上周,欧洲最高法院驳回了《隐私盾》(Privacy Shield)协议,该协议管理美国和欧洲之间的数据传输,涉及《欧盟一般数据保护条例》(GDPR)的合规要求。这一突然中止给参与该计划的5300多家美国公司带来了严重的问题,这一决定的影响可能会扩展到全球的美国商业伙伴。
欧美数据传输受阻
虽然该决定的条款特别适用于欧盟-美国的数据传输,但它也限制了通过美国公司与其他国家共享欧洲公民数据。正如Alston & Bird隐私与数据安全事务所高级律师Peter Swire解释的那样:“……法院现在要求每个国家数据保护机构‘暂停或禁止将个人数据转移到第三国’,如美国或中国。”
成立于2016年的Privacy Shield使欧盟和美国的公司能够出于商业目的来回移动数据,而法律上的摩擦却相对较小。虽然Privacy Shield被取消了,但支撑国际公司之间这些关系的现有标准合同条款( Standard Contractual Clauses,SCC)的规定仍然有效。目前,欧盟和美国的公司似乎能够在SCC下传输数据,但SCC必须遵守GDPR的所有条款。一些公司(如微软)已经发布声明,表明他们相信他们现有的SCC足以遵守新的条款。
Privacy Shield的失效并不是大多数法律观察家所期望的结果。这一裁决让某些美国公司陷入混乱,它们正争相寻找数据传输的替代方式。这些替代方法的麻烦在于,它们往往需要经过第三国,而这些第三方国家很少符合欧洲的隐私标准。
卢森堡欧洲法院(Eu