欧洲法院16日裁定,将个资从欧盟转移到其他司法管辖区的企业,必须就相关内容提供与欧盟内部相同的保护。
这项裁决可能会影响企业将欧洲用户的个资转移到美国和其他国家如英国的方式。
这场法律大战始于2013年,当时隐私权主义者施伦姆斯(Max Schrems)向爱尔兰数据保护专员(Irish Data Protection Commissioner)投诉,声称由于斯诺登(Edward Snowden)案件的启示,美国法律无法提供足够的保护以防止当局的监视。
施伦姆斯指控社群网站脸书与许多其他企业一样,正在将其和其他用户个资传输到美国。
这项诉讼案后来到达欧洲法院(ECJ),该法院在2015年裁定当时允许将欧洲用户个资转移到美国的安全港协议(Safe Harbour Agreement)无效,且未能有效保护欧洲公民。
结果,在欧洲经营业务的企业改采标准合约条款(Standard Contractual Clauses),以确保仍可跨大西洋移动个资。同时,欧盟和美国制订出新协议,以“隐私盾”(Privacy Shield)框架取代“安全港”协议。
欧洲法院16日裁定,SCC是传输个资的有效方法,但使用隐私盾则属无效。
事实上,这代表了非欧盟国家或希望将欧洲用户个资移至国外的公司,必须确保获得与严格的欧洲数据法同等的保护水平。对于在全球传输大量数据的跨国企业来说,这可能是个沉重的负担。
法院指出,“关于个资传输所需的保护级别,法院认为,《通用数据保护条例》(GDPR)符合有关适当保障、可执行权利和有效法律补救措施的要求,可扩大解释为:根据标准数据保护条款将个资转移到第三国的数据主体,必须取得与GDPR在欧盟范围内基本相同的保护水平。”
GDPR于2018年推出,让欧洲用户对企业如何使用其个资拥有更大的发言权。
最新的裁决不可上诉。现在必须适用于相关法院和面对相同情况的欧洲其他机构。
Clifford Chance律师事务所科技联席主管库利(Jonathan Kewley)表示,这项裁定是“欧洲的惊人之举”,“目前看来像是一场隐私贸易战,欧洲认为它们的数据标准可以信任,而美国的数据标准不可信。我们认为结果可能会是更多欧洲数据趋于本土化,从而有更多的客户个资留在欧洲。”
该裁定不仅在美国和欧洲之间造成紧张局势,而且也对许多大型企业产生影响。
Hogan Lovells全球隐私和网络安全实践联席主管乌斯塔然(Eduardo Ustaran)解释:“最大的实质结果是:所有欧洲企业在参与全球数据流时都必须牢记其他国家对数据的权力。”
脸书副总法律顾问奈格(Eva Nagle)对该决定表示欢迎,“与许多企业一样,我们正在认真考虑法院关于使用隐私盾的裁决的结论和影响,并期待这方面的监管指导。我们将确保我们的广告客户、客户和合作伙伴能够继续享受脸书服务,同时保持其数据的安全性。”
