跨境数据转移可能面临新麻烦

图片来源：STEFANI REYNOLDS/ZUMA PRESS

欧盟最高法院一名顾问建议，如果包括美国科技巨头在内的公司无法保证对欧洲用户数据的处理符合欧盟隐私法，那么在某些情况下，应该禁止这些公司转移欧洲用户数据。

如果欧洲法院(European Court of Justice)采纳该建议，则Facebook Inc. (FB)、Alphabet Inc. (GOOG)旗下的谷歌(Google)、亚马逊公司(Amazon.com Inc., AMZN)和苹果公司(Apple Inc., AAPL)等企业将遭遇一系列法律挑战，业务可能会受到影响。这些公司在美国和欧洲都有大量业务。

这些公司和成千上万的其他公司目前根据几种不同的法律工具将数据转移出欧洲，这些法律工具通常要求公司在海外遵守欧盟的隐私原则。

欧洲法院的法律总顾问Henrik Saugmandsgaard Oe称，法官们不应该废除一种更流行的法律工具，即标准合同条款。这让许多企业松了一口气。但他认为，数据保护监管机构应阻止在其他国家要求公司忽略这些条款情况下利用这些条款进行的某些数据转移。

如果这些建议明年得到欧洲法院采纳，可能会给美国科技公司带来麻烦，因为该案源于对这些公司在美国监控法律下的义务是否违反了欧盟隐私保护规定的担忧。

此案的主要原告、隐私维权人士Max Schrems称，Facebook不应被允许将用户数据转移到美国，因为这些信息可能会在政府的秘密要求下被移交。

Facebook表示，对法律顾问就这些复杂问题给出的意见表示感谢，并期待最终的决定。该公司没有具体提及对数据保护监管机构阻止某些数据转移的建议。

亚马逊公司未予置评，苹果公司和谷歌没有立即回复记者的置评请求。

促使法律顾问给出意见的多项法律挑战始于美国国家安全局(National Security Agency)前合同雇员斯诺登(Edward Snowden)泄露美国监控活动的行为。隐私维权人士认为，美国政府通过合法途径获取一些美国公司所持个人信息的能力相当于大规模监控，按照欧盟条约和欧盟的《通用数据保护条例》(General Data Protection Regulation, 简称GDPR)应予禁止。

美国已辩称，其监控措施是适当且有针对性的。在7月份欧洲法院举行的听证会上，美国政府的律师Eileen Barrington同样表示，美国“不认为GDPR赋予了欧盟对他国国家安全实践进行分析的全球管辖权”。

对美国监控活动的担心导致欧洲法院于2015年废除了此前欧盟与美国间的一项“安全港协议”(Safe Harbor)，该协议允许公司将欧洲的数据发送至美国，前提是公司遵守一套隐私准则。

作出该裁决后，欧盟和美国协商达成了一项替代协议，名为“隐私护盾协议”(Privacy Shield)，已有近5,100家公司签订了该协议。

考虑到欧洲的隐私权，Saugmandsgaard Oe对该框架的有效性表示了担忧。隐私护盾协议面临另外的法律挑战，在7月的听证会期间，法官们就欧盟执行机构欧盟委员会批准该协议向其律师提出了严厉质疑。

科技倡导者和隐私律师表示，阻止向美国传输数据，例如通过中止隐私护盾协议或引发争议的预先批准合同条款，可能会颠覆跨境数据活动带来的数十亿美元的贸易，这些数据活动包括云服务、人力资源、市场营销和广告。

奥斯陆大学(University of Oslo)研究人员Luca Tosoni表示：“中止标准合同条款造成的破坏性影响，即便是局部的而且是仅针对美国的，也可能是很严重的。”

当然，上述最糟糕的情形可能不会发生。欧盟委员会已经宣布计划修改预先批准的合同条款，并可能尝试考虑法院的任何申诉。此外，爱尔兰隐私监管机构已表示，将尝试在执法过程中行使自由裁量权。

爱尔兰数据保护专员Helen Dixon本月早些时候在布鲁塞尔的一次活动中表示：“没人能保证有一个宽限期，但我们的目标始终是务实。”

在欧洲法院审理的另一起案件中，一家科技巨头赢得胜利。法官裁定，爱彼迎(Airbnb Inc.)是一家信息服务公司，因此无需根据1970年颁布的一项法律在法国注册成为房地产经纪人。

爱彼迎在欧盟法律之下被认定为信息服务公司，这一身份可能会为爱彼迎在其他针对其所称的不公平监管的诉讼中提供一些支持。其中包括巴黎的另一起未决案件，在该案件中，爱彼迎受到起诉，被要求删除所谓的非法房源。

爱彼迎的一名发言人表示，公司对判决表示欢迎，还称，公司希望“向前迈进，继续与城市合作，制定明确的规则，将当地家庭和社区置于21世纪可持续旅游的核心位置”。

Sam Schechner / Valentina Pop

2019年12月26日16:30 CST 更新

（本文版权归道琼斯公司所有，未经许可不得翻译或转载。）

更多阅读：

关于欧盟《通用数据保护条例》生效的五大问题

欧洲数据保护新规引发激辩——哪些信息是企业真有必要收集的？

谷歌被罚5,700万美元，为欧洲隐私新规GDPR生效后最大罚单

道琼斯公司（Dow Jones）创建于1882年，旗下有道琼斯指数、Barron's《巴伦》、WSJ《华尔街日报》、MarketWatch、Factiva、VentureSource、Risk & Compliance等品牌。“道琼斯风险合规”是全球领先的风险合规服务商。本公众号由道琼斯风险合规中国团队运营。欢迎您关注或咨询：Johnson.Ma@dowjones.com