法院驳回脸书诉讼,欧美跨境数据传输新规制定再遇障碍
近日,爱尔兰都柏林法院驳回了Facebook对爱尔兰数据保护委员会(The Irish Data Protection Commission,DPC)监管程序所提出的质疑,为欧美双方制定新跨境数据传输协议增添了障碍,也标志着今后欧盟与美国之间的数据传输会更加困难。
据路透社报道,当地时间2020年9月11日,Facebook公司宣布起诉爱尔兰数据保护委员会。诉因可追溯至该委员会于去年8月发起的一项调查和一项拟议命令。
欧盟监管机构认为,Facebook长期在不同地区的数据中心传输用户数据,难以保证欧盟地区市场用户数据的安全性,这些数据有传到其他地区数据中心的风险。因此对Facebook展开调查。
调查命令称,Facebook用来将欧盟用户数据转移到美国的主要机制“实际上无法使用”,要求对方停止将欧盟用户的相关数据传输到美国。为此,Facebook对该调查和拟议命令决定均提出了质疑,要求对爱尔兰数据保护委员会的初步观点进行司法审查。
事实上,在这场法律冲突前,欧盟和美国曾于2016年制定框架协议《隐私盾协议》,该协议允许Facebook、谷歌、亚马逊等美国科技公司在两地间传输数据。直到去年7月,欧盟最高法院因不信任美国数据保护体系而裁定该协议无效并予以推翻。
记者注意到,自《隐私盾协议》被推翻后,欧美就制定最新跨境数据传输协议的谈判已持续了近一年。据Politico报道,都柏林法院的判决为双方制定新跨境数据传输协议增添了障碍,也标志着今后欧盟与美国之间的数据传输会更加困难。同时作为数据跨境传输法律工具的标准合同条款SCC(Special Conditions of Contract,SCC)也无法再适用于欧美间的数据传输。
“SCC并未改变美国对欧盟数据保护不足的现状,Facebook也并未为欧盟数据保护提供额外的保障。”本案件法官表示。
另外,此次判决还引发了国际社会关于数据本地化的争议。据悉,自2019年末新欧盟委员会组成后,越来越多的欧盟公民要求其数据信息留在欧盟27个成员国境内。并且已有巴西、俄罗斯、印度多国出台数据本地存储法案。
值得注意的是,根据欧盟法律,如果Facebook不选择上诉,就必须对DPC的初步裁决做出回应。回应期后,其初步调查结果就将被提交到欧盟数据监管机构进行签署,同时这项裁决还可能引发一系列平行调查。
针对判决结果,Facebook代表表示,公司将继续向爱尔兰数据保护委员会提出抗议。“法院的初步裁决不仅会对Facebook造成伤害,其损害也会波及到用户以及其他商业团体。”