欧盟法院再次裁定NSA间谍活动使美国公司不足以保护隐私

欧盟最高法院今天再次明确表示，美国政府的大规模监控项目与欧盟公民的隐私权不相容。这一判决是在涉及奥地利隐私倡导者、EFF先锋奖获得者Max Schrems的最新案件中做出的。它使保护跨大西洋数据流的数据保护协议“隐私盾牌”(Privacy Shield)无效，并缩小了公司使用单独协议(标准合同条款，SCC)传输数据的能力。

尽管欧盟委员会、美国政府官员和企业发表了许多“我们感到失望”的声明，但这并不令人意外，因为它遵循了法院在2015年Schrems的上一起案件中提出的理由。

当时，欧盟法院(CJEU)指出，如果欧洲公民的数据被美国政府的监控计划扫地出门，他们在美国法律中没有真正的追索权。这种对他们基本隐私权的侵犯意味着美国公司无法提供欧盟法律要求和欧盟/美国承诺的“足够水平的[数据]保护”。“私隐避风港”自律制度。因此，安全港被认为是不够的，公司在欧盟和美国之间的数据传输是被禁止的。

自从最初的决定以来，跨国公司、美国政府和欧盟委员会试图掩盖美国间谍活动和欧盟基本价值观之间的巨大差距。美国政府明确表示，它不打算改变其监控做法，也不打算推动国会通过立法解决问题。相反，所有各方都同意只是在跨大西洋数据做法的边缘摆弄一下，重新发明了之前的安全港协议，该协议对企业处理欧盟公民个人数据的管理不力，更名为欧盟-美国隐私盾牌(EU-U.S.Privacy Shield)。

EFF和大西洋两岸的其他公民社会一起指出，这只不过是在泰坦尼克号上洗椅子。最高法院援引PRISM和Upstream等政府项目作为终止欧洲和美国之间数据流动的主要原因，而不是这些公司本身的隐私做法(诚然很糟糕)。这意味着，是否允许美国科技公司处理欧洲个人数据完全掌握在政府和美国国会手中。给美国政府的信息很简单：要么修复美国的大规模监控，要么破坏美国的一个主要行业。

在Schrems 1号最初的冰山五年后，Schrems 2号已经将泰坦尼克号完全推到了海浪下面。新的判决明确指出了美国法律在保护非美国人免受任意监视方面的弱点，强调了以下几点：

“外国情报检查法”第702条并未表明对其为外国情报目的实施监视计划的权力有任何限制，也没有对可能成为这些计划目标的非美国人提供担保。

..。无论是与PPD-28一起解读的“国际财务条例”第702条，还是12333号行政命令，都没有与根据欧盟法律根据相称性原则产生的最低保障措施相关联，因此，基于这些条款的监视方案不能被视为仅限于严格必要的情况。

CJEU在声明中直言不讳：但目前尚不清楚能够解决这一问题的各种行为者将如何反应。欧盟数据保护当局是否会加强执法活动，并因未能保护欧盟公民免受美国大规模监控项目的影响而使授权数据流到美国的SCC无效？如果美国公司既不能自信地依赖SCC，也不能自信地依赖已经失效的隐私盾牌(Privacy Shield)，他们会更努力地游说美国进行真正的立法改革，以保护欧洲人在美国的隐私权-还是只是找到另一个暂时的权宜之计，迫使CJEU做出另一项决定？欧盟委员会(European Commission)是否会从捍卫现状和当前的企业做法，转变为真正代表其公民采取行动？

无论欧盟监管机构、公司和欧盟委员会最初的反应如何，真正的解决方案在于美国国会，一如既往。今天的决定是另一个重要的迹象，表明美国政府的外国情报监视做法需要进行大规模改革。今年早些时候，国会半心半意地开始了改善FISA某些部分的进程-这一进程现在似乎已经被放弃了。但这一决定再次表明，美国需要更广泛的隐私保护改革，而国会的不作为让我们所有人都变得不那么安全，无论我们在哪里。