美欧隐私盾牌数据共享协议被法院推翻

欧洲最高法院今天推翻了允许在欧盟运营的公司向美国转移数据的协议。法院裁定，该协议使欧洲客户的数据过于暴露于美国政府的监视之下。

这项名为隐私盾牌(Privacy Shield)的协议自2016年开始实施，有5000多家公司在其条款下运营。归根结底，欧盟法院(CJEU)基本上裁定，美国法律过于薄弱，无法按照欧盟法律的要求保护欧盟公民的数据。正如法院在一份新闻稿中所说的那样(PDF)：

美国国内法对个人数据保护的限制，以及美国公共当局访问和使用从欧盟转移来的此类数据的限制……。不受限制，以满足基本上等同于欧盟法律所要求的要求的方式。

此案的结果是，在欧洲开展业务或处理来自欧洲客户的数据的美国公司要么不得不与欧盟谈判新的个人数据处理安排，即所谓的标准合同条款(SCC)，要么将停止将欧洲业务的数据转移到美国。这项裁决适用于Facebook等公司出于内部原因转移到美国服务器的数据，但它不影响必要的数据传输，比如当欧洲有人向美国的收件人发送电子邮件、在美国网站上预订机票或酒店，或者做同样平常的事情时，就会发生这种情况。

从2000年到2015年，管理欧洲和美国之间共享欧盟客户数据的协议被称为安全港。在奥地利隐私权倡导者马克西米利安·施雷姆斯(Maximillian Schrems)提出法律挑战后，CJEU于2015年宣布安全港无效。在斯诺登爆料后，施雷姆斯声称安全港协议(允许美国国家安全局获取欧盟公民的个人数据)与欧盟法律相冲突。2013年10月，法院同意并宣布安全港框架无效。

在抛出安全港后，欧盟立法者与美国商务部迅速整合了隐私盾牌框架，欧盟委员会于2016年通过了该框架。然而，该框架甚至在立法者投票通过之前就面临着深深的怀疑。欧盟监管机构甚至在该协议正式签署之前就警告称，目前的隐私盾牌还不够强大，不足以承受未来法院的法律审查。

监管机构当时还警告说，隐私盾牌可能与欧洲全面的隐私法--“一般数据保护条例”(GDPR)相冲突。欧盟立法者于2016年通过了这项法律，自2018年以来一直生效。

施雷姆斯在2016年对阿斯开玩笑说，尽管他希望有人提起诉讼，但他个人并不一定对成为这样做的人感兴趣。然而，事实证明，他做到了-CJEU今天裁决的案件通常被称为Schrems II-并再次获胜。

施雷姆斯在CJEU裁决后的一份声明中表示，很明显，如果美国公司想要继续在欧盟市场发挥重要作用，美国将不得不认真修改他们的监控法。这一判决并不是限制数据传输的原因，而是美国监控法的后果。

美国各大科技公司迅速做出保证，表示这项裁决暂时不会大幅改变它们在欧洲的业务，许多公司证实，除了隐私盾牌协议外，它们已经在使用SCC。

微软在一篇公司博客文章中写道，如果你是商业客户，你可以按照欧洲法律继续使用微软的服务。法院的裁决不会改变您今天使用微软云在欧盟和美国之间传输数据的能力。

微软还计划与欧盟委员会和美国政府积极合作，解决该裁决提出的问题，该公司补充道。

Facebook代表伊夫·纳格尔发表声明称，我们欢迎欧盟法院确认向非欧盟国家传输数据的标准合同条款有效性的决定。声明补充说，像许多企业一样，Facebook现在正在仔细考虑这一决定的结果和影响，并期待着在这方面提供监管指导。这份声明补充说，Facebook和许多企业一样，正在仔细考虑这一决定的调查结果和影响。我们期待着在这方面获得监管指导。(注：脸谱网代表伊夫·纳格尔)发表声明称，我们欢迎欧盟法院确认向非欧盟国家传输数据的标准合同条款的有效性。声明补充说，Facebook和许多企业一样，目前正在仔细考虑这一决定的结果和影响，并期待在这方面获得监管指导。

科技行业团体不失时机地呼吁美国和欧盟监管机构迅速制定一个强有力的监管框架，以取代现已不复存在的隐私盾牌(Privacy Shield)。

代表全球5000多家应用开发商的应用协会(App Association)主席摩根·里德(Morgan Reed)表示，隐私盾牌的崩溃将对中小企业造成不成比例的影响，这些企业占使用隐私盾牌公司的70%。这一决定使数千家美国和欧盟公司得不到亟需的数据共享机制，并将严重扰乱价值数千亿美元的跨大西洋数据市场。我们敦促欧盟和美国政府尽快就替代方案进行谈判，以保证所有使用跨境数据传输的企业在法律上的确定性，并确保跨大西洋数据经济的持续增长。

代表亚马逊(Amazon)、Facebook和谷歌(Google)等你听说过的许多大型科技公司的计算机与通信行业协会(Computer&Amp；Communications Industry Association)也表达了同样的观点。CCIA公共政策高级经理亚历山大·劳雷(Alexandre Roure)表示，这一决定给大西洋两岸数千家依赖隐私盾牌进行日常商业数据传输的大小公司带来了法律上的不确定性。我们相信，欧盟和美国的决策者将根据欧盟法律，迅速制定一个可持续的解决方案，以确保支撑跨大西洋经济的数据流持续存在。