响评估报告再次证明了这一点，该评估揭露了数十起违反GDPR的行为。

通过这一最新裁决，欧洲法院又给美国云服务设置了一个主要障碍，挑战了云服务是任何隐私敏感数据可行解决方案的基本前提。根据GDPR，企业、学校和政府组织将员工、客户、学生和公民的数据放在Office 365、Google G Suite或其他数十种美国SaaS服务之一上，现在可能会面临巨额罚款。

荷兰政府2020年年中委托的DPIA显示Office 365存在一系列问题