歐盟最高法院週四裁定,出於監視方面的考慮,與美國達成的允許將個人資料從歐盟轉移到華盛頓的協議無效。
然而,歐洲法院 (ECJ) 堅持認為,將資料傳輸到「確保充分的資料保護水準」的任何其他第三國都是有效的。
歐盟司法專員迪迪埃‧雷德爾斯 (Didier Reynders) 表示在一份聲明中歐盟需要時間「更詳細地分析判決並仔細評估其影響和後續步驟」。
他補充說,委員會將與美國當局合作「制定一個強化且持久的轉移機制」。
歐洲法院在裁決中強調,轉移到歐盟以外的個人資料必須「獲得與歐盟內部 GDPR [通用資料保護條例] 所保證的保護水準基本相同的保護水準」。
美國監視計劃
調查發現,美國國內法律並未為從歐盟傳輸的資料提供與歐盟法律要求相同程度的保護,「只要基於這些條款的監控計畫不限於嚴格必要的範圍」。
它還指出,非美國資料主體沒有「在法庭上針對美國當局提起訴訟的權利」。
「基於所有這些理由,法院宣布 2016/1250 號決定無效,」它總結道。
向歐洲法院提出申訴的奧地利活動人士馬克斯‧施雷姆斯 (Max Schrems) 表示在一份聲明中他「對判決感到非常高興」。
「你不能只是將資料傳輸到一個現在有監控並且對歐洲人沒有任何保護的國家。對於普通用戶來說,除了擁有更好的隱私保護之外,這並不意味著太多,」他告訴歐洲新聞。
「法院現在第二次澄清,歐盟隱私法與美國監控法衝突。由於歐盟不會為了取悅 NSA(美國國家安全局)而改變其基本權利,因此解決這一問題的唯一方法是衝突在於美國要為所有人——包括外國人——引入可靠的隱私權,」他說。
「因此,監控改革對於矽谷的商業利益至關重要。這項判決不是限制數據傳輸的原因,而是美國監控法的後果,」他補充道。
該裁決意味著什麼
這場法律戰始於2013 年,此前美國國家安全局(NSA) 前承包商愛德華·斯諾登(Edward Snowden) 披露,美國情報機構可以訪問歐盟公民的個人數據,而且當局正在從蘋果、微軟、 Facebook 和谷歌等科技巨頭收集越來越多的數據。
歐盟擁有世界上一些最嚴格的數位隱私權,這些權利由 GDPR 於 2018 年授予。
該法規允許歐盟國民查明任何公司擁有哪些個人數據,並要求刪除這些數據。他們也有權透過拒絕公司將其個人資料移交給第三方來阻止其個人資料的傳播。
它還要求公司有責任明確傳達其資料政策,並迫使他們在意識到問題後 72 小時內披露任何資料外洩情況。
不遵守 GDPR 可能會導致高達全球年營業額 4% 或 2000 萬歐元的巨額罰款——以較高者為準。
然而,週四的裁決並不意味著從歐盟到美國的個人資料傳輸將立即停止。
相反,將個人資料處理外包給美國公司的美國公司和歐盟公司需要審查它們是否受到美國監控法的約束,以及它們的傳輸是否被加密到更難被竊聽的程度。
