第三次希望成功的跨大西洋数据传输框架？马克斯·施瑞姆斯（Max Schrems）不这么认为

发布于 2023 年 7 月 28 日，作者

欧洲委员会刚刚采纳了一项新的
“”
决策，以保持个人数据在欧盟和美国之间的流通。这一决策的风险极高：根据欧洲委员会的说法，数据流支持著每年近
。根据欧盟的一般数据保护条例
()，个人数据不得从欧盟转移到其他国家，除非该国的隐私保护措施与
GDPR 提供的基本相当。没有适当的框架，这些数据流将被视为非法，任何进行数据传输的公司都将面临法律制裁的风险。

制定一个能在欧盟和美国之间提供充分隐私保护的数据传输框架证明极其困难。，之前两次试图规范跨大西洋的数据流（主要是从欧盟到美国）均被欧洲联盟最高法院——欧洲法院
(CJEU) 挡下。2015 年的

框架被废除，2020 年的 也随之而去。

根本问题在于 2013 年爱德华·史诺登 (Edward Snowden) 揭露的
。美国希望出于国家安全目的继续进行监控，但 GDPR表示欧盟的个人数据必须受到保护，以免遭到美国的（大多数）监控。新的数据隐私框架试图解决这两者之间的矛盾。其核心是一项由拜登总统签署的
，旨在“增强对美国信号情报活动的保障”。最近，国家情报总监办公室发布了
，以实施行政命令中规定的隐私和公民自由保障措施。

当这项行政命令于去年发布时，像 BEUC 这样的组织（由来自 32 个欧洲国家的 46个独立消费者组织组成的联合组织）指出，美国和欧盟在隐私与数据保护水平上存在根本差异，且这些问题在附加保障下仍然
。

之后，两个重要的欧盟机构发表了他们的看法。欧洲数据保护委员会 () 监督 GDPR 的实施，并
，提出对新框架在“数据主体的某些权利、后续转移、豁免范围、临时大规模数据收集及救济机制的实际运作”等方面的疑虑。欧洲议会对其可行性持更加怀疑的态度。在
，欧洲议会认为：

欧盟-美国数据隐私框架未能在保护水平上建立基本的相当性；呼吁 [欧盟] 委员会继续与美方 counterparts
进行谈判，以期建立一个确保此等相当性并提供欧盟数据保护法律及 CJEU 解释的宪章所需的充分保护机制；呼吁委员会在完全实施本决议和 EDPB
意见中的所有建议之前，不采纳适当性认定；

他们担心目前形式的数据隐私框架可能会在 CJEU提起挑战，这将导致企业面临更多不确定性，而他们必须依赖它来确保其跨大西洋转移是被允许的。这一点似乎不可避免，因为打倒前两个框架的人——
——已明言这正是他
：

我们已经为挑战准备了多种选择，虽然我们已经厌倦了这种法律乒乓
[在之前的成功挑战之后]。我们目前预计这将在明年年初再次回到法院。法院甚至可能在审查实质内容时暂时中止新协议。

与 BEUC、EDPB 和欧洲议会一样，施瑞姆斯认为新的 EU-US 数据隐私框架缺乏对欧洲公民所需的隐私保护。在
，他详细说明了他认为不满意的原因，施瑞姆斯表示：

总体而言，新“跨大西洋数据隐私框架”是 2016 年隐私盾的翻版，而隐私盾又是 2000
年安全港的抄袭。考虑到这种方法之前已经失败两次，因此无法找到转变的法律依据——拥有协议的唯一逻辑是政治。

施瑞姆斯及其组织发起的众多成功的
意味著他很可能会继续提出这一新挑战。此外，他在推翻过去的框架及在 CJEU 赢得其他重要隐私战斗方面的卓越记录——这些话题多次在 PIA博客上讨论——使得人们应该认真对待他对最新做法也将失败的看法。

这一第三次失败的后果将是深远的。这意味著许多将个人 EU数据转移至大西洋彼岸的公司需要寻找其他方式，例如将所有相关个人数据储存在欧盟内部。各公司一直抗拒这样做，但他们很快可能别无选择。关于什么构成美国适当的隐私保护的争论已经持续了近十年，但尚未结束。在面对一万亿欧元的数据流时，这对美国和欧盟的企业意义重大。

特色图片由 创建。