欧美隐私盾被判无效背后：防止美国政府监控数字主权博弈升级

继反垄断、隐私保护、数字税之后，这次欧盟的监管大棒指向数据跨境传输。
近日，欧盟法院做出一项重磅裁决，宣布欧盟与美国之间的跨境数据传输协议——“隐私盾”（Privacy Shield)无效。法院认为，在该协议下，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护。
这记重拳之下，是高达7.1万亿美元的经济体量。 “隐私盾”框架下获得认证的5384家公司需重新考虑跨境数据传输机制，除了Facebook、亚马逊、微软、华为、花旗银行等大公司，占比过半的中小型企业将面临更大的挑战。
专家认为，此次裁决反映出欧美之间对于个人数据以及隐私保护的理念存在基础性差别。此外，裁决背后是否与欧美数字主权争夺有关？长远来看， “隐私盾”被判无效对全球数据流通会产生哪些影响？对此，我们一一进行了分析。

为防止美国政府监控， “隐私盾”协议被判无效

当地时间7月16日，位于卢森堡的欧盟法院做出一项重磅裁决，宣布欧盟与美国之间的“隐私盾”协议无效。

文章图片

欧盟法院裁决。
这一协议由欧盟委员会和美国商务部于2016年签署，美国企业可以向美国商务部要求认证，通过公开承诺遵守“隐私盾”框架的所有要求，以获得欧盟的“豁免审查”资格，让数据得以自由地在欧美之间跨境传输。
由于欧盟对个人数据保护的标准较高，根据其“相同保护水平”的要求，当企业把欧盟收集来的个人数据传输至美国进行存储处理时，必须遵循欧盟的合规要求。这一协议就提供了一种可行的合规框架。
已实施将近四年的“隐私盾”协议，为什么会被判无效？究其根本，欧盟法院认为，根据美国目前法律规定，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护。
事实上， “隐私盾”协议的前身——“安全港（Safe Harbor）”协议也遭遇了同样的命运，事件起因也一脉相承。这一切都要从奥地利律师、隐私活动家马克斯·施雷姆斯（Max Schrems）诉Facebook的系列案件说起。

文章图片

奥地利律师、隐私活动家马克斯·施雷姆斯（Max Schrems）。图自BBC
2013年，前美国中情局雇员斯诺登揭露美国“棱镜门”计划，爆料显示，美国政府通过调取微软、Google等平台的数据窃听欧洲多国领导人。
当时，仍是法学院学生的施雷姆斯向Facebook欧洲总部所在地爱尔兰的数据保护委员会进行投诉，称美国情报机构访问其个人数据的行为未践行美国法律及惯例所声称的相应保护，并要求停止对其个人数据进行跨境传输。
当时“隐私盾”协议尚未出台，欧美遵循的还是2000年11月签订的“安全港”协议。案件被移交至欧盟法院后，经裁决， “安全港”协议因未能确保美国对欧盟个人数据采取充分保护，且将个人数据隐私保护受制于国家安全等因素被判无效。
此后， Facebook开始改用标准合同条款作为将欧洲个人数据传输至美国的合法依据。 2015年底，施雷姆斯第二次向爱尔兰数据保护委员会投诉，以相同理由要求暂停Facebook使用标准合约条款。
在第二案审理期间，欧美重新签订了“隐私盾”协议。因此，在向欧盟法院移交案件时，除了标准合约条款的问题，爱尔兰高等法院也对“隐私盾”协议的有效性进行了提问。
在16日作出的裁决中，欧盟法院认为，美国政府机构对个人数据的访问权没有限制在“必要”和“成比例”的范围内，欧盟用户也缺乏在美国获得司法救济的有效途径，所以在“隐私盾”协议下对欧盟用户数据的保护依然不足。但是，法院并未裁定标准合同条款无效。