论文部分内容阅读
[摘 要]2015年10月,欧盟法院做出了一项里程碑式的裁决:安全港协议是无效的。由此判决引发了大数据时代下,人们对于各国间数据安全的热议。这不仅跟个人信息的商业价值息息相关,对国家安全也有十分重要的影响。本文首先回顾了安全港协议案的背景及案件始末,而后立足于该案对各方的影响,总结出中美签订网络协议的经验教训。
[关键词]安全港协议;无效裁决;网络安全;合作与发展
[中图分类号]D99 [文献标识码] A [文章编号] 1009 — 2234(2016)05 — 0055 — 02
一、案件源起
本案第一次引起公众注意是在2014年,一位奥地利隐私保护人士马克斯?施雷姆斯(Max Schrems)发起了一项针对Facebook欧洲子公司的大范围集体诉讼,他指控Facebook违背了欧洲数据保护法律。施雷姆斯在维也纳商业法院向Facebook也提起了这项诉讼。这些行动已经促使Facebook删除了脸部识别和过多的用户数据。不过作为欧洲唯一有权处罚Facebook的机构,爱尔兰监管机构并没有按照施雷姆斯的要求推动Facebook其他改革。当时,施雷姆斯表示:“这起案件已经持续了三年,但到目前为止仍然没有做出判决。他们总是承诺“下个月”或“很快”做出决定,但三年来这些投诉始终没有带来具有约束力的成果。”去年,美国和加拿大以外的任何Facebook用户都可以通过fbclaim.com网站加入这位名叫马克斯?施雷姆斯(Max Schrems)的法律专业学生发起的集体诉讼。
虽然施雷姆斯之前的诉讼已对社交网络公司产生相当大的影响,迫使Facebook放弃面部识别程序,相关用户也可以要求Facebook公布数据。但是,施雷姆斯和其他Facebook用户认为,Facebook在其他许多方面都不尊重欧盟隐私法,其中包括参与美国国家安全局的“棱镜”项目,即Facebook通过使用有“点赞”按钮的页面跟踪任何访问这一页面的用户,帮助其收集公共互联网使用的个人数据。另外,Facebook也未经用户同意,私下使用多种用户数据。迫于爱尔兰当局对官司施加的政治压力,施雷姆斯选择在奥地利对Facebook提起新一轮起诉。由于欧盟的运作方式,奥地利的判决仍适用于Facebook在爱尔兰的业务。安全港协议法律问题由此产生。
二、欧盟法院的裁决要点
欧盟法院于十月六号做出了对此案件裁决,并在判决书中列明了一百多条判决理由。主要的判决依据总结如下:国家监管当局的独立担保旨在确保对于个人隐私保护的监控的有效性和可靠性;安全港协议不能保护个人资料已经或可能被转移到第三国的人员免于接受国家监管当局提出的要求;安全港计划没有规定会保护欧盟公民关于美国当局访问他们的个人资料转移到美国,只涉及商业争端解决条款;安全港计划不符合欧盟数据保护指令在保护个人数据方面的标准所需的要求,所以相应的“无效”。
《欧盟数据保护指令》规定,原则上仅在第三国确保适当程度的数据保护的情况下,才可向第三国进行个人数据传输。欧盟法院裁决认定,即便欧委会认为第三国可确保适当程度的保护,国内监管机构在处理主张时,还必须能完全独立地审查向第三国进行个人数据传输是否符合《数据保护指令》。因此,国家数据保护机构不受欧盟委员会2000年7月安全港决议的约束。法官还认为,欧盟委员会理应查明美国依照其国内法或其国际承诺在事实上确保其对基本权利的保护程度,在本质上等同于欧盟数据保护指令项下欧盟地区对基本权利的保护。但欧委会仅仅对安全港计划进行了审查,并未将美国政府机构不受协议约束这一情况考虑在内。美国的国家安全法律允许美国政府机构可以获取存储于美国服务器中的个人数据。该判决当前产生的结果是,涉及本案的爱尔兰监管机构需依照欧盟数据保护指令,决定是否应基于美国无法提供适当程度的个人数据保护这一理由,暂停向美国传输脸谱公司欧洲用户的数据。也就意味着,安全港协议被欧洲法院的判决推翻之后,虽然该裁定不会自动终止数据传输到境外,但如果公司没有充分保护用户数据,它允许各国监管机构暂停数据传输。
三、案件影响及各方态度
“我非常认同该法院的裁决”施雷姆斯则表示这是对美国监控的重大打击,并称这清楚地表明,该裁决绘制了一条明确的界限,它明确对人民的监控违反了我们的基本权力,美国企业不能帮助美国间谍活动违反欧盟基本权利。同时,施雷姆斯补充说道,“这个判例法将是一个里程碑,这将对执行类似监控的欧盟成员国带来宪法挑战。”
尽管安全港协议失效被认为是隐私和监控的胜利,但给企业带来的是一系列复杂问题。分析人士认为,欧洲法院的判决将使依赖于《安全港协议》的企业不得不重新制定数据存储方案,因此一部分美国企业如果要执行新规定,将欧洲用户的数据存储在欧洲,需要在技术上做出大幅调整,从而耗费大量时间和金钱,还有一种可能就是美国企业因为在欧洲的运营受限可能正式撤离欧洲,让欧洲用户在登录时签署个人授权,从而登录美国网页,那么它的运营方式也将会不得不采取一些新的改变。
从欧盟的立场来看,《安全港协议》的废除无疑树立了其坚决的姿态。但是后续影响的可不只是美国。一方面是欧盟贸易的受损,另一方面,欧盟各国还要面临国内众多美国科技公司用户的不满和指责。欧盟委员会副主席蒂默曼斯在宣布裁定当天表示,尽管欧洲法院作出了判决,但欧美双方企业间的数据交换并不会就此停止,欧盟会加快与美国制订新的数据传输协议,代替被法院裁定无效的《安全港协议》。2016年2月2日,欧盟委员会宣布,欧盟和美国已经就两地公司之间传输个人数据涉及的隐私保护问题达成新的框架协议,即欧美隐私保护(EU-US Privacy Shield)协议。该协定还需经过一些机构的批准才能生效。新协议将要求美国公司履行更加严格的义务来保护欧洲的个人数据。希望从欧洲得到个人数据的美国公司需要承诺关于个人数据如何处理和个人权利得到保障的“稳健义务”。美国商务部将监控企业自行发布并接受联邦贸易委员会依照美国法律执行的承诺书。另外,任何处理来自欧洲人力资源数据的公司必须承诺遵守欧洲数据保护相关机构的决定。欧盟委员会也表示,新协定满足了欧洲法院裁定中的要求。
[关键词]安全港协议;无效裁决;网络安全;合作与发展
[中图分类号]D99 [文献标识码] A [文章编号] 1009 — 2234(2016)05 — 0055 — 02
一、案件源起
本案第一次引起公众注意是在2014年,一位奥地利隐私保护人士马克斯?施雷姆斯(Max Schrems)发起了一项针对Facebook欧洲子公司的大范围集体诉讼,他指控Facebook违背了欧洲数据保护法律。施雷姆斯在维也纳商业法院向Facebook也提起了这项诉讼。这些行动已经促使Facebook删除了脸部识别和过多的用户数据。不过作为欧洲唯一有权处罚Facebook的机构,爱尔兰监管机构并没有按照施雷姆斯的要求推动Facebook其他改革。当时,施雷姆斯表示:“这起案件已经持续了三年,但到目前为止仍然没有做出判决。他们总是承诺“下个月”或“很快”做出决定,但三年来这些投诉始终没有带来具有约束力的成果。”去年,美国和加拿大以外的任何Facebook用户都可以通过fbclaim.com网站加入这位名叫马克斯?施雷姆斯(Max Schrems)的法律专业学生发起的集体诉讼。
虽然施雷姆斯之前的诉讼已对社交网络公司产生相当大的影响,迫使Facebook放弃面部识别程序,相关用户也可以要求Facebook公布数据。但是,施雷姆斯和其他Facebook用户认为,Facebook在其他许多方面都不尊重欧盟隐私法,其中包括参与美国国家安全局的“棱镜”项目,即Facebook通过使用有“点赞”按钮的页面跟踪任何访问这一页面的用户,帮助其收集公共互联网使用的个人数据。另外,Facebook也未经用户同意,私下使用多种用户数据。迫于爱尔兰当局对官司施加的政治压力,施雷姆斯选择在奥地利对Facebook提起新一轮起诉。由于欧盟的运作方式,奥地利的判决仍适用于Facebook在爱尔兰的业务。安全港协议法律问题由此产生。
二、欧盟法院的裁决要点
欧盟法院于十月六号做出了对此案件裁决,并在判决书中列明了一百多条判决理由。主要的判决依据总结如下:国家监管当局的独立担保旨在确保对于个人隐私保护的监控的有效性和可靠性;安全港协议不能保护个人资料已经或可能被转移到第三国的人员免于接受国家监管当局提出的要求;安全港计划没有规定会保护欧盟公民关于美国当局访问他们的个人资料转移到美国,只涉及商业争端解决条款;安全港计划不符合欧盟数据保护指令在保护个人数据方面的标准所需的要求,所以相应的“无效”。
《欧盟数据保护指令》规定,原则上仅在第三国确保适当程度的数据保护的情况下,才可向第三国进行个人数据传输。欧盟法院裁决认定,即便欧委会认为第三国可确保适当程度的保护,国内监管机构在处理主张时,还必须能完全独立地审查向第三国进行个人数据传输是否符合《数据保护指令》。因此,国家数据保护机构不受欧盟委员会2000年7月安全港决议的约束。法官还认为,欧盟委员会理应查明美国依照其国内法或其国际承诺在事实上确保其对基本权利的保护程度,在本质上等同于欧盟数据保护指令项下欧盟地区对基本权利的保护。但欧委会仅仅对安全港计划进行了审查,并未将美国政府机构不受协议约束这一情况考虑在内。美国的国家安全法律允许美国政府机构可以获取存储于美国服务器中的个人数据。该判决当前产生的结果是,涉及本案的爱尔兰监管机构需依照欧盟数据保护指令,决定是否应基于美国无法提供适当程度的个人数据保护这一理由,暂停向美国传输脸谱公司欧洲用户的数据。也就意味着,安全港协议被欧洲法院的判决推翻之后,虽然该裁定不会自动终止数据传输到境外,但如果公司没有充分保护用户数据,它允许各国监管机构暂停数据传输。
三、案件影响及各方态度
“我非常认同该法院的裁决”施雷姆斯则表示这是对美国监控的重大打击,并称这清楚地表明,该裁决绘制了一条明确的界限,它明确对人民的监控违反了我们的基本权力,美国企业不能帮助美国间谍活动违反欧盟基本权利。同时,施雷姆斯补充说道,“这个判例法将是一个里程碑,这将对执行类似监控的欧盟成员国带来宪法挑战。”
尽管安全港协议失效被认为是隐私和监控的胜利,但给企业带来的是一系列复杂问题。分析人士认为,欧洲法院的判决将使依赖于《安全港协议》的企业不得不重新制定数据存储方案,因此一部分美国企业如果要执行新规定,将欧洲用户的数据存储在欧洲,需要在技术上做出大幅调整,从而耗费大量时间和金钱,还有一种可能就是美国企业因为在欧洲的运营受限可能正式撤离欧洲,让欧洲用户在登录时签署个人授权,从而登录美国网页,那么它的运营方式也将会不得不采取一些新的改变。
从欧盟的立场来看,《安全港协议》的废除无疑树立了其坚决的姿态。但是后续影响的可不只是美国。一方面是欧盟贸易的受损,另一方面,欧盟各国还要面临国内众多美国科技公司用户的不满和指责。欧盟委员会副主席蒂默曼斯在宣布裁定当天表示,尽管欧洲法院作出了判决,但欧美双方企业间的数据交换并不会就此停止,欧盟会加快与美国制订新的数据传输协议,代替被法院裁定无效的《安全港协议》。2016年2月2日,欧盟委员会宣布,欧盟和美国已经就两地公司之间传输个人数据涉及的隐私保护问题达成新的框架协议,即欧美隐私保护(EU-US Privacy Shield)协议。该协定还需经过一些机构的批准才能生效。新协议将要求美国公司履行更加严格的义务来保护欧洲的个人数据。希望从欧洲得到个人数据的美国公司需要承诺关于个人数据如何处理和个人权利得到保障的“稳健义务”。美国商务部将监控企业自行发布并接受联邦贸易委员会依照美国法律执行的承诺书。另外,任何处理来自欧洲人力资源数据的公司必须承诺遵守欧洲数据保护相关机构的决定。欧盟委员会也表示,新协定满足了欧洲法院裁定中的要求。