正确的提示信息

扫码打开虎嗅APP

从思考到创造
打开APP
搜索历史
删除
完成
全部删除
热搜词
2015-10-12 07:00

安全港协议面临挑战:美国企业不能继续跨境搜集欧盟公民数据了?

虎嗅注:10月6日,欧盟法院公布了一份无效判决 ,宣布“2000/520号欧盟决定”(Safe Harbor Decision) 无效。欧盟法院认为,该决定不仅危害了尊重私生活的基本权利,而且危害了有效司法保护的基本权利,因为其没有给个体提供获取、修改、清除其个人数据的救济。此外,这份无效判决对已经存在了15年之久的美欧安全港协议的效力带来了重大挑战。成员国数据监管机构可以因此禁止美国公司在美国收集、存储其国民的个人数据。


本文部分内容摘编自腾讯研究院


“2000/520号欧盟决定”


一位奥地利公民自2008年以来就在使用Facebook,他发现Facebook在爱尔兰的分支机构将收集的他的个人数据传输到了Facebook在美国的服务器,因此向爱尔兰数据保护委员会提出申诉,声称考虑到大规模的政府监控,美国并没有对转移到其国内的个人数据提供充分的保护,并要求该机构行使法定权力,禁止Facebook将他的个人数据转移到美国。


爱尔兰数据保护委员会认为,根据欧委会于2000年7月26日通过的“2000/520号欧盟决定”,安全港协议对个人数据提供了充分保护,于是否决了他的申诉。但是这位公民并没有放弃,他向爱尔兰高等法院提起了诉讼。爱尔兰高等法院认为,监控和拦截被转移到美国的个人数据事关公共利益,美国对个人数据并没能够提供充分保护。由于该案涉及到了欧委会“2000/520号欧盟决定”的效力问题,只有欧盟法院对欧盟法律的效力拥有最终发言权,所以爱尔兰高等法院提请欧盟法院对相关法律问题做出初步裁决。


10月6日,欧盟法院宣布“2000/520号欧盟决定”无效。


安全港协议


1995年,欧盟通过《数据保护指令》,对个人数据提供了很高程度的保护。指令第25条规定,只有当第三方国家对个人数据提供充分保护(Adequate Level of Protection) 时,才允许将欧盟民众的个人数据存储或者传输到该第三方国家。这一规定实际上禁止向欧盟以外的第三方国家转移个人数据,除非欧盟发现该第三方国家的国内法或者国际承诺可以提供充分保护。指令将这一权力赋予了欧盟委员会,由欧委会发现并决定第三方国家的国内法或者国际承诺是否可以提供充分保护。


由于美国缺乏统一的数据保护法,未能达到欧盟指令的充分保护要求,这将妨碍个人数据在美欧之间跨境转移。为了解决这一问题,美国和欧盟于2000年达成了一个折衷的安全港协议。这就是在美国和欧盟之间的实现数据跨境流动的“美国-欧盟安全港协议”。协议达成后,欧委会通过“2000/520号欧盟决定”,确认安全港隐私原则以及附属条款对个人数据的保护达到了欧盟指令的充分保护要求。


无效判决架空安全港协议,赋予成员国监管机构权力


“2000/520号欧盟决定”约束所有欧盟成员国,美国公司只要获得安全港的认证,就可以在美国收集、存储以及传输欧盟公民的个人数据,而该决定的无效判决,意味着安全港协议不再能够为美国企业提供之前的种种好处,安全港协议有点被架空的意味。


欧盟法院认为欧委会无权限制成员国监管机构的权力,就该案而言,如果个体对该决定是否符合保护个体隐私、自由等基本权利产生了疑问,成员国监管机构有权做出判断。联系到法国数据保护委员会与谷歌的争执,这个判决的影响就很有意思了:谷歌认为“一个国家的数据保护机构不应该决定其他国家用户通过搜索引擎看到的网页内容。”但是基于欧盟法院的判决,作为欧盟成员国的监管机构,法国数据保护委员会在个案问题上,有权做出判断。


尽管如此,该判决对美欧个人数据跨境流动的潜在影响,以及是否会使美国公司在美国收集、存储欧盟公民的个人数据变得更加困难,还有待进一步观察。微软、Facebook、Airbnb等很多硅谷公司目前持观望态度,因为除了加入安全港,这些公司往往还有别的备选方案,比如借助欧盟标准合同条款、公司内部规则或者其他承诺,来满足欧盟指令的充分保护要求。

如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:

支持一下

赞赏

0人已赞赏

大 家 都 在 看

大 家 都 在 搜

好的内容,值得赞赏

您的赞赏金额会直接进入作者的虎嗅账号

    自定义
    支付: