欧洲法院(ECJ)取消了已有15年历史的“安全港”协议,该协议允许在欧洲开展业务的公司向美国传输个人用户数据,只要美国确保适当的数据保护水平即可在公司工作,并证明它将遵守有关通知,选择,转发,安全性,数据完整性,访问和执行的七项欧盟数据隐私原则。本案,题为 Maximillian Schrems诉数据保护专员,该决定于2015年10月6日生效,并立即对欧洲法院生效。 看这里.

根据欧洲法院的说法,根据前美国情报承包商的启示,由美国联邦贸易委员会执行的跨大西洋数据共享协议并未根据欧盟法律为欧洲人的私人数据提供足够的保护。爱德华·斯诺登(Edward Snowden)谈及美国政府的海量数据收集和“ PRISM”监视程序。包括苹果和亚马逊在内的4,000多家公司都依赖“安全港”协议。

ECJ列举了使2000年7月的欧盟委员会第2000/520 / EC号决定无效的两个主要原因,该决定在法律上允许根据安全港条款将数据传输给美国公司:

  • 首先,欧洲法院的意见指出,“安全港”框架使欧洲经济区的国家隐私官员很难干预和确保欧洲人私人数据的安全,从而破坏了成员国的独立性。欧洲法院的决定指出:“特别是,允许​​公共当局广义地访问电子通信内容的立法,必须被视为损害了尊重私人生活的基本权利的实质。”和
  • 其次,欧洲法院发现,2000年7月26日关于安全港是否足够的委员会决定2000/520 / EC是无效的,并且安全港框架没有确保数据受到安全港原则的充分保护,因为私人数据与其他政府机构共享以确保安全。欧洲法院指出,委员会承认在某些情况下不必要地将数据转移给各机构。欧洲法院还裁定,该框架未能赋予个人“寻求法律救济以获取与其有关的个人数据,或获得纠正或删除此类数据的权利”,并且这违反了欧盟隐私法。

法院的裁决认为,欧洲委员会关于非欧盟成员国(例如美国)提供的数据保护充分性的裁决不能“消除甚至削弱”国家监管机构调查有关数据的投诉的权力。隐私。结果,以前依赖《安全港协议》提供保护的公司现在面临每个欧盟成员国的隐私监管机构的审查。

此外,欧洲法院指出,数据保护机构本身不能使欧盟委员会的决定无效。但是,隐私权管理机构和数据主体可以将有关EC委员会裁决有效性的问题提交给国家法院,最终,这些问题可以将问题提交给ECJ。

欧洲法院的裁决是在2015年9月23日,欧洲法院副总干事伊夫·博特(Yves Bot)提出的无约束力,范围更广泛的意见之后,即《安全港协议》无效:“因为美国进行的监视是大规模的,随意监视。 。 。在这种情况下,无论如何都不能将第三国视为确保适当保护水平。”

该案是由28岁的奥地利隐私权主义者Max Schrems向爱尔兰数据保护专员投诉的结果。施雷姆斯指称Facebook不当地将个人用户数据传输到美国,并寻求调查Facebook是否充分保护了在海外传输的用户数据。

爱尔兰专员以委员会的安全港决定为由,驳回了申诉。爱尔兰高等法院(不是该国最高法院)随后审查了此案,并要求欧洲法院就爱尔兰专员是否受安全港条款约束的问题作出初步裁决。

根据欧洲法院的裁决,爱尔兰官员现在将审查Facebook是否向Schrems等用户提供了足够的隐私保护。该国可能会禁止Facebook将用户数据传输到美国。欧洲官员强调,目前还有其他一些机制可以使个人信息从欧洲流向美国,例如具有约束力的公司规则(BCR)。

FTC在一份声明中说:“我们正在审查欧洲法院’的意见并评估其含义。”该机构承诺“将继续与我们的欧洲同事合作,开发有效的解决方案,以保护消费者在跨境数据传输方面的隐私。”

谢泼德·穆林的“ Eye 上 隐私”博客在其博客条目中提供了对仅依赖安全港的公司可用选项的有用分析。 “美国安全港制度被欧洲最高法院无效。”