在商业领域的个人数据跨大西洋传输隐私问题上,欧盟再次令美国措手不及。
欧洲法院近期裁决,欧盟与美国之间已经使用了近四年的《欧美隐私盾牌》协定失效。当地时间17日,美国国务院回应称,美方对欧洲法院宣布该协定无效深感失望。
这一判决将使在欧盟运营的脸书(Facebook)、谷歌(Google)等美国网络巨头面临严峻挑战,这些企业可能不得不停止在美国的服务器上存储欧盟居民的信息。
美国国务院警告称,美国正在审查这一判决对5300多家欧洲和美国企业的后果与影响,这些公司为双方带来数百万个跨大西洋的工作岗位和超过7.1万亿美元的商业交易。
欧盟用户数据转移到美国更难了
此次,欧洲法院裁定《欧美隐私盾牌》协定未能保护欧洲公民的隐私。欧洲法院认为,《欧美隐私盾牌》协定无法限制美国政府在获取数据时满足“与欧盟法律等同”的要求。同时,在美国服务器上存储的欧盟居民信息使欧洲人可能受到美国政府的监控,但欧洲人没有应对这种监控的起诉权利。
第一财经记者查阅欧洲法院该案卷宗发现,此次裁决的起因是由于奥地利数据保护活动人士施雷姆斯(Maximillian Schrems)与脸书之间的一场司法诉讼。
从2008年开始,施雷姆斯成为了脸书用户,随后他发现他的部分个人资料由脸书欧洲总部(爱尔兰)转移到了在美国的脸书服务器上。随后,他开始向爱尔兰数据保护部门投诉,反对脸书的该行为。他提出的理由是,美国的法律和惯例未能给公众提供足够保护,在美国,脸书有义务向美国政府机构监控部门提交用户数据,而用户却无法对此进行应对。
爱尔兰高等法院将这一案件转交欧洲法院裁定。
如前所述,这一案件的关键点在于《欧美隐私盾牌》协定是否足够有效。实际上,近五年以来,欧美之间在跨大西洋传输个人数据的隐私问题上,争议越来越明显。
2015年,欧洲法院就曾裁定,欧美之间在2000年签订的关于自动交换数据的《安全港协议》无效。
当时,欧洲法院指出,按照欧盟的数据保护法规,欧盟公民的个人数据不能传输至非欧盟国家,除非该国家能为这些数据提供有效保护。
随后,欧盟与美国在2016年达成了《欧美隐私盾牌》协定,替代《安全港协议》。美方还承诺,用于商业目的的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。
在胜诉后,施雷姆斯表示:“如果美国企业希望继续在欧盟市场发挥重要作用,美国就应认真修改其监控法律。”
施雷姆斯称,该判决将阻止脸书向美国传输个人数据。“该判决清楚地表明,企业不能仅仅签署‘标准合同条款(SCC)’,还必须检查实践中这些条款是否被遵守。”他说。
欧盟:将继续推动美加快制定隐私法
很多科技公司、银行、律师事务所和汽车制造商等成千上万的企业都依赖于《欧美隐私盾牌》协定在大西洋两岸传输数据,此判决一出,它们该怎么办?
欧洲法院表示,企业可能会在“标准合同条款”下继续这么做。标准合同条款是指确保在数据离开欧盟时要维持欧盟规则,使企业在传输消息、照片和其他信息时遵守欧盟的隐私标准。
目前,脸书表示,对于可以使用标准合同条款转移数据表示欢迎,并正在“认真考虑”这一裁决。
“我们将确保我们的广告商、客户和合作伙伴在保持数据安全的同时,继续享受脸书的服务。”脸书副总法律顾问纳格尔(Eva Nagle)表示,“我们期待在这方面的监管指导。”
其他科技公司则纷纷向客户保证,欧盟和美国之间仍有可能进行数据传输。
微软首席隐私官布里尔(Julie Brill)表示:“欧洲法院的裁决不会改变用户使用微软云技术在欧盟和美国间传输数据的能力。”
她称:“虽然今天的判决裁定《欧美隐私护盾》无效,但标准合同条款仍然有效。”
商业软件联盟欧洲、中东和非洲政策总干事布埃(Thomas Boue)表示:“标准合同条款仍然有效,这是一个积极的结果,我们对此感到欣慰。但有关《欧美隐私盾牌》协定的裁决却把跨大西洋传输数据方面最受人信任的方式从桌面上移开了。”
欧盟方面则表示,将加快标准合同条款的现代化工作,以确保这些条款能够处理欧盟以外地区的大量个人数据流动。
欧盟委员会负责价值观和透明度的执行副主席维拉(Vera Jourova)表示,欧盟委员会还将继续推动美国政府加快制定隐私法的步伐。
“我们希望在数据保护框架方面看到更多的融合。”维拉称,“我们希望看到美国方面出台一项与《通用数据保护条例》(GDPR)等同或类似的法律。”
美国国务院则称,美国和欧盟在保护个人隐私和确保商业数据传输连续性等方面存在共同利益。
“不间断的数据流对经济增长和创新至关重要,对各个行业的公司都是如此。”美国国务院表示,“在欧美经济力争从新冠肺炎疫情中复苏之际,这一点尤为重要。这一决定直接影响到在美国做生意的欧洲和美国企业,其中超过70%是中小企业。美国将继续与欧盟密切合作,以找到一种机制,使欧美之间可以进行必要的、不受阻碍的数据传输。”