精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

歐盟法院無效判決后, 美歐數據轉移"安全港"還安全嗎?

——基于判決的深度分析

蔡雄山：騰訊研究院法律研究中心 首席研究員

曹建峰：騰訊研究院法律研究中心 助理研究員

羅治兵：騰訊研究院法律研究中心 助理研究員

無效判決引發的誤讀

10月6日，歐盟法院公布了一份無效判決 ，宣布與“美國-歐盟安全港協議”（US-EU Safe Harbor Scheme）有關的“2000/520號歐盟決定”（Safe Harbor Decision）無效。此判決一出，眾多國內媒體旋即將其解讀為歐盟廢除“安全港協議”，實在是對歐盟法院判決的誤讀。殊不知，歐盟法院雖然對于歐盟法律的效力擁有最終決定權，但是對于雙邊或者多邊國際條約或者協議的效力，似乎并沒有那么大的話語權。

還原案件的來龍去脈

所以，有必要梳理一下案件的來龍去脈。一位名叫Schrems的奧地利公民自2008年以來就在使用Facebook，他發現Facebook在愛爾蘭的分支機構將收集的他的個人數據傳輸到了Facebook在美國的服務器。2013年發生的斯諾登事件增強了歐洲國家對美國隱私保護的懷疑，他因此向愛爾蘭數據保護委員會提出申訴，聲稱考慮到大規模的政府監控，美國并沒有對轉移到其國內的個人數據提供充分的保護，并要求該機構行使法定權力禁止愛爾蘭分公司將他的個人數據轉移到美國。愛爾蘭數據保護委員會否決了他的申訴，認為根據歐委會于2000年7月26日通過的“2000/520號歐盟決定”，安全港協議對個人數據提供了充分保護。

于是，他向愛爾蘭高等法院提起了訴訟。愛爾蘭高等法院認為，監控和攔截被轉移到美國的個人數據事關公共利益，而斯諾登事件表明美國國家安全局（NSA）等聯邦機構過度濫用了其職能，致使歐盟民眾的權利得不到有效保護。一旦個人數據被轉移到美國，在大規模以及不加選擇的監控和攔截過程中，NSA、FBI等聯邦機構就可能侵入這些數據，所以美國對個人數據沒能夠提供充分保護。由于該案涉及到了歐委會的“2000/520號歐盟決定”的效力問題，而只有歐盟法院對歐盟法律的效力擁有最終發言權，所以愛爾蘭高等法院提請歐盟法院相關法律問題做出初步裁決。這才有了10月6日的那份無效判決。

無效判決嚴重挑戰美歐安全港協議

這份判決解決了兩個問題。首先，歐盟法院宣布“2000/520號歐盟決定”無效，因為歐委會并沒有履行職責去調查美國對個人數據實際上是否提供了充分保護，而僅僅通過審查安全港協議得出了結論。同時，安全港協議只對自愿加入的美國企業有效，而不能約束美國政府；而且，美國的國家安全、公共利益以及執法訴求在位階上要優于安全港協議，當兩者沖突時，美國企業必須無視安全港的隱私要求。最終，歐盟法院認為，該決定不僅危害了尊重私生活的基本權利，而且危害了有效司法保護的基本權利，因為其沒有給個體提供獲取、修改、清除其個人數據的救濟。其次，歐盟法院認為歐委會無權限制成員國監管機構的權力，就該案而言，如果個體對該決定是否符合保護個體隱私、自由等基本權利產生了疑問，成員國監管機構有權做出判斷，而該決定卻剝奪了這一權力。

顯然，這份無效判決對已經存在了15年之久的美歐安全港協議的效力帶來了重大挑戰。成員國數據監管機構可以因此禁止美國公司在美國收集、存儲其國民的個人數據，哪怕美國公司通過了安全港認證。

安全港協議：促進美歐個人數據跨境轉移

但是， 想要明白歐盟法院的無效判決對美歐之間個人數據跨境流動的影響，必須首先考察一下歐盟的數據保護法。根據《歐盟基本權利憲章》（the Charter of Fundamental Rights of the European Union），尊重私生活和隱私是一項基本權利，這其中包括對個人數據的保護。1995年，歐盟通過《數據保護指令》，對個人數據提供了很高程度的保護。指令第25條規定，只有當第三方國家對個人數據提供充分保護（Adequate Level of Protection）時，才允許將歐盟民眾的個人數據存儲或者傳輸到該第三方國家。這一規定實際上禁止向歐盟以外的第三方國家轉移個人數據，除非歐盟發現該第三個國家的國內法或者國際承諾可以提供充分保護。指令將這一權力賦予了歐盟委員會，由歐委會發現并決定第三方國家的國內法或者國際承諾是否可以提供充分保護。目前，加拿大、瑞士、阿根廷等國家獲得了歐盟的認可，該目的國列表不斷更新。

對不能提供充分保護的第三方國家，歐盟法律提供了兩個變通規定，即標準合同條款和公司內部規則。數據發送者和數據接收者簽署歐盟與個人數據傳輸和保護有關的格式合同，或者相關實體采取公司內部規則保障個人數據安全，以此來達到充分保護要求。

此外，在美國和歐盟之間存在著一個與數據跨境流動的“美國-歐盟安全港協議”。由于美國缺乏統一的數據保護法，未能達到歐盟指令的充分保護要求，這將妨礙個人數據在美歐之間跨境轉移。為了解決這一問題，美國和歐盟于2000年達成了一個折衷的安全港協議，安全港包含一系列隱私原則，包括通知、選擇、數據轉移、數據獲取、數據安全、數據完整以及執行等七大原則，用以保護個人數據。安全港協議達成后，擁有發現和確認第三方國家是否達到充分保護要求的歐委會通過“2000/520號歐盟決定”，確認安全港隱私原則以及附屬條款對個人數據的保護達到了歐盟指令的充分保護要求。

受此決定影響，安全港協議給美歐機構帶來了諸多好處，包括，所有歐盟成員國都將受到“充分保護”的約束，參加安全港的機構被認為提供了充分的隱私保護，成員國對于數據轉移的事先批準被取消或者自動授權，歐盟公民可以在美國起訴美國機構，合規要求有利于中小企業。美國機構可以自愿加入安全港協議，遵守并執行安全港隱私原則，并公開宣布其符合安全港協議的相關要求。獲得安全港認證的美國機構可以享受安全港協議帶來的一系列好處，包括在美國境內收集、存儲歐盟公民的個人數據。目前，已有5000多家美國機構加入了安全港。

判決影響：美歐個人數據跨境轉移前途未卜

斯諾登事件后歐盟對數據跨境流動更為謹慎。歐盟法院10月6日 的判決雖然不直接針對安全港協議，但是卻為安全港協議的前途籠罩上了一層疑云。在此之前，與安全港協議有關的“2000/520號歐盟決定”約束所有歐盟成員國，美國公司只要獲得安全港的認證，就可以在美國收集、存儲以及傳輸歐盟公民的個人數據；而該決定的無效意味著安全港協議不再能夠為美國企業提供之前的種種好處，安全港協議有點被架空的意味。判決之后，美國和歐盟之間也許會重新談判、修改已經存在了15年的安全港協議，以期再次獲得歐盟的信任。

目前，該判決對美歐個人數據跨境流動的潛在影響，以及是否會使美國公司在美國收集、存儲歐盟公民的個人數據變得更加困難，還有待進一步觀察。微軟、Facebook、Airbnb等很多硅谷公司目前持觀望態度，因為除了加入安全港，這些公司往往還有別的備選方案，比如借助歐盟標準合同條款、公司內部規則或者其他承諾，來滿足歐盟指令的充分保護要求。但是，很多做跨國業務的美國中小企業勢必會受到一定程度的影響。