上次爱尔兰高等法院(High Court of Ireland)将一个有关数据保护的问题提交给欧盟法院(Court of Justice of European Union)时,数千家公司一下子变成了违法者。而且它可能会再次这样做。
对于在美国处理欧洲公民个人信息的公司来说,这意味着更多的不确定性CJEU对爱尔兰法院最后一个问题的回应引发了隐私法规的变化,而他们正努力跟上这些变化。
根据欧盟法律,公民的个人信息只能输出到确保隐私保护水平与1995年《数据保护指令》(Data protection Directive)要求相似的司法管辖区。
+也:科技供应商对安全港的裁决有何反应+
2000年7月,欧盟和美国当局签署了《安全港协议》,旨在为传输到美国的数据提供保障。
然而,去年10月,CJEU否决了这项协议,称该协议未能充分保护欧洲公民的个人信息,使其免受美国当局大规模、不分青红皂白的监控。
在奥地利Facebook用户马克西米利安•施雷姆斯(Maximilian Schrems)与爱尔兰数据保护专员之间的官司中,爱尔兰高等法院要求CJEU就一些法律问题做出裁决,从而引发了这一裁决。
施雷姆斯曾抱怨说,鉴于爱德华·斯诺登(Edward Snowden)揭露了美国国家安全局(nsa)监控美国公司持有的数据,Facebook对他个人信息的处理不符合欧盟的法律要求。Facebook首席执行官马克·扎克伯格否认了这些指控。
CJEU做出裁决后,欧盟委员会(European Commission)要求进行跨大西洋数据传输的企业使用标准合同条款或有约束力的公司规则等替代法律机制,在与美国当局达成新协议时提供必要的法律保障。
但现在,爱尔兰数据保护专员希望该国高等法院向CJEU询问标准合同条款是否存在与“安全港”同样的不足之处。
自CJEU去年10月做出裁决以来,第29条工作组(Article 29 Working Party)就一直在研究这个问题。该工作组汇集了来自所有欧盟成员国的数据保护机构。
尽量减少对业务的潜在破坏今年4月,该工作组表示,将等到委员会完成与美国当局就“Privacy Shield”(安全港的替代品)的谈判后,再对其他转移机制做出裁决。
工作组认为有必要保留其对这些机制的意见,这表明它也不完全满意标准合同条款。但如果该指令允许的所有数据传输机制都遭到破坏,企业将个人信息从欧盟发送到美国就没有合法途径了
Facebook正在冷静地处理整个事件。“对使用我们服务的个人或企业没有直接影响,”该公司发言人周三表示。她说:“标准合同条款仍然有效,Facebook有其他合法的方法在国家之间传输数据。”
目前确实如此,但CJEU的新裁决可能会改变这一点。
施雷姆斯向爱尔兰DPC提出的申诉触发了整个法律程序,他希望CJEU以与打击“安全港”相同的理由,使标准或模型合同条款失效。
所有数据保护律师都知道,模式合同是靠不住的,但这是迄今为止他们想出的最简单、最迅速的解决方案。只要美国不实质上改变其法律,我看不出有什么解决办法,”他通过电子邮件表示。