腾讯科技讯 欧盟隐私监管机构已经下令社交媒体巨头Facebook停止向美国传输该公司收集的欧洲用户数据,理由是对美国政府监控做法感到不满和担忧。
据知情人士透露,欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)已经于8月末向Faceboook发出一项初步命令,要求该公司暂停向美国传输其欧盟用户的数据。这对该公司来说是个新的运营和法律挑战,也可能会为欧盟监管机构应对其他科技巨头的类似做法开创先例。
知情人士说,这是欧盟监管机构为执行7月份关于欧盟最高法院数据传输的裁决而采取的第一个重要行动。这项裁决限制了Facebook等外国大型科技公司将欧洲用户的个人数据发送到美国境内的方式,因为法院发现欧洲用户没有有效的方式来挑战美国政府实施的大量监控。
为了遵守DPC的初步命令,Facebook很可能不得不重新设计其服务,以独立处理其从欧洲用户那里收集的大部分数据。或者完全停止为欧中用户提供服务,至少是暂时停止。如果不遵守命令,DPC将有权对Facebook处以相当于其年收入4%的罚款,即28亿美元。
Facebook首席政策和沟通主管尼克·克莱格(Nick Clegg)证实,作为调查的一部分,DPC表示,Facebook实际上不能再利用广泛使用的协议进行欧盟与美国之间的数据传输。克莱格说:“缺乏安全、合法的国际数据传输将损害经济,并阻止欧盟出现数据驱动型企业,就像我们从新冠疫情中寻求复苏一样。”DPC拒绝置评。
这项初步命令可被视为欧洲隐私维权人士的胜利,他们在监管机构和法庭上争论了近十年时间,认为他们的数据不应该发送到美国或保存在美国,因为这些数据可能会在秘密要求下移交给政府。
这也是对在欧洲有业务的大型科技公司以及它们极力促进的跨大西洋贸易的警告。一位知情人士说,尽管这一命令只针对Facebook,但该公司可能成为其他美国科技公司的榜样。这位知情人士补充说,这关系到美国是否可能被迫修改其监控法,以恢复数据传输。
科技倡导者说,阻止大型科技公司向美国传输数据可能会颠覆数十亿美元的跨境数据活动,包括云计算服务、人力资源和营销,因为这些活动涉及从美国领土访问或存储欧洲用户的信息。倡导者补充说,类似的举措也可以用来阻止向其他国家转移数据,欧盟法院认为美国监控法侵犯了人权。
可以肯定的是,DPC发布的命令是初步的,在最终敲定之前可能会进行修改,这个过程可能需要几个月的时间。DPC负责领导欧盟对Facebook的隐私执法,因为该公司的地区总部设在这个国家,但爱尔兰的隐私监管机构必须在跨境案件中与其他欧盟国家的同行进行协调。
知情人士说,DPC已经要求Facebook在9月中旬之前对这一命令做出回应。而在考虑了Facebook的回应后,DPC计划根据欧盟隐私法的一项合作条款,向其他欧盟国家的26个隐私监管机构发送一份新的命令草案,以供共同批准。
Facebook也可能在法庭上挑战这一命令。一位知情人士说,在公司内部,Facebook认为DPC的初步命令及其未来影响是一件大事。其他知情人士说,由于其敏感性,该命令的存在正在Facebook内部密切保密,而高管和律师将决定如何做出回应。
自7月份的裁决公布以来,欧盟执行机构欧盟委员会(EC)和美国官员已经开始谈判,以建立一种新的方式,让公司将欧洲用户的数据发送到美国,以符合法院的要求。但欧盟司法专员迪迪埃·雷恩德斯(Didier Reynders)上周在欧洲议会表示,“不会有快速解决方案”。
有些隐私权律师表示,美国需要修改其监控法,以解决欧盟法院的担忧。但美国方面说,它的监视做法是合理的,并在法庭上辩称,欧盟不应该对美国的国家安全做法行使管辖权。
现在的焦点是欧盟的隐私监管机构,看看他们是如何执行7月份裁决的,代表欧盟隐私监管机构的一个委员会上周宣布成立特别工作组来解决这个问题。DPC的行动始终受到密切关注,因为除了Facebook之外,它还领导着欧盟对几家大型科技公司的隐私执法,包括谷歌、苹果以及Twitter。
欧盟和美国在跨大西洋数据传输问题上就如何平衡隐私和商业行为而争吵了20多年,DPC命令Facebook停止向美国发送欧洲用户数据的计划标志着一个重大转变。2015年,欧盟最高法院宣布一项向美国传输此类信息的主要法律机制无效。但威胁最终大多是理论上的,没有任何公司真正停止发送个人信息,数据流动也从未停止。
争论的焦点是欧盟隐私法的一条基本规定,该规定可以追溯到20世纪90年代。按照规定,公司将欧盟居民的个人信息发送到世界另一地区属于非法行为,因为该地区基本上没有提供与欧盟同等的隐私保护,除非在某些有限的情况下。美国没有全国性的数据隐私法,但在医疗保健等领域有更多针对行业的监管,不过依然没有达到欧盟的标准。
为了保持数据流动,美国和欧盟在20世纪90年代末通过谈判推出了一个特殊的系统,名为“安全港”(Safe Harbor)。在该系统中,将欧洲数据发送到美国的公司可以选择加入由美国政府执行的欧盟式规则。公司也有其他选择将数据发送到海外,例如使用预先批准的欧盟合同语言,称为《标准合同条款》。在该条款中,公司承诺维护欧洲的隐私标准。
对这些系统的法律挑战始于2013年,当时美国国家安全局(NSA)前合同工爱德华·斯诺登(Edward Snowden)泄露了美国政府监控做法的细节。一位名叫马克斯·施雷姆斯(Max Schrems)的隐私权活动家认为,“安全港”系统将他在Facebook上的信息暴露给了美国政府。欧盟法院对此表示同意,并在2015年推翻了这一制度。
欧盟和美国很快制定了一个名为“隐私盾牌”(Privacy Shield)的替代框架,增加了一些额外的保护,比如在美国国务院设立监察员来处理欧洲用户的投诉。但7月份的法院裁决也推翻了这一制度,称美国仍然没有向欧洲居民提供挑战监控的可诉权。
企业最初感到欣慰的是,7月份的裁决没有同时宣布所谓的《标准合同条款》无效,而是表示,企业必须评估它们发送数据的国家的法律是否允许它们确保受到欧盟法律的充分保护。Facebook是今年夏天表示将依靠这些标准合同条款将数据传输到美国的几家公司之一,因为“隐私盾牌”已经不再有效。
但DPC发出暂停数据传输的初步命令表明,它发现根据裁决,这些标准条款依然不够,至少在Facebook的案例中是这样。如果这一理由成立,这样的条款可能也会被裁定对其他大型科技和电信公司无效,这些公司和Facebook一样,属于欧盟法院裁决中讨论的美国监控法的管辖范围,包括《外国情报监视法案》第702条。
由施雷姆斯创立的隐私倡导组织Noyb在8月份向欧盟多个隐私监管机构提交针对101家欧洲网站的隐私投诉时,使用了这一理由,并利用欧盟法院的裁决辩称,这些网站必须停止使用美国的技术提供商发送数据。
Facebook和其他大型科技公司可能不得不停止向美国发送数据,这增加了制定允许此类传输的替代框架的努力的赌注。除了与美国就用新系统取代“隐私盾牌”进行谈判外,欧盟委员会表示,它还在更新《标准合同条款》的措辞。但目前还不清楚这样的更新将如何解决法院担心的监控问题。
数据
数码
发现网登载此文出于传递更多信息之目的,并不意味赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。违法、不良信息举报和纠错请联系本网。
地址:北京市朝阳区团结湖北街2号11幢206
邮编:100020
京ICP备05049267号
京ICP备05049267号-1
京公网安备11010102001063
版权所有 发现杂志社