歐盟安全港協議失效：美國企業或將不能跨境搜集公民數據！

虎嗅注：10月6日，歐盟法院公布了一份無效判決 ，宣布「2000/520號歐盟決定」(Safe Harbor Decision) 無效。歐盟法院認為，該決定不僅危害了尊重私生活的基本權利，而且危害了有效司法保護的基本權利，因為其沒有給個體提供獲取、修改、清除其個人數據的救濟。此外，這份無效判決對已經存在了15年之久的美歐安全港協議的效力帶來了重大挑戰。成員國數據監管機構可以因此禁止美國公司在美國收集、存儲其國民的個人數據。

本文部分內容摘編自騰訊研究院。

「2000/520號歐盟決定」

一位奧地利公民自2008年以來就在使用Facebook，他發現Facebook在愛爾蘭的分支機構將收集的他的個人數據傳輸到了Facebook在美國的服務器，因此向愛爾蘭數據保護委員會提出申訴，聲稱考慮到大規模的政府監控，美國並沒有對轉移到其國內的個人數據提供充分的保護，並要求該機構行使法定權力，禁止Facebook將他的個人數據轉移到美國。

愛爾蘭數據保護委員會認為，根據歐委會於2000年7月26日通過的「2000/520號歐盟決定」，安全港協議對個人數據提供了充分保護，於是否決了他的申訴。但是這位公民並沒有放棄，他向愛爾蘭高等法院提起了訴訟。愛爾蘭高等法院認為，監控和攔截被轉移到美國的個人數據事關公共利益，美國對個人數據並沒能夠提供充分保護。由於該案涉及到了歐委會「2000/520號歐盟決定」的效力問題，只有歐盟法院對歐盟法律的效力擁有最終發言權，所以愛爾蘭高等法院提請歐盟法院對相關法律問題做出初步裁決。

10月6日，歐盟法院宣布「2000/520號歐盟決定」無效。

安全港協議

1995年，歐盟通過《數據保護指令》，對個人數據提供了很高程度的保護。指令第25條規定，只有當第三方國家對個人數據提供充分保護(Adequate Level of Protection) 時，才允許將歐盟民眾的個人數據存儲或者傳輸到該第三方國家。這一規定實際上禁止向歐盟以外的第三方國家轉移個人數據，除非歐盟發現該第三方國家的國內法或者國際承諾可以提供充分保護。指令將這一權力賦予了歐盟委員會，由歐委會發現並決定第三方國家的國內法或者國際承諾是否可以提供充分保護。

由於美國缺乏統一的數據保護法，未能達到歐盟指令的充分保護要求，這將妨礙個人數據在美歐之間跨境轉移。為了解決這一問題，美國和歐盟於2000年達成了一個折衷的安全港協議。這就是在美國和歐盟之間的實現數據跨境流動的「美國-歐盟安全港協議」。協議達成後，歐委會通過「2000/520號歐盟決定」，確認安全港隱私原則以及附屬條款對個人數據的保護達到了歐盟指令的充分保護要求。

無效判決架空安全港協議，賦予成員國監管機構權力

「2000/520號歐盟決定」約束所有歐盟成員國，美國公司只要獲得安全港的認證，就可以在美國收集、存儲以及傳輸歐盟公民的個人數據，而該決定的無效判決，意味着安全港協議不再能夠為美國企業提供之前的種種好處，安全港協議有點被架空的意味。

歐盟法院認為歐委會無權限製成員國監管機構的權力，就該案而言，如果個體對該決定是否符合保護個體隱私、自由等基本權利產生了疑問，成員國監管機構有權做出判斷。聯繫到法國數據保護委員會與谷歌的爭執，這個判決的影響就很有意思了：谷歌認為「一個國家的數據保護機構不應該決定其他國家用戶通過搜索引擎看到的網頁內容。」但是基於歐盟法院的判決，作為歐盟成員國的監管機構，法國數據保護委員會在個案問題上，有權做出判斷。

儘管如此，該判決對美歐個人數據跨境流動的潛在影響，以及是否會使美國公司在美國收集、存儲歐盟公民的個人數據變得更加困難，還有待進一步觀察。微軟、Facebook、Airbnb等很多矽谷公司目前持觀望態度，因為除了加入安全港，這些公司往往還有別的備選方案，比如借助歐盟標準合同條款、公司內部規則或者其他承諾，來滿足歐盟指令的充分保護要求。