隐私维权人士喜出望外,但对于企业来说,这就像一位游说者半开玩笑地描述的那样,是“世界末日的场景”。
欧盟公民个人信息的跨大西洋转移周二陷入法律失效欧盟法院宣布长达15年的安全港协议无效因为美国没有提供足够的隐私保护。
这项裁决使依赖“安全港”的企业面临法律行动的威胁。欧盟委员会(European Commission)和美国官员正在就加强隐私保护进行谈判,这一事实并不能让人感到安慰,因为这项裁决也会让隐私保护在各国法院面临挑战。只有完全改写欧盟的数据保护机制(目前已在进行)或许会有所帮助,但在最终文本达成一致后最多两年,它才会生效,而这还要等好几个月。
安全港协议很重要,因为它是最简单的法律文书提供公司证明他们符合欧盟数据保护法律,只要求个人数据被导出的时候将受益于相同级别的隐私保护,欧盟内部。
公司确实有其他的法律选择,包括使用“有约束力的公司规则”,这可能耗时且昂贵,以及欧盟委员会批准的模范合同条款,这可能并不总是适用于个别情况。另一方面,“安全港”规定了简单的自我认证和登记程序,已有4 000多家公司进行了这种程序。
然而,CJEU周二裁定,该协议提供的保护存在缺陷,称该协议只对相关公司有约束力,而对美国执法部门和国家安全机构没有约束力。CJEU的结论是,数据很容易受到法律制裁的间谍活动的影响。
“这项裁决给依赖‘避风港’进行商业数据传输的欧洲和国际公司带来了不确定性,这些公司大多是中小型企业,”计算机和通信行业协会(Computing and Communications Industry Association)欧洲主管克里斯蒂安·博格格林(Christian Borggreen)警告称。该协会是一个行业游说组织,与亚马逊(Amazon.com)、Facebook、谷歌和微软是其成员之一。
律师玛丽•希尔德布兰德(Mary Hildebrand)表示,她的客户一段时间以来一直在努力应对《安全港》(Safe Harbor)和欧盟数据保护规则改写带来的不确定性。
“不确定性是商业的敌人,因为人们必须完成交易。在CJEU做出裁决之前,罗温斯坦•桑德勒律师事务所的希尔德布兰德表示:“了解交通规则是件好事。”
另一个游说团体数字欧洲(Digital Europe)警告称,该裁决将对消费者、雇员和雇主造成直接伤害。
“我们紧急呼吁欧盟委员会和美国政府结束长期谈判,尽快提供新的安全港协议,”欧盟主席彼得·奥尔森(Peter Olson)说。Facebook不是他组织的成员,但苹果、IBM和SAP是。
虽然新的“安全港”协议可能会为个人数据提供更强有力的保护,但它不会终结法律上的不确定性。
这是因为CJEU裁决的另一方面肯定了国家数据保护部门有权调查此类协议所提供的保护,甚至在法庭上质疑它们——尽管CJEU保留了对委员会所达成的协议无效的权利,就像周二签署的第一份《安全港》协议一样。
在CJEU的裁决之前,在“安全港”下注册的企业可以在整个欧盟范围内应用同样的规则,但希尔德布兰德警告称,通过将权力交还给国家的dpa,“我们可能会失去这种一致性。”我们可以让不同国家的dpa采取各自的立场,进行各自的调查。可能是一个国家一个国家,也可能是一个国家一个国家。”
消除这种不确定性的一种方法是改写法律。
事实上,自2012年以来,欧盟立法者一直在努力改写欧盟的个人数据保护制度,该制度源于1998年的一项指令。
不过,新的通用数据保护条例的工作还需要几个月才能完成,即便如此,也要再过两年左右才能生效。
欧盟委员会将于周二晚些时候概述其处理CJEU裁决后果的计划。