2015年10月6日，歐盟最高法院裁定自2000年以來的美歐“安全港”框架協議無效事件，猶如颶風一般橫掃全球。而在此之前，“安全港”協議允許美國的互聯網科技公司可以在最小監督下傳輸、儲存、使用和處理歐盟成員國公民的數據。

這聽起來有點不太靠譜，不過仔細研究一下“安全港”協議的條款你會發現，只要美國的互聯網科技公司在自律的情況下堅持以下七個“安全港”原則，一般來講該協議還是在可接受范圍之內的：

告知原則——網站須告知用戶收集了什么信息、誰在收集信息，以及為什么要收集該信息；選擇原則——允許用戶選擇是否允許自己的信息被網站收集；傳播原則——允許用戶選擇是否允許自己的信息向第三方進行傳播；訪問原則——允許用戶有權更正、修改或刪除自己的數據；安全原則——網站必須保障用戶數據得到安全保護；數據完整性原則——網站所收集的數據必須與收集數據的目的相關聯；強制合規原則——網站所收集的用戶數據結構必須通過“安全港”合規驗證。

“安全港”協議制定的初衷有著雙重目的，既保護歐盟成員國公民的隱私，同時又允許用戶數據流從歐盟向美國的互聯網科技公司流動。而如今，“安全港”協議已經成為歷史。早期的傳言表明，“安全港”協議還會變相回歸，不過回歸的時間表尚且未知，估計最早也要等到2016年下半年了。

未知水域未雨綢繆

為了更好地理解在“安全港”回歸之前的這段日子里應該如何應對，以及當“安全港”回歸時又該如何繼續“航行”我們必須要回顧一下“安全港”崩塌的兩大主要原因：一、美國安全事務局在和“安全港”數據隱私原則的對決中取得了勝利；二、國家數據保護部門必須傾聽公民投訴，并有權停止數據傳輸。

盡管歐盟最高法院已經明確做出裁決，但美國商務部依然行使著對“安全港”項目的管理權，并發表網站聲明稱：

在當前快速變化的國際環境中，美國商務部將繼續管理“安全港”項目，包括對向“安全港”框架提交的自認證申請的處理工作。如果您有問題，請與歐盟委員會聯絡，也可向歐洲的國家數據保護機構或法律顧問機構進行咨詢。

所以就目前而言，美國選擇無視“安全港”協議失效對美國互聯網科技公司的影響，認為這不過是夸大其實。實際上講，任何未來的雙邊“安全港”計劃都必須協調底層問題，最主要的是歐盟將不會接受以“美國國家安全問題”為由踐踏歐盟公民的隱私。

盡管“安全港”協議被裁定無效，但很有可能還會以類似“安全港”補充協議的形式再次出現，協議中有可能會規定所有政府將必須在特定情況下（如法院裁決）才能獲取歐盟公民的數據。換句話說，“安全港”協議的失效事件并不能給企業提供過多的指導意見，但對于未來可能出現的狀況，應該引起企業足夠的警覺。

另一方面，事件肯定會導致實質性變化，各公司可以在這方面著手應對。至少，任何類似“安全港”的補充協議，都將涉及到數據收集地的數據保護部門，各公司必須遵守數據保護部門的具體規則和投訴程序。

國家數據保護部門和跨國公司

受此裁決影響的任何公司首先要做的就是要對其控制或處理的數據所屬國進行審計。因為這些國家中的每一個國家，都將認為你理所應當遵守每個國家數據保護部門的當地政策和規程，并且會對必須發生的操作是否更改進行驗證。

接下來，審計即將簽署的替代協議，保證采用了信息部的公司與公司協議的示范條款以及適用于跨國公司進行數據傳輸的信息部歸口操作法則。至于歸口操作法則，各公司最好申請并獲得每個數據收集地數據保護部門的批準。

比方說，一家在四個歐盟成員國中收集保險數據的跨國公司，但所有收集來的保險索賠數據都要在美國的分支機構進行處理，那么這種情況下，這家公司就可能需要這四個歐盟成員國的每個數據保護部門的歸口操作法則。

同樣的，如果數據處理公司并不是在公司內部完成，而是由美國的第三方外包公司進行承擔的話，歐盟和美國公司都需要確保服務協議中包含示范條款，以確保滿足歐盟數據保護方針的充分性標準。

理想情況下，各公司將不再完全依靠安全港自我認證，而要使用另外的方法，保證數據傳輸的足夠安全，如歸口操作法則或示范條款。

不論你是否已經采用了這些方法，你都應該讓你的法務部門和管理團隊忙活起來，立即制定計劃進行審計、審查并糾正發現的問題。當前環境可能會持續一段時間，但不會就這么無限期的持續下去。美歐雙方陷入僵局的談判，加上美國商務部認為“安全港”協議仍然有效的立場，將不可能在短時間內出臺一分新的協議。

朱子云：宜未雨而綢繆，毋臨渴而掘井。歐盟沒準還會興什么風，作什么浪呢。