爱尔兰隐私监管机构向Facebook发出初步命令,要求其停止向美国发送欧盟用户数据,这是执行7月份隐私盾牌的第一大步

2020-09-10 03:08:10

欧盟隐私监管机构向Facebook Inc.。据知情人士透露,暂停向美国传输欧盟用户数据的初步命令,对该公司来说是一个运营和法律挑战,可能会为其他科技巨头开创先例。

知情人士说,初步命令是爱尔兰数据保护委员会(Data Protection Commission)上月底向Facebook发送的,要求该公司做出回应。这是欧盟监管机构为执行7月份关于欧盟最高法院数据传输的裁决而采取的第一个重要步骤。这项裁决限制了Facebook等公司将欧洲人的个人信息发送到美国领土的方式,因为它发现欧洲人没有有效的方式来挑战美国政府的监控。

为了遵守爱尔兰的初步命令,Facebook很可能不得不重新设计其服务,以孤立它从欧洲用户那里收集的大部分数据,或者完全停止为他们提供服务,至少是暂时停止。如果不遵守命令,爱尔兰数据委员会有权对Facebook处以高达其年收入4%的罚款,即28亿美元。

Facebook首席政策和沟通主管尼克·克莱格(Nick Clegg)证实,作为调查的一部分,爱尔兰隐私监管机构表示,Facebook实际上不能再使用广泛使用的合同进行欧盟与美国的数据传输。

克莱格说,“缺乏安全、安全和合法的国际数据传输将损害经济,并阻止欧盟出现数据驱动型企业,就像我们从新冠肺炎那里寻求复苏一样。”

这项初步命令是欧洲隐私维权人士的胜利,他们在监管机构和法庭上争论了十年的大部分时间,认为他们的数据不应该发送到美国或保存在美国,因为这些数据可能会在秘密要求下移交给政府。

这也是对在欧洲有业务的大型科技公司以及它们促进的跨大西洋贸易的警告。一位知情人士说,尽管这一订单适用于Facebook,但该公司可能是其他美国科技公司中第一家面临类似订单的公司。这位知情人士补充说,这关系到美国是否可能不得不修改其监控法,以恢复数据传输。

科技倡导者说,阻止大型科技公司向美国传输数据可能会颠覆数十亿美元的跨境数据活动,包括云服务、人力资源和营销,因为这些活动涉及从美国领土访问或存储欧洲人的信息。倡导者补充说,类似的逻辑也可以用来阻止向其他国家的转移,欧盟法院认为监控法是侵入性的。

可以肯定的是,爱尔兰的命令是初步的,在最终敲定之前可能会进行修改,这一过程可能需要几个月的时间。爱尔兰的数据委员会领导欧盟对Facebook的隐私执法,因为它的地区总部设在该国,但爱尔兰的隐私监管机构必须在跨境案件中与其他欧盟国家的同行进行协调。

知情人士说,爱尔兰数据委员会要求Facebook在9月中旬之前对这一命令做出回应。知情人士补充说,在考虑了Facebook的回应后,数据委员会告诉该公司,它计划根据欧盟隐私法的一项合作条款,向其他欧盟国家的26个隐私监管机构发送一份新的命令草案,供共同批准。

Facebook还可能在法庭上挑战这一命令。其中一位知情人士说,在内部,Facebook认为初步订单及其未来影响是一件大事。这位知情人士和另一位知情人士说,由于其敏感性,该命令的存在正在Facebook内部密切保密,而高管和律师将决定如何回应。

自7月份的裁决以来,欧盟执行机构欧盟委员会(European Commission)和美国官员已经开始谈判,以建立一种新的方式,让公司将欧洲人的数据发送到美国,以符合法院的要求。但欧盟司法专员迪迪埃·雷恩德斯(Didier Reynders)上周在欧洲议会表示,“不会有快速解决方案”。

一些隐私权律师表示,美国需要修改其监控法,以解决法院的担忧。美国方面说,它的监视做法是相称的,并在法庭上辩称,欧盟不应该对美国的国家安全做法行使管辖权。

现在的焦点是欧盟的隐私监管机构,看看他们是如何执行7月份的裁决的。代表欧盟隐私监管机构的一个委员会上周宣布成立一个特别工作组来解决这个问题。爱尔兰的数据委员会一直受到密切关注,因为除了Facebook之外,它还领导着欧盟对几家大型科技公司的隐私执法,包括Alphabet Inc.的谷歌(Google)和苹果(Apple Inc.)。和Twitter Inc.。

爱尔兰命令Facebook停止向美国发送数据的计划-即使只是初步的-标志着欧盟和美国在跨大西洋数据流动问题上就如何平衡隐私和商业而争吵了20多年,这是一个重大转变。2015年,欧盟最高法院宣布一项向美国传输此类信息的主要法律机制无效。但威胁最终大多是理论上的:没有一家公司真正面临停止发送个人信息的具体命令,数据流动从未停止。

争论的焦点是欧盟隐私法的一条基本戒律,这条戒律可以追溯到20世纪90年代。一家公司将欧盟居民的个人信息发送到世界另一地区是非法的,因为该地区基本上没有提供与欧盟同等的隐私保护-除非在某些有限的情况下。美国没有全国性的数据隐私法,但在医疗保健等一些领域有更多针对行业的监管,没有达到欧盟的削减标准。

为了保持数据流动,美国和欧盟在20世纪90年代末谈判了一个特殊的系统,名为安全港(Safe Harbor),在该系统中,将欧洲数据发送到美国的公司可以选择加入由美国政府执行的欧盟式的规则。公司也有其他选择将数据发送到海外,例如使用预先批准的欧盟合同语言,称为标准合同条款,在该条款中,公司承诺维护欧洲的隐私标准。

对这些系统的法律挑战始于2013年,当时美国国家安全局(National Security Agency)前合同工爱德华·斯诺登(Edward Snowden)泄露了美国政府监控做法的细节。一位名叫马克斯·施雷姆斯(Max Schrems)的隐私权活动家认为,安全港将他在Facebook上的信息暴露给了美国政府。欧盟法院对此表示同意,并在2015年推翻了这一制度。

欧盟和美国很快制定了一个名为隐私盾牌(Privacy Shield)的替代框架,增加了一些额外的保护,比如在美国国务院设立监察员来处理欧洲人的投诉。但7月份的法院裁决也推翻了这一制度,称美国仍然没有向欧洲人提供挑战监控的可诉权。

企业最初感到安慰的是,7月份的决定没有同时宣布所谓的标准合同条款无效,而是表示,企业必须评估它们发送数据的国家的法律是否允许它们确保受到欧盟法律的充分保护。Facebook是今年夏天表示将依靠这些标准合同条款将数据传输到美国的几家公司之一,因为隐私盾牌已经不再有效。

但爱尔兰发出暂停数据传输的初步命令表明,它发现根据裁决,这些标准条款是不够的,至少在Facebook的案例中是这样。如果这一理由成立,这样的条款可能也会被裁定对其他大型科技和电信公司无效,这些公司和Facebook一样,属于欧盟法院裁决中讨论的美国监控法的管辖范围,包括《外国情报监视法案》(Foreign Intelligence SurveMonitoring Act)第702条。

由施雷姆斯创立的隐私倡导组织Noyb在8月份向欧盟多个隐私监管机构提交针对101家欧洲网站的隐私投诉时,使用了这一理由,并利用欧盟法院的裁决辩称,这些网站必须停止使用美国的技术提供商发送数据。

Facebook和其他大型科技公司可能不得不停止向美国发送数据,这增加了制定允许此类传输的替代框架的努力的赌注。除了与美国就用新系统取代隐私盾牌进行谈判外,欧盟委员会表示,它还在更新标准合同条款的语言。但目前还不清楚这样的更新将如何解决法院的监控问题。