3

施雷姆斯的麻烦

巴黎—2015年10月,28岁的奥地利隐私维权活动家、维也纳大学研究生马克斯·施雷姆斯(Max Schrems)提起的诉讼给所谓的安全港(Safe Harbor)协议画上了句号。安全港协议约束美国企业遵守欧盟隐私法。欧洲法院(ECJ)的这一裁决给大约4,500家美国公司的数据收集、处理、传输和储存带来了法律不确定性。

这一裁决让很多欧洲人将施雷姆斯和爱德华·斯诺登(Edward Snowden)相提并论。斯诺登是一位美国情报承包商,他将关于美国全球监控计划的保密信息泄露给公众。事实上,施雷姆斯的官司的许多信息来自斯诺登的披露,其中包括美国国家安全局(NSA)一个计划的细节。美国公司被控根据该计划向NSA提供储存在公司计算机系统中的个人信息。根据ECJ的裁决,美国公司与美国情报机构之间的这一合作违反了欧盟基本权利宪章(EU Charter of Fundamental Rights)关于隐私权利和数据保护的规定。

Erdogan

Whither Turkey?

Sinan Ülgen engages the views of Carl Bildt, Dani Rodrik, Marietje Schaake, and others on the future of one of the world’s most strategically important countries in the aftermath of July’s failed coup.

ECJ释放出明确的信号:除非美国政府修改收集情报的方式,限制对个人数据的获取并采取具体问题具体分析的调查方针,否则消费者信息就不允许通过安全港框架从欧盟传输给美国。

2月2日,美国和欧洲达成新协议——隐私盾(Privacy Shield)——以满足法庭的要求,包括关于执法和国家安全官员使用得自欧洲的个人数据的“明确的限制、安全和监督机制”。此外,欧洲公民将获得就在美国的个人数据保护针对美国政府机构提出民事诉讼的权利。

隐私盾必须通过欧盟28个成员国的正式批准,此外还需要获得欧盟委员会“充分决定”(adequacy decision,可能会在4月作出)的支持。与此同时,该协议将受到第29条工作组(Article 29 Working Party,由成员国数据保护部门的代表组成)的审核。在隐私盾获得批准前,第29条工作组将要求在欧洲的美国公司使用其他工具——“标准合同条款”和“有法律约束力的公司规则”——将数据传输到美国,以避免受到欧洲国家数据保护监管机构的追查。

毫不奇怪会达成这样的协议。11月巴黎袭击发生后,大部分欧洲公民将打击伊斯兰教恐怖主义列为头等大事。政府也希望改善情报收集的效率——而自绝于美国绝不是实现这一目标的好办法。

彰显扩大情报机构能力的巨大压力的一个现象是国家政府向欧洲议会施压,要求采取允许收集航空乘客数据的立法。这一法令要求航空公司向政府提供进出欧盟机场的旅客的姓名、地址、电话号码、信用卡详细内容和旅程信息。预计该法令将在今年早些时候投票表决。

尽管形成了隐私盾协议,但施雷姆斯的官司仍有可能继续在整个欧盟引起回响。法庭判决敦促数据保护部门确保接收欧盟公民数据传输的国家遵守欧盟立法,并停止向不遵守欧盟立法的国家传输数据。

Support Project Syndicate’s mission

Project Syndicate needs your help to provide readers everywhere equal access to the ideas and debates shaping their lives.

Learn more

因此,除了对公司和美国情报收集的影响,ECJ的这一裁决还给欧盟成员国的情报机构的行为带来了问题。事实上,尽管欧盟条约规定每个成员国都需要独力负责自身国家安全,但国家情报机构使用个人数据的方法可能会遭到特别检查。此外,将该裁决的法理应用到向第三方国家(如中国、俄罗斯或印度)传输数据的情况可能引起外交事故。

欧盟监管者不可能听从施雷姆斯。施雷姆斯已经提出了多项类似于推翻了安全港隐私原则的诉讼的指控。他提出了一个激进方案,该方案可能成为在欧盟营商的条件:所有与欧洲人相关的数据,他和其他一些人指出,必须托管于在欧盟的服务器上。如果这一提案获得支持,影响可能非常深远;事实上,它可能导致禁止使用当前形式下的互联网,及其价值数千亿欧元的各种服务。