新闻分析:客户数据能合法地从欧洲传输到美国吗?欧盟最高法院的一项裁定将跨国公司置于法务危机之中。
2013年6月,奥地利居民马克思·施雷姆斯请求爱尔兰数据保护专员阻止脸书将他的数据传输到美国。因为脸书的所有欧洲用户都必须同意将他们的数据传输到大洋彼岸进行处理,他们便失去了欧洲数据保护条令的保护,而施雷姆斯担心他的个人数据在美国法律之下将不受保护。
尽管名为《安全港协议》的法律框架要求美国公司同意保护欧洲公民的数据,前美国国家安全局承包商爱德华·斯诺登泄露的文件表明,那些公司还将数据经由各种程序自动提供给了反恐机构。
施雷姆斯的案子最初是被驳回的。然而,在10月6号震动了各大跨国公司的一项裁定里,欧盟最高法律机构裁决《安全港协议》无效,重新赋予欧洲各国数据保护专员受理案件的权力。
该裁定使美国公司陷入了法律危机。他们将不再确信他们的数据收集行为不会受到欧洲公民的挑战,从欧盟传输数据的合法性也将成为法律灰色地带。
“这让需要在美国和欧盟各国营运的各大跨国公司头痛万分。”国际隐私专业人士协会(IAPP)研究副主席奥默·特尼称。虽然脸书才是施雷姆斯申诉的公司,任何通过互联网传输数据的公司也处于同样的危险境地。“有可能是任一家,不仅仅是脸书。他可以针对任何一家在两边都营运的公司提起诉讼。”
该案件是美国国家安全局反恐和情报收集方式的最新辐射产物。根据前安全局承包商斯诺登的揭秘,该情报机构通过秘密法庭命令定期获得互联网和电信公司的客户数据,当这些数据不能满足需要,还会黑进跨国公司和互联网企业使用的网络硬件。再加上美国缺乏对公民隐私的统一保护,面对公司如何保护其他国家公民隐私的质疑时,美国常陷入无言以对的窘境。
隐私法设置门槛
欧盟在个人数据保护上有强大的法律框架。1995年通过的《数据保护条令》,更为正式的名称《Directive 95/46/EC》,禁止数据从欧盟流向保护较弱的国家,直到欧盟委员会和美国谈判达成了《安全港协议》。遵循《安全港协议》的公司可向美国商务部保证他们遵守欧洲更为严格的隐私规则。违反承诺会遭到美国联邦贸易委员会的起诉以保证贸易公平。
范式顾问律师事务所合伙人奇亚拉·波特纳说:“我们有很多行业特定或是具体到数据类型的隐私法律,并没有像欧盟那种总括性的隐私法律。”
然而,2013年11月,欧盟委员会公布了一份对美国关于欧洲公民隐私的国家安全政策的分析,指出跨国公司处理的个人数据可能被美国当局以不符合当初收集数据时遵循的欧洲法律的方式获取及进一步利用。欧盟法院的裁决引用了该分析报告内容,认为美国此举破坏了《安全港协议》框架的有效性。
虚拟化管理公司HyTrust高级副总裁弗雷德·科斯特认为,该裁决令公司企业,尤其是互联网公司和云服务提供商,处于了灰色地带。
“《安全港协议》允许对采取了足够的数据保护措施进行自我认证。随着云技术的采用和《安全港协议》的弃用,公司企业将面对所存数据在存储位置和保护措施上的苛刻要求。”
无须担心,暂时
然而,情况多半不会立即发生改变。IAPP的特尼说,严格遵守《安全港协议》的公司无须担心,至少,目前不用担心。很多业界巨头已经想出了应对策略——细分客户数据,按辖区存储。
“如果你是微软或辉瑞制药,或是财富100强公司,机会在于你已经解决了该问题。他们知道这终有一天会到来,一点不惊讶。但如果你是个小点儿的公司,那你就将面临诸多困惑了。”
其他公司不得不等待观望欧盟监管机构的下一步动作。最清晰的规程将由欧盟和美国间正在进行的第二版《安全港协议》框架谈判提供。
安全软件公司F-Secure顾问肖恩·沙利文说:“该裁决给欧盟委员会达成正在进行中的新协议施加了很大压力。”
不过,根据该裁定背后的动机,欧盟仍会让美国公司非常难受——云存储和文件同步解决方案CloudMe首席执行官丹尼尔·阿瑟森在一份声明中说。如果欧盟政府想阻止所有未经授权的个人数据获取,任何美国公司,无论他们将数据存储的美国还是欧盟,都将成为疑犯,因为他们还得遵守美国的法律。
他说道:“为保护欧盟公民隐私而宣布《安全港协议》无效,将对美国云服务产生比大多数人意识到的还要大得多的影响。美国实体,包括海外运营的分支机构,都被要求遵守美国法律,可能被命令透露其欧盟数据中心的信息——尽快摒弃这些可作为应对此情况的可行解决方案。”
最后,事态或许会演变得颇为棘手。除非公司企业有能力拒绝来自美国国家安全局或是任何其他国家的情报机构或执法部门的数据要求,否则他们将一直受制于搜查令和国家爱安全密函。F-Secure的沙利文如是说道。
NSA索要某目标的信息,脸书就给出详细资料。这依然是可能的,不管哪种安全港协议存在。
谈判结果将取决于安全是否能战胜隐私。沙利文说,各国政府可能会同意数据要求是必要的,而不去保护个人数据免受此类要求的侵害。如果权力没有被滥用,这种要求也并非不合理。
“根据脸书的透明度报告,调数据的事真的不常发生。”