Max Schrems谈欧盟法院可能将Facebook一分为二的裁决

对于Facebook来说，这一影响可能会像一把劈开的剑一样落下，因为在所谓的Schrems II判决之后，它的业务是最重要的。

同名隐私活动家Max Schrems的基本投诉针对的是这家科技巨头使用一种名为标准合同条款(SCC)的数据传输工具。数以千计的企业利用SCC进行欧盟到美国的个人数据传输，有时是除了现已不存在的隐私盾牌框架之外。早些时候，CJEU做出了一项裁决-在Schrems提出另一项申诉之后，该申诉也利用了2013年斯诺登披露的美国政府大规模监控项目-推翻了之前的跨大西洋“安全港”安排。

在Privacy Shield生效之前，SCCS是企业填补这一空白的现有替代方案。但CJEU裁定美国不符合欧盟的隐私标准，这让人对它们继续用于这些转移产生了怀疑。Facebook在安全港时代就在使用SCC。现在，在CJEU的决定之后，据说它正在将其隐私盾牌转移到SCC。因此，如果这家科技巨头也被命令暂停这些数据流，它就没有明显的“B计划”。

在Schrems看来，Facebook能够遵守CJEU裁决的唯一方式是将其基础设施一分为二。虽然其他类型的公司-如云存储提供商-可能已经因为延迟甚至成本等因素而按地区分离数据，但Facebook的业务根本不是这样运营的。它的设计目的是将数据吸引到它的中心。

“Facebook可能是最容易受到这一切影响的，”Schrems在接受TechCrunch采访时谈到CJEU裁决的后果时说。“对于Facebook来说，作为一家公司，遵守这些规定真的、真的很复杂。”

“有些部分是必要的数据传输，(Facebook)可以继续这样做。所以基本上就是我给一个美国朋友发的信息，诸如此类的东西。但这只是一个很小的百分比，“他继续说。“所以我认为，从技术上讲，他们必须采取的方法基本上是将Facebook一分为二。然后重新连接必要的数据传输。所以你们基本上已经联合起来了。有点像Diaspora一直被设计成的；一个联合的社交网络，你基本上有不同的部分，需要的东西被沟通，不必要的东西不被沟通。“。

“如果天堂和地狱没有降临到他们身上，他们是不会这么做的，”他补充道。“我想--特别是对脸书来说--问题在于，我们有一种情况，其后果是如此极端，以至于抵制显然是尽可能极端的。”…。他们知道，如果不从根本上重组整个系统，他们将永远无法遵守这些规定--所以他们没有做到。“。

Schrems指出，SWIFT金融数据交易所历史上发生的情况是一个可比的场景-解决方案是将备份从美国转移到瑞士，“因此只有国际和美国的数据实际上存储在美国，所有其他传输数据都保存在比利时和瑞士”。“所以你要把你的备份和你的情况分开，等等，”他说，并补充说：“这是大量的工程。”

在这一点上，大多数大型科技公司在欧洲都有数据中心。而更新的社交视频分享应用TikTok最近宣布计划为欧盟用户的数据建立一个爱尔兰。但Schrems认为，Facebook没有简单的方法来拆分其所有的欧盟数据流。

我们向Facebook询问了有关继续使用SCC的法律依据的细节，但该公司没有回答有关这个话题的问题。当我们要求它澄清任何“B计划”(如果它被命令停止使用SCC)时，它也没有回应。

除了给公司带来巨大的工程难题外，Schrems并不认为Facebook在欧洲拥有欧盟用户数据的联合版服务具有巨大的法律意义。但他认为，这样的分裂将发出关于法治的重要信息。

“法律没有区分数据是在欧洲还是在美国处理的，即必须遵守…。所以我真的不认为我们能从中获益太多。对我来说，这更多的是一个普遍的问题，公司必须尊重法律，或者只是一次又一次地逃脱法律的惩罚，而没有真正遵守。他说：“我不认为直接合规[这将是一种收获]--可能更重要的是，你不能逃脱惩罚，这才是重要的信息。”

在欧盟隐私权和美国监控法之间的冲突中，欧洲最高法院明确表示不会让步。与此同时，该地区各地的律师都在忙于应对这样一个明显的矛盾：CJEU认为美国的监控做法对隐私盾牌(Privacy Shield)来说是致命的，但又没有在SCC上设置一个不可磨灭的拦截器，用于跨池塘进行数据传输。另一种由来已久的转移机制--有时也被称为“示范条款”--本来也可以被推翻，但没有被推翻，所以法院就让门半开着。

律师事务所抓住这一点，制定战略，让企业继续使用SCC进行美国数据传输，以将风险降至最低-通过执行详细的风险评估和/或在可能的情况下应用“特殊措施”。鉴于付费咨询机会层出不穷，不难找到欧洲律师，他们认为可以让SCC为一些希望继续(或开始)在美国批量处理欧盟用户数据的数据控制员工作。

这一建议归根结底是处理所有相关的官僚机构，这些官僚机构围绕着对特定数据传输进行风险评估，以及它是否/如何属于美国监管法；对一些人来说，这可能还意味着调查技术和操作解决方案，例如数据在传输过程中是否可以加密，以及不受美国法律约束的欧盟实体持有的密钥；也许还意味着看看是否可以应用政策和加强合同语言，以便收到执法部门对数据的请求的美国接收实体有义务采取措施，确保有真正的法律强制作为支撑。

在国际隐私专业人士协会(International Association Of Privacy Professionals)上月主办的一次关于这一话题的公开讨论中，霍根·洛弗尔斯(Hogan Lovells)合伙人爱德华多·乌斯塔兰(Eduardo Ustaran)-吹捧SCC对美国转移的持续价值的较为乐观的声音之一-提出了在合同中建立政策保护的理由，要求对美国政府机构的数据请求进行一定程度的回击和讯问。

当法院谈到额外的保障措施和弥补接受者制度中缺乏保护的时候，…。他们谈论的正是这个问题：让法律程序到位--一种合同义务--来质疑这一请求。你可能会发现，如果这一点到位，只有非常、非常、非常小的一小部分案件会导致真正的冲突，真正需要禁止数据。“他辩称。

“即使在这种情况下，人们也需要质疑这是否真的在欧洲法律规定的范围内。或者在这些参数之外。因为，再说一次，法院没有说所有对数据的访问都是非法的；这是不必要的，它是不成比例的。所以这就是你需要了解的。这就是我们要说的。我认为在这份合同文件中绝对有回旋余地，当其中一方收到请求时，该文件的各方可以就他们将进行的审查级别达成一致。“。

在同一次讨论中，Fieldfish隐私、安全和信息合伙人伦佐·马尔奇尼(Renzo Marchini)表示，一些数据控制器可能能够确定他们的特定数据传输不存在任何不符合欧洲标准的风险。

“对于一些普通的转会来说，可能根本没有风险，”他假设。“他们可能在FISA(外国情报监视法案)之外，等等。只有在你得出结论认为你需要做更多事情的情况下，你才能获得额外的保障措施，而法院已经允许你做更多事情。“。

“他们还没有说那会是什么，”他补充说。“我希望EDPB(欧洲数据保护委员会)能在这里给出一些确定性，告诉我们那些东西是什么.”

然而，缺乏与美国监控法相关的司法补救是一个更棘手的问题。马基尼接受的一份协议不能通过任何程度的合同唾弃和润色来修复-对于受FISA约束的企业来说，这将作为他所说的“残余风险”来实施。

当被追问到这一点时，他说：“这只是事前进行的风险评估。”“因此，如果你处于风险之中，而你不能在技术上、操作上修复它，那么你就会面临没有实现基本等价性的残余风险。我想，这是无法避免的。你不会修补美国法律中的漏洞，法院发现无论是…。根据FISA 702，缺乏司法补救；你无法修复它，但你可能会得出结论，根据FISA 702，你不会面临风险。“。

在Facebook的案例中，该公司受美国监控法管辖没有看似合理的争议-这意味着它在面对Schrems II时的回旋余地很小。因此，突然之间，该公司把所有鸡蛋都扔进了SCC的篮子里，希望欧洲监管机构无视CJEU的指令，介入看起来风险很高。

施雷姆斯指出：“法院持有的证据之一是，作为外国人，根本没有任何法律补偿。”他补充说：“我与业界人士打过电话，他们说我们知道我们实际上没有法律依据，但我们只是希望他们是合理的，不会强制执行。”这基本上就是说你在非法工作，你希望法律不适用于你。“。

他补充说：“我们现在正在询问不同的公司，大多数公司表示，我们并不真正了解法律基础--我们正在等待指导。”“现实情况是，他们中的绝大多数人现在只是在非法工作。谷歌、微软甚至Facebook都表示，‘哦，我们仍在使用SCC，因为我们解读判断的方式不同。’“。

在另一个例子中，IAB Europe在关于CJEU裁决的问答中建议，忧心忡忡的广告商“向你们的主要监管机构寻求指导”，然后立即表示，DPA“可能会对根据隐私盾牌进行的数据传输给予宽大处理，因为这一法律修改的突发性”。不过，在SCC问题上，广告业团体更为谨慎，他们写道，合规性现在是根据具体情况确定的，“将取决于发送和接收个人数据的公司、目标国家的监管机构，以及个人数据的类型”。

“老实说，我对数据传输不太感兴趣，因为我们有太多其他的隐私问题，可能还有更大的问题。但我真的对此案越来越兴奋的原因是，它只是显示了我对这些决定的无知。“Schrems补充道。“如果欧盟最高法院第二次说你不能这么做，他们只是在说‘哦，我想这项法律不适用于我们，或者无论如何都不会执行’。”

“有了数据传输，你就会有点理解为什么它很复杂，你不可能在一夜之间改变它。即使是在我2015年提交的Facebook投诉中，当时我也说过，他们至少应该有一个命令，在一定的时间段内，他们应该停止数据传输，而不是说你必须连夜停止，因为这不会发生。但从理论上讲，例如，他们可以命令他们在一年内停止数据传输。这将给他们足够的时间来真正遵守它。“。

自CJEU裁决以来，个别欧盟监管机构通常一直守口如瓶。Facebook的主要监管机构爱尔兰数据保护委员会(DPC)将对Schrems长达七年的申诉采取什么行动，还有待观察。所有人的目光都集中在都柏林。

欧洲通用数据保护条例(GDPR)实施两年多来，监管机构对有关它需要加快步伐，继续执行针对Facebook等科技巨头的重大跨境投诉的抱怨并不陌生。尽管它对这些批评的反驳是，建立经得起法律挑战的强有力的案件需要时间。

与此同时，EDPB就CJEU裁决发布的指导意见强调，通过SCC进行的国际数据传输必须在个案的基础上进行评估；如果数据控制器打算继续使用SCC，它必须通知相关的欧盟监管机构-邀请对这些流动进行审查。

再加上CJEU告诉欧盟数据保护机构，他们有责任干预并停止向他们怀疑人们的信息面临风险的地方传输数据，很难看出监管机构如何在涉及FISA主体实体的明显案件中继续袖手旁观。

有一件事看起来很清楚：向任何缺乏欧盟数据充足率协议的国际司法管辖区传输“勾选框”数据的时代已经结束。

更进一步说，任何缺乏类似于GDPR的全面数据保护框架的第三国很可能都无法长期(如果有的话)“无缝”进入欧洲市场--这意味着，是的，美国；但也包括中国、印度等等(考虑到英国退欧后的英国有过度监控的倾向，它在充分性方面看起来也很危险；尽管其中一些已经通过法庭撤销)。

尽管现在大西洋两岸都有关于炮制“隐私盾牌2”(Privacy Shield 2)的声音，除非美国监控法进行开明的改革，或者欧洲不可能撕毁其基本权利宪章，但任何此类重生的文书都将很快追随其前身进入法律史。

正如我们上个月所说的，所有这些都意味着律师的工作要多得多。就在这时，律师事务所正在讨论降低合同风险的战略，向相关的数据控制者兜售一条前进的道路。

资金紧张的监管机构也将发现更多的工作堆积在他们的盘子上，因为他们得到了明确的指示，不要对违法的数据传输“一切照常”视而不见。

欧盟立法者也在向监管机构施压，他们希望看到更多的联合努力，以确保在欧盟数据主管部门的拼凑中和谐实施重大裁决。企业需要清晰，这是人们常说的话。随着更多此类跨境案件和夹点的爆发，EDPB的作用-其目前的职责包括发布指导意见，促进泛欧盟合作和监管申请的一致性-似乎将变得越来越关键。

根据Schrems的说法，EDPB将需要承担更多的领导和决策角色，而不是其惯常的清谈俱乐部。他辩称：“他们必须成为一个适当的法律实体，做出适当的法律决定，因为他们将在法庭上接受考验。”“到目前为止，他们发表了更多的政治声明，诸如此类。两个方向都有。有些东西他们做得太过分了，而GDPR没有提供。还有其他一些事情，他们与GDPR所说的基本内容相去甚远。(他们的结果)将不得不变得更像是一种适当的法律分析--也就是说，这就是你现在必须要做的。“

不出所料，对于一位多年来一直在向监管机构请愿维护自己的基本权利的隐私权活动家-现在有两项以他的名字命名的压倒性的CJEU裁决-Schrems对DPA迄今的表现表示了大量的失望。

在花了这么多时间和法律精力之后，令人惊讶的是，他最初对Facebook使用SCC的投诉仍然没有得到解决。这只是他提起诉讼的众多案例中的一个，他创建了noyb：一家致力于战略诉讼以保护隐私的非营利性欧洲数字权利组织。

他表示：“另一个问题是，当地当局还必须执行(EDPB的指导意见)，因为仍有很多讨论。”“我们有一些决定，我不能公开点名--但我们有来自爱尔兰民主党的‘中间’决定，他们字面上是这么说的，但我们有不同的观点，我们将以相反的方式做出决定。”从技术上讲，它们不受这些指导方针的约束，但如果它们在结构上得不到成员国的支持，那么，是的，什么都不会发生。“。

NOYB也有一些悬而未决的案件，这些案件已经与DPA一起待了长达1.5年的时间，没有一个关键的权威机构提供反馈-因为“他们根本就是不交谈”。

“我的意思是，只是在日常练习中。我们有一些悬而未决的案件-比如强制同意的事情-德国人说他们现在每个月都在爱尔兰打电话给他们，根本就没有人接。“他补充道。“因此，它不会在如此幼稚、基本的水平上发挥作用。

“所以我们面临的问题是整个合作系统根本不起作用。如果每个人都试着往同一个方向拉，这可能会奏效。但现在，它们都在朝着不同的方向发展。“。

施雷姆斯认为，既然CJEU最终介入了，他对Facebook SCCS的投诉会发生什么？

“老实说，我一点头绪也没有。我们现在正计划做更多的事情，把热度调高一点，“他说，并点头回应了noyb刚刚对Facebook Connect和Google Analytics数据传输使用SCC提出的101起投诉。“从根本上说，这是一个数据保护机构是否认真对待自己的问题，或者他们是否继续像‘常见问题’一样，就像‘胡说八道，我们真的什么都不告诉你’一样。”哪些DPA将开始采取一些执法措施。“

“人们抱怨美国很多，美国公司不遵守欧盟法律…。但现实是，我们根本没有执行这些法律。我们不这么做是欧洲的一个根本问题，“他补充道。“我在奥地利通常是开玩笑的；谷歌一次处罚就能让我们买到四条穿越阿尔卑斯山的高铁隧道！”

自2018年5月GDPR开始应用以来，已经有一次谷歌罚款-由法国CNIL于2019年初征收。但Schrems辩称，5000万欧元的罚款低得可怜，指出奥地利对其邮政服务(8000万欧元)处以更高的罚款，原因是为了运营直接邮寄服务，奥地利试图根据人们的位置和年龄来计算他们的政治利益。很明显，谷歌针对个人数据的行为广告投放比销售直接邮寄的电子表格要深入得多。

施雷姆斯补充道：“如果你从未真正执法，如果你从未真正实施处罚，如果即使是CNIL的最高罚款也是5000万欧元--这算不了什么--那么就没有理由怀疑(科技巨头)为什么不遵守。”

爱尔兰DPC还寻求将产品发布延迟包装为值得年度报告的执法胜利。但施雷姆斯认为，这样的东西“从根本上低估了它们的力量”。他还指出，用他的话说，noyb已经煽动了对DPC的法律行动，因为他们“不活跃”。

Schrems补充道：“他们往往更乐于写一份新闻稿，而不是真正拿起法律，拿出他们在法律上的选择，去争取它。”他在讨论欧盟DPA通常感觉不愿意或没有能力执行的问题时补充道，“他们往往更乐于写一份新闻稿，而不是真正拿起法律，采取他们在法律上的选择，并去争取它。”“这就是为什么我们试图用这些投诉来逼迫他们，101起投诉。基本上，他们不能再说没有案子摆在他们的桌上了。“。

他将如此多的监管不作为对欧洲人基本权利的影响比作拥有投票权，但大部分时间没有投票站。

“这有点像我们处理隐私的方式，”他建议说。“那就是。

.