歐洲監管部門下重手,美國科技公司將無法利用歐洲用戶數據
David Meyer
2020-09-14
過去五年,在注重細枝末節但又必不可少的數據隱私領域中,一直在慢慢上演一場“無法避免的事故”。一位Facebook用戶對美國網絡監視行為的反抗,使得美國科技行業將歐洲用戶的個人信息傳回國內這種合法的做法被逐漸禁止。
如今,關鍵時刻似乎終于來臨,大型科技公司將無法繼續在美國處理歐洲用戶的數據。
Facebook在9月9日表示,愛爾蘭隱私監管部門(負責監管Facebook的所有歐洲業務)已經“暗示”Facebook將無法再利用其當前的法律機制從歐洲向美國傳輸個人數據,包括從姓名和電子郵箱到照片和評論等與可確定身份的歐洲個人有關的任何數據。
在此之前,《華爾街日報》(Wall Street Journal)曾經報道稱,愛爾蘭隱私監管部門曾經向Facebook發布了“一項暫停向美國傳輸歐盟用戶數據的初步命令。”
歐盟的最高法院曾經在兩個月前裁決,“標準合同條款”(standard contractual clauses)這種法律機制在原則上是合法有效的。然而,法院稱在將歐洲人的數據發送至沒有良好隱私保護的國家導致數據面臨威脅的情況下,隱私監管部門可以認定應用“標準合同條款”無效。
這將影響向美國的數據傳輸,這一點一直以來都很清楚,因為歐盟法院(Court of Justice of the EU)做出了同樣的判決,否決了美國與歐盟之間數據傳輸的專門機制“隱私護盾”。公司通過這種機制能夠更簡單并且以更低成本跨大西洋合法傳輸數據。
法院的理由是美國的數據監視法律,導致大型科技公司無法避免歐洲人的數據被美國情報部門掌握。無論公司為數據傳輸采用哪種法律機制,都存在同樣的問題。
“影響深遠”
Facebook的首席游說官、前英國副首相尼克?克萊格在9月9日的一篇博客中寫到:“愛爾蘭數據保護委員會(The Irish Data Protection Commission)已經開始調查Facebook受管制的在歐盟與美國之間的數據傳輸,并暗示標準合同條款可能無法再實際應用到歐盟與美國之間的數據傳輸。雖然此事還要經過更多流程,但按照該委員會的說法,可能對依賴標準合同條款這種機制的企業以及許多個人和企業依賴的在線服務產生深遠的影響。”
克萊格認為“沒有安全、合法的跨國數據傳輸,會妨礙歐盟的經濟以及數據驅動型企業的增長。”因為企業將無法再使用位于美國的云服務提供商處理客戶數據。
他甚至認為,終止美國導向的標準合同條款機制,會使服務歐洲高校和醫院的電子郵件平臺受到影響。但這種說法值得懷疑,因為歐盟隱私法律允許向任何地區傳輸數據,前提是數據傳輸對于履行用戶和提供商之間的合同是“必要的”,而且處理電子郵件是電子郵箱服務的基本功能。
Facebook等公司現在面臨的兩難境地是,用戶希望進行在線社交,然而跟蹤用戶的在線活動和編制營銷資料,對于滿足用戶的這種需求并不是必不可少的,但對于Facebook依賴廣告收入的公司業績可能至關重要。
這并不意味著Facebook不會至少嘗試將“必要性”作為另外一條法律依據,用于支持其在歐盟與美國之間傳輸個人數據(這將是繼當前使用的標準合同條款、之前采用的隱私護盾和同樣被否決的安全港協議之后的第四個法律依據)。
奧地利的年輕律師馬克思?施雷姆斯為了阻止自己的Facebook數據被美國間諜利用提起了訴訟。他的抗爭促使歐盟法院撤銷了安全港協議和隱私護盾。他在9月10日公布了他的律師與Facebook律師之間的法律信函,揭露了Facebook調用“必要性”作為法律依據的做法。
施雷姆斯在通過電子郵件發送的一份聲明中指出,愛爾蘭監管部門對Facebook處理他的個人數據的做法展開了漫長的調查,目前調查只專注于Facebook標準合同條款的有效性。他說,這意味著監管部門“依舊只是在調查問題的一個方面。”
施雷姆斯表示:“Facebook似乎也希望數據保護委員只把標準合同條款作為調查重點,這樣等到第三輪程序結束時,他們就可以拿出下一個法律依據。這種在法律上的‘打地鼠’游戲到現在已經持續了七年。所以我懷疑,針對Facebook的所謂命令只不過是另一個毫無用處的臺階,不會徹底解決問題。”
《財富》雜志曾經咨詢愛爾蘭數據保護委員會對此事的意見,但至今未收到答復。
“隱私護盾加強版”
無論Facebook能否把調查再拖延幾年,如果愛爾蘭數據保護委員會“暗示標準合同條款可能無法再實際應用到歐盟與美國之間的數據傳輸”(克萊格的原話),這對于大型科技公司而言將是一次沉重的打擊。
“必要性”可能成為許多公司的救命稻草,因為許多公司除了將用戶數據用于提供核心服務以外,還會用于其他目的。Facebook(及其同行)還有一線希望,即美國與歐盟達成第三版數據共享協議,取代隱私護盾。
克萊格在9月9日的博客中對歐盟和美國嘗試達成“隱私護盾加強版”(他的原話)協定所做的努力表示歡迎。他寫道:“雙方在開展相關工作時應該認識到,歐盟成員國和美國都是民主國家,有著共同的價值觀和法治精神,雙方在文化、社會和商業上的聯系密不可分,而且有非常類似的數據監控權力和規范。”
但這兩個貿易伙伴并沒有類似的數據保護法律。否則,歐盟委員會可以簡單地認定美國的隱私保護制度是“充分的”(類似于歐盟委員會對加拿大和日本的評價),而且美國公司也不需要為它們的數據傳輸努力尋找其他法律依據。
事實上,除了醫療領域以外,美國并沒有聯邦數據隱私法律,美國的情報部門有廣泛的自由裁量權,可以對外國人的通信進行監聽,而對于在美國境內的這種監聽行為,歐洲人沒有有效的投訴途徑。
除非這種情況發生改變,否則所謂的“隱私護盾加強版”不太可能出現,而且隱私護盾和安全港在歐盟法院兩次碰壁之后,歐盟委員會不太可能支持一項在法律上漏洞百出的協議。正如歐盟的司法事務專員迪迪埃?雷恩德斯不到一周前所說的那樣,這方面不會有“快速解決的辦法”。
這一切都表明關鍵時刻終于來臨,而且這不只是針對美國科技企業,其他國家的企業同樣將面臨考驗。這些企業一方面渴望利用歐洲人的個人數據,但本國卻執行了具有侵略性的數據監控。(財富中文網)
翻譯:劉進龍
審校:汪皓
過去五年,在注重細枝末節但又必不可少的數據隱私領域中,一直在慢慢上演一場“無法避免的事故”。一位Facebook用戶對美國網絡監視行為的反抗,使得美國科技行業將歐洲用戶的個人信息傳回國內這種合法的做法被逐漸禁止。
如今,關鍵時刻似乎終于來臨,大型科技公司將無法繼續在美國處理歐洲用戶的數據。
Facebook在9月9日表示,愛爾蘭隱私監管部門(負責監管Facebook的所有歐洲業務)已經“暗示”Facebook將無法再利用其當前的法律機制從歐洲向美國傳輸個人數據,包括從姓名和電子郵箱到照片和評論等與可確定身份的歐洲個人有關的任何數據。
在此之前,《華爾街日報》(Wall Street Journal)曾經報道稱,愛爾蘭隱私監管部門曾經向Facebook發布了“一項暫停向美國傳輸歐盟用戶數據的初步命令。”
歐盟的最高法院曾經在兩個月前裁決,“標準合同條款”(standard contractual clauses)這種法律機制在原則上是合法有效的。然而,法院稱在將歐洲人的數據發送至沒有良好隱私保護的國家導致數據面臨威脅的情況下,隱私監管部門可以認定應用“標準合同條款”無效。
這將影響向美國的數據傳輸,這一點一直以來都很清楚,因為歐盟法院(Court of Justice of the EU)做出了同樣的判決,否決了美國與歐盟之間數據傳輸的專門機制“隱私護盾”。公司通過這種機制能夠更簡單并且以更低成本跨大西洋合法傳輸數據。
法院的理由是美國的數據監視法律,導致大型科技公司無法避免歐洲人的數據被美國情報部門掌握。無論公司為數據傳輸采用哪種法律機制,都存在同樣的問題。
“影響深遠”
Facebook的首席游說官、前英國副首相尼克?克萊格在9月9日的一篇博客中寫到:“愛爾蘭數據保護委員會(The Irish Data Protection Commission)已經開始調查Facebook受管制的在歐盟與美國之間的數據傳輸,并暗示標準合同條款可能無法再實際應用到歐盟與美國之間的數據傳輸。雖然此事還要經過更多流程,但按照該委員會的說法,可能對依賴標準合同條款這種機制的企業以及許多個人和企業依賴的在線服務產生深遠的影響。”
克萊格認為“沒有安全、合法的跨國數據傳輸,會妨礙歐盟的經濟以及數據驅動型企業的增長。”因為企業將無法再使用位于美國的云服務提供商處理客戶數據。
他甚至認為,終止美國導向的標準合同條款機制,會使服務歐洲高校和醫院的電子郵件平臺受到影響。但這種說法值得懷疑,因為歐盟隱私法律允許向任何地區傳輸數據,前提是數據傳輸對于履行用戶和提供商之間的合同是“必要的”,而且處理電子郵件是電子郵箱服務的基本功能。
Facebook等公司現在面臨的兩難境地是,用戶希望進行在線社交,然而跟蹤用戶的在線活動和編制營銷資料,對于滿足用戶的這種需求并不是必不可少的,但對于Facebook依賴廣告收入的公司業績可能至關重要。
這并不意味著Facebook不會至少嘗試將“必要性”作為另外一條法律依據,用于支持其在歐盟與美國之間傳輸個人數據(這將是繼當前使用的標準合同條款、之前采用的隱私護盾和同樣被否決的安全港協議之后的第四個法律依據)。
奧地利的年輕律師馬克思?施雷姆斯為了阻止自己的Facebook數據被美國間諜利用提起了訴訟。他的抗爭促使歐盟法院撤銷了安全港協議和隱私護盾。他在9月10日公布了他的律師與Facebook律師之間的法律信函,揭露了Facebook調用“必要性”作為法律依據的做法。
施雷姆斯在通過電子郵件發送的一份聲明中指出,愛爾蘭監管部門對Facebook處理他的個人數據的做法展開了漫長的調查,目前調查只專注于Facebook標準合同條款的有效性。他說,這意味著監管部門“依舊只是在調查問題的一個方面。”
施雷姆斯表示:“Facebook似乎也希望數據保護委員只把標準合同條款作為調查重點,這樣等到第三輪程序結束時,他們就可以拿出下一個法律依據。這種在法律上的‘打地鼠’游戲到現在已經持續了七年。所以我懷疑,針對Facebook的所謂命令只不過是另一個毫無用處的臺階,不會徹底解決問題。”
《財富》雜志曾經咨詢愛爾蘭數據保護委員會對此事的意見,但至今未收到答復。
“隱私護盾加強版”
無論Facebook能否把調查再拖延幾年,如果愛爾蘭數據保護委員會“暗示標準合同條款可能無法再實際應用到歐盟與美國之間的數據傳輸”(克萊格的原話),這對于大型科技公司而言將是一次沉重的打擊。
“必要性”可能成為許多公司的救命稻草,因為許多公司除了將用戶數據用于提供核心服務以外,還會用于其他目的。Facebook(及其同行)還有一線希望,即美國與歐盟達成第三版數據共享協議,取代隱私護盾。
克萊格在9月9日的博客中對歐盟和美國嘗試達成“隱私護盾加強版”(他的原話)協定所做的努力表示歡迎。他寫道:“雙方在開展相關工作時應該認識到,歐盟成員國和美國都是民主國家,有著共同的價值觀和法治精神,雙方在文化、社會和商業上的聯系密不可分,而且有非常類似的數據監控權力和規范。”
但這兩個貿易伙伴并沒有類似的數據保護法律。否則,歐盟委員會可以簡單地認定美國的隱私保護制度是“充分的”(類似于歐盟委員會對加拿大和日本的評價),而且美國公司也不需要為它們的數據傳輸努力尋找其他法律依據。
事實上,除了醫療領域以外,美國并沒有聯邦數據隱私法律,美國的情報部門有廣泛的自由裁量權,可以對外國人的通信進行監聽,而對于在美國境內的這種監聽行為,歐洲人沒有有效的投訴途徑。
除非這種情況發生改變,否則所謂的“隱私護盾加強版”不太可能出現,而且隱私護盾和安全港在歐盟法院兩次碰壁之后,歐盟委員會不太可能支持一項在法律上漏洞百出的協議。正如歐盟的司法事務專員迪迪埃?雷恩德斯不到一周前所說的那樣,這方面不會有“快速解決的辦法”。
這一切都表明關鍵時刻終于來臨,而且這不只是針對美國科技企業,其他國家的企業同樣將面臨考驗。這些企業一方面渴望利用歐洲人的個人數據,但本國卻執行了具有侵略性的數據監控。(財富中文網)
翻譯:劉進龍
審校:汪皓
A slow-motion train wreck has been unfolding over the past half-decade in the wonkish but fundamental field of data privacy, as one Facebook user's crusade against U.S. surveillance practices has slowly closed off the American tech industry's legal options for importing European users' personal information.
Now it looks like the moment of impact is finally about to arrive, leaving Big Tech unable to process European users' data in the U.S.
Facebook said on September 9 that the Irish privacy regulator (which governs all of Facebook's European activities) has "suggested" it will no longer be able to use the legal mechanism it currently uses to make Europe-to-U.S. transfers of personal data—that is, any data that can be connected with an identifiable person in Europe, from names and email addresses to photos and comments.
This followed a Wall Street Journal report that said the watchdog had hit Facebook with "a preliminary order to suspend data transfers to the U.S. about its EU users."
The EU's top court ruled a couple of months ago that the legal mechanism, known as "standard contractual clauses" or SCCs, is in principle legally valid. However, it said the use of SCCs can be invalidated by privacy regulators in cases where Europeans' data is made vulnerable by sending it to a country without good privacy protections.
It was always clear that this was likely to affect transfers to the U.S., because the same ruling—by the Court of Justice of the EU (CJEU)—struck down a separate, specifically U.S.-EU arrangement called Privacy Shield, which gave companies a simpler and cheaper way to keep their transatlantic transfers legal.
The court's reasoning was that U.S. surveillance laws make it impossible for Big Tech to keep Europeans' data out of the hands of U.S. intelligence agencies. The same problem applies whatever legal mechanism companies are using for those transfers.
“Far-reaching effect”
"The Irish Data Protection Commission has commenced an inquiry into Facebook controlled EU-U.S. data transfers, and has suggested that SCCs cannot in practice be used for EU-U.S. data transfers," Facebook's chief lobbyist, the former U.K. deputy prime minister Nick Clegg, wrote in a September 9 blog post. "While this approach is subject to further process, if followed, it could have a far-reaching effect on businesses that rely on SCCs and on the online services many people and businesses rely on."
Clegg argued that "a lack of safe, secure and legal international data transfers would damage the economy and hamper the growth of data-driven businesses in the EU," because they will no longer be able to use U.S.-based cloud providers to process their customers' data.
He even suggested the end of U.S.-oriented SCCs would impact email platforms that service European universities and hospitals. This is a questionable claim, because EU privacy law allows data transfers to anywhere as long as they are "necessary" to fulfill the contract between the user and provider—and the processing of emails is pretty fundamental for an email service.
The dilemma for a company such as Facebook is that its users want to socialize with one another online, but the tracking of their online activities and compilation of their marketing profiles are arguably not strictly necessary for making that happen—crucial as they may be for Facebook's ad-fueled bottom line.
However, that doesn't mean Facebook isn't at least trying to invoke "necessity" as yet another legal basis for its EU-U.S. personal-data transfers (the fourth, after its current use of SCCs and its previous reliance on Privacy Shield and its also-struck-down predecessor agreement, Safe Harbor).
Max Schrems, the young Austrian lawyer whose legal quest to protect his Facebook data from U.S. spies led to the CJEU's cancellation of Safe Harbor and Privacy Shield, revealed Facebook's invocation of "necessity" on September 10, when he published legal correspondence between his lawyers and Facebook's.
In an emailed statement, Schrems noted that the Irish watchdog's long-running investigation into Facebook's processing of his data is currently focusing only on the validity of Facebook's SCCs. He said this meant the regulator was "again only investigating one slice of the problem."
"Facebook seems to want the DPC to only focus on the SCCs as well, so that they can just pull out the next legal basis at the end of this third round of the procedure. This legal edition of 'whac-a-mole' has been ongoing for seven years now," Schrems said. "I therefore suspect that the alleged order against Facebook is another useless step that will not solve the issue fully."
Fortune has reached out to the Irish Data Protection Commission for comment, but has so far received none.
“Privacy Shield Plus”
Whether or not Facebook manages to drag out its own investigation for another few years, if the Irish Data Protection Commission has "suggested that SCCs cannot in practice be used for EU-U.S. data transfers" (Clegg's words) then that really would be a blow for Big Tech.
The "necessity" argument may be clutching at straws for companies that, as many do, use their customers' data for other purposes than the core services they provide. Facebook's (and its peers') one remaining hope would be the striking of a third U.S.-EU data-sharing deal, to replace Privacy Shield.
In his September 9 post, Clegg welcomed the fact that the EU and U.S. sides are both trying to make a "Privacy Shield Plus" (again, his words) happen. "These efforts will need to recognize that EU Member States and the U.S. are both democracies that share common values and the rule of law, are deeply culturally, socially and commercially interconnected, and have very similar data surveillance powers and practices," he wrote.
But the two trading partners don't have similar data-protection laws. If they did, the European Commission could easily decide the U.S. privacy regime is "adequate" (as it has with Canada and Japan) and American companies wouldn't need to be scrambling for other legal bases to underpin their data transfers.
The fact remains that the U.S. has no federal data-privacy law outside of the medical arena; its intelligence agencies retain broad discretion to spy on the communications of foreigners; and Europeans have no meaningful way to complain about that spying in the U.S.
Unless all this changes, it's deeply unlikely that a "Privacy Shield Plus" could fly—and, after two humiliations at the CJEU over Privacy Shield and Safe Harbor, the Commission is unlikely to support a deal that isn't legally watertight. As EU Justice Commissioner Didier Reynders said less than a week ago, there will be "no quick fix" on this front.
All of which suggests that the moment of truth is finally almost here—and not only for U.S. tech firms, but also for those in other countries, which are keen to use Europeans' personal data but have invasive surveillance practices to contend with back home.
財富中文網所刊載內容之知識產權為財富媒體知識產權有限公司及/或相關權利人專屬所有或持有。未經許可,禁止進行轉載、摘編、復制及建立鏡像等任何使用。
