继2020年7月宣布《欧美隐私盾牌》协定失效后,在商业领域的个人数据跨大西洋传输隐私问题上,爱尔兰正式向美国科技企业打响了第一枪。
8月下旬开始,爱尔兰数据保护委员会(DPC)展开了对脸书(Facebook)把欧洲用户数据传回美国的调查。
DPC要求脸书分离出从欧洲用户收集的大部分数据,或者暂时完全停止为欧洲用户提供服务。为此脸书很可能不得不重新设计服务,否则将面临至多年收入4%的罚款,即28亿美元。
脸书9日回应称,企业需要明确全球性规则,并以坚实的法律为基础,来保护长期稳定的跨境数据流动。
广东外语外贸大学欧洲研究中心副教授赖雪仪在接受第一财经记者采访时表示,欧盟历来重视隐私问题,并希望在数字监管领域成为先行者。鉴于该命令只是初步命令,脸书还有一段时间进行游说,为其在欧洲的业务赢得缓冲。
爱尔兰打响数据传输隐私问题第一枪
DPC此举是基于欧洲法院今年7月关于《欧美隐私盾牌》失效的判定。
《欧美隐私盾牌》规定,用于商业目的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。
但是,继斯诺登披露美国情报机构开展大规模监听活动、奥地利互联网信息安全领域活动人士施雷姆斯起诉脸书等事件后,欧盟改变了在数据传输隐私问题上的态度。
今年7月,欧洲法院认为美国的数据保护未能达到欧盟标准,并担心美国对身处欧洲的用户实施监控,裁定《欧美隐私盾牌》失效。
欧洲法院表示,美国的国内法认定有关美国国家安全利益和执法等方面的要求具有优先性,可能访问有关数据,因此不满足有关数据在美国受到“与欧盟基本等同”保护的标准。
不过,欧洲法院虽然裁定《欧美隐私盾牌》无效,但并未废除“标准合同条款”,只是表示企业必须评估它们发送数据的国家的法律是否允许它们在欧盟法律下得到充分保护,因此并没有引起美国企业过分担忧。包括脸书在内的几家企业表示,他们将依赖这些标准合同条款将数据转移到美国。
爱尔兰发出暂停数据传输的初步命令表明,仅有标准条款并不够。DPC此举是欧盟监管机构为执行7月份欧盟最高法院一项数据传输裁决而采取的第一个重要步骤。
赖雪仪对第一财经记者称,之所以是爱尔兰在该问题上打响第一枪,其原因在于,美国科技公司大多因为避税问题将总部注册在爱尔兰,爱尔兰政府自然对这些公司有执法权。不过,需要注意的是,虽然是爱尔兰政府行为,但它一定是和欧盟层面监管机构沟通过的,也可以将其看作欧盟对此问题的态度。
爱尔兰是欧盟数据隐私监管机构总部,其数据委员会负责欧盟对隐私问题的执法,但爱尔兰的隐私监管机构必须与欧盟其他国家的同行协调处理跨境案件。
赖雪仪表示,在科技领域,美欧近些年来摩擦不断。欧盟正在觉醒,想赶上这一波数字革命浪潮。一方面,欧盟通过数字监管立法,希望成为细分领域的先行者;另一方面,数字监管趋紧也增加了其他国家科技企业的运营成本。
美国科技巨头将如何应对?
在对脸书下达命令后,爱尔兰政府还表态称,下一步将通知欧盟各成员国,或采取共同行动。
DPC要求脸书9月中旬之前对这一命令作出回应。在考虑回应后,DPC将根据欧盟隐私法的合作条款,向欧盟其他26个国家的隐私监管机构提交一份新的命令草案,以获得联合批准。
脸书负责全球事务和通信的副总裁克莱格(Nick Clegg)9日表示,缺乏安全和合法的国际数据传输将损害欧盟经济、阻碍数据驱动业务的增长。这可能意味着欧洲的科技公司、医院和大学不能使用美国的云服务或欧盟以外的呼叫中心。
克莱格表示,爱尔兰这一命令的影响还将超出商业领域,可能影响医疗和教育等关键公共服务。阻止大型科技公司向美国转移数据,将为跨境数据活动带来数十亿美元的损失。
值得注意的是,爱尔兰的命令只是初步的,在最终敲定之前仍可能会被修改,这一过程一般需要几个月的时间。
赖雪仪认为,对于任何一家科技公司而言,欧洲市场都非常重要,他们不太可能放弃。对于爱尔兰监管机构的要求,脸书可能采取停掉某些服务的方式。或者直接向相关机构游说,试图延缓这一命令的执行时间,这将在资金和业务方面为其赢得缓冲。
她还称,欧盟历来关注个人权利,注重个人隐私。在商业领域,欧盟有保护消费者权益的传统,并在反垄断领域对大公司多有忌惮。长期来看,欧盟在该问题的立场可能不会软化。
欧盟司法专员雷恩代尔(Didier Reynders)上周在欧盟议会表示,在该问题上,不会有立竿见影的解决办法。
欧盟委员会表示,已经和美国官员开始谈判,希望建立一种符合欧洲法院要求的新方式,并准备更新标准合同条款。(文章来源:第一财经资讯,作者:康讯。)