欧洲法院裁定数据保护安全港无效
Posted: Tue Jan 21, 2025 6:31 am
欧盟法院就Maximillian Schrems 诉数据保护专员案( C‑362/14 ) 做出了具有里程碑意义的裁决。该裁决可能会在未来几个月对科技行业产生巨大的经济和政治影响。
如果您不熟悉 DP 安全港,则需要了解此案例的背景。《数据保护指令》第 95/46/EC 条第 25条包含一套数据保护原则,其中前两项明确规定,只有在接收方领土为这些数据提供足够程度的保护的情况下,欧洲公民的个人数据才可以转移到第三国。充分程度将考虑多种情况,例如“数据的性质、拟议处理操作的目的和持续时间、原籍国和最终目的地国、相关第三国现行的一般和行业法律规则以及该国遵守的专业规则和安全措施。”
《个人数据保护指令》是在互联网开始普及时颁布的,与今天一样,它以美国为中心。因此,很明显,为了满足充分性要求,个人数据保护当局必须宣布美国对个人数据具有充分的保护水平,但这种声明是不可能的,因为该国没有任何名副其实的数据保护法。只有少数国家被委员会评为充分保护国家,这些国家是安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士和乌拉圭。但必须对美国采取措施,因为美国是欧洲个人数据的最大目的地。
云服务、电子商务交易、社交媒体、电子邮件、消息传递、用户数据、联系方式、客户和员工数据。大多数情况下,这些数据都会在某个时候导出。
因此,欧洲机构想出了一个办法,绕过必须给予美国充分性地位的问题。1999 年,欧盟委员会开始与美国政府进行讨论,允许建立所谓的“安全港”,允许将个人数据传输到美国,而无需声明美国法律符合 DP 要求。2000年达成的协议允许将数据转移到签署“安全港隐私原则”的美国公司,该原则是 DP 指令中所含条款的精简版。这些公司还同意由美国联邦贸易委员会 (FTC) 或其他监督机构负责遵守这些原则(在此处查看公司列表)。
该系统已经运行了 15 年,没有发生任何事故,美国公司利用安全港假装他们关心数据保护,这无疑使跨大西洋的信息交换得以继续。但爱德华·斯诺登向我们展示了那些签署了保护我们数据协议的公司在多大程度上参与了违反每一项数据保护原则。
基于这一前提,奥地利法学院学生和隐私权倡导者Maximilian Schrems对爱尔兰 尼泊尔手机数据 数据保护专员 (DPC) 提起法律诉讼,因为他是一名欧洲 Facebook 用户,因此他签署了 Facebook 爱尔兰公司(该美国公司的欧洲子公司)制定的使用条款。2013 年 6 月,他向 DPC 投诉,要求其履行 DP 指令规定的义务,阻止 Facebook 欧洲公司将其个人数据发送到美国,因为很明显该国没有提供足够的保护水平,斯诺登的揭露就是明证。他辩称,斯诺登揭露的大规模监控程度直接侵犯了他的数据主体权利。DPC 驳回了该投诉,因为欧盟委员会已经通过创建安全港协议认定美国已充分履行了相关规定。
事情开始变得有趣了。施雷姆斯随后向爱尔兰高等法院提起诉讼,试图推翻 DPC 的裁决。高等法院裁定,虽然监视在保护公众方面可以发挥重要作用,但斯诺登已经表明 NSA 和其他美国联邦机构“严重越权”。高等法院继续表示,欧盟公民没有法律手段阻止此类监视,而且这种无差别的入侵显然违反了 DP 指令中表达的比例原则。高等法院得出结论,继续允许当局“在没有任何客观理由的情况下随意和普遍地访问电子通信”违反了《权利宪章》第 7 条和第 8 条。然而,高等法院表示,它无法继续进行,因为这是欧洲法律的问题,即委员会已经创建了允许将个人数据转移到美国的安全港,法院不能反对该决定。所以问题归结为安全港的合法性。高等法院随后将问题提交给欧洲法院:
“(1) 在审理向一名独立公职人员提出的投诉过程中,该公职人员依法被赋予管理和执行数据保护立法的职能,该投诉称个人数据正在被转移到另一个第三国(在本案中为美利坚合众国),而该国的法律和惯例并未对数据主体提供充分的保护,该公职人员是否完全受[2000/520 号决定]中所载的欧共体相反裁定的约束,同时考虑到[宪章]第 7 条、第 8 条和第 47 条,但第[95/46] 号指令第 25(6) 条的规定除外?
(2)或者,该任职者是否可以且/或必须根据委员会决定首次发布以来的事实发展,对此事进行自己的调查?’
为了回答这些问题,欧盟法院为我们带来了多年来最大的法律胜利之一,可能只有谷歌西班牙公司能与之匹敌。欧盟法院仔细考虑了所涉及的不同权利,并裁定现有的安全港无效,因为它显然没有充分保护欧洲公民。法院认为,DP 指令赋予成员国权力,可以设立国家机构,负责确定个人数据的使用方式。如果依赖安全港裁决,数据保护机构将无权审查数据主体提出的索赔,这将削弱数据保护制度背后的核心原则。
如果您不熟悉 DP 安全港,则需要了解此案例的背景。《数据保护指令》第 95/46/EC 条第 25条包含一套数据保护原则,其中前两项明确规定,只有在接收方领土为这些数据提供足够程度的保护的情况下,欧洲公民的个人数据才可以转移到第三国。充分程度将考虑多种情况,例如“数据的性质、拟议处理操作的目的和持续时间、原籍国和最终目的地国、相关第三国现行的一般和行业法律规则以及该国遵守的专业规则和安全措施。”
《个人数据保护指令》是在互联网开始普及时颁布的,与今天一样,它以美国为中心。因此,很明显,为了满足充分性要求,个人数据保护当局必须宣布美国对个人数据具有充分的保护水平,但这种声明是不可能的,因为该国没有任何名副其实的数据保护法。只有少数国家被委员会评为充分保护国家,这些国家是安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士和乌拉圭。但必须对美国采取措施,因为美国是欧洲个人数据的最大目的地。
云服务、电子商务交易、社交媒体、电子邮件、消息传递、用户数据、联系方式、客户和员工数据。大多数情况下,这些数据都会在某个时候导出。
因此,欧洲机构想出了一个办法,绕过必须给予美国充分性地位的问题。1999 年,欧盟委员会开始与美国政府进行讨论,允许建立所谓的“安全港”,允许将个人数据传输到美国,而无需声明美国法律符合 DP 要求。2000年达成的协议允许将数据转移到签署“安全港隐私原则”的美国公司,该原则是 DP 指令中所含条款的精简版。这些公司还同意由美国联邦贸易委员会 (FTC) 或其他监督机构负责遵守这些原则(在此处查看公司列表)。
该系统已经运行了 15 年,没有发生任何事故,美国公司利用安全港假装他们关心数据保护,这无疑使跨大西洋的信息交换得以继续。但爱德华·斯诺登向我们展示了那些签署了保护我们数据协议的公司在多大程度上参与了违反每一项数据保护原则。
基于这一前提,奥地利法学院学生和隐私权倡导者Maximilian Schrems对爱尔兰 尼泊尔手机数据 数据保护专员 (DPC) 提起法律诉讼,因为他是一名欧洲 Facebook 用户,因此他签署了 Facebook 爱尔兰公司(该美国公司的欧洲子公司)制定的使用条款。2013 年 6 月,他向 DPC 投诉,要求其履行 DP 指令规定的义务,阻止 Facebook 欧洲公司将其个人数据发送到美国,因为很明显该国没有提供足够的保护水平,斯诺登的揭露就是明证。他辩称,斯诺登揭露的大规模监控程度直接侵犯了他的数据主体权利。DPC 驳回了该投诉,因为欧盟委员会已经通过创建安全港协议认定美国已充分履行了相关规定。
事情开始变得有趣了。施雷姆斯随后向爱尔兰高等法院提起诉讼,试图推翻 DPC 的裁决。高等法院裁定,虽然监视在保护公众方面可以发挥重要作用,但斯诺登已经表明 NSA 和其他美国联邦机构“严重越权”。高等法院继续表示,欧盟公民没有法律手段阻止此类监视,而且这种无差别的入侵显然违反了 DP 指令中表达的比例原则。高等法院得出结论,继续允许当局“在没有任何客观理由的情况下随意和普遍地访问电子通信”违反了《权利宪章》第 7 条和第 8 条。然而,高等法院表示,它无法继续进行,因为这是欧洲法律的问题,即委员会已经创建了允许将个人数据转移到美国的安全港,法院不能反对该决定。所以问题归结为安全港的合法性。高等法院随后将问题提交给欧洲法院:
“(1) 在审理向一名独立公职人员提出的投诉过程中,该公职人员依法被赋予管理和执行数据保护立法的职能,该投诉称个人数据正在被转移到另一个第三国(在本案中为美利坚合众国),而该国的法律和惯例并未对数据主体提供充分的保护,该公职人员是否完全受[2000/520 号决定]中所载的欧共体相反裁定的约束,同时考虑到[宪章]第 7 条、第 8 条和第 47 条,但第[95/46] 号指令第 25(6) 条的规定除外?
(2)或者,该任职者是否可以且/或必须根据委员会决定首次发布以来的事实发展,对此事进行自己的调查?’
为了回答这些问题,欧盟法院为我们带来了多年来最大的法律胜利之一,可能只有谷歌西班牙公司能与之匹敌。欧盟法院仔细考虑了所涉及的不同权利,并裁定现有的安全港无效,因为它显然没有充分保护欧洲公民。法院认为,DP 指令赋予成员国权力,可以设立国家机构,负责确定个人数据的使用方式。如果依赖安全港裁决,数据保护机构将无权审查数据主体提出的索赔,这将削弱数据保护制度背后的核心原则。