SCOTT IKEDA 談 Schrems II 數據隱私保護的裁決

近期歐盟-美國隱私保護框架無效的背后的歐洲數據隱私組織，展示了新發現的力量。Noyb的原告兼董事長Max Schrems已指示其組織針對通過Google Analytics（分析）和/或Facebook Connect集成與美國進行數據傳輸的主要企業提起100多項隱私投訴。

Noyb似乎專注于主要發行商，ISP，電子商務網站和銀行，但也對幾所大學提出了投訴。Schrems II決定要求每家公司的相關國家數據保護部門對這些投訴進行調查，但是愛爾蘭等技術中心的積壓案件意味著可能不會立即采取行動。

歐盟和美國的數據傳輸因意外裁決而受阻

Schrems II關于國際數據傳輸的裁決令大多數觀察家感到驚訝，因為它從根本上削弱了公司向美國發送歐盟居民個人數據的能力。

中心問題是法院決定支持原告的觀點，即泄露的信息揭示了美國政府對私人公司的監視范圍（特別是2013年Edward Snowden泄漏的材料）意味著歐盟居民的隱私受到侵犯只需通過跨美國邊界發送數據即可。先前的“隱私保護盾”協議已采取了一些措施來解決這一問題，包括形成單獨的標準合同條款（SCC）來闡明數據保護條款，并任命駐美國的聯絡員來解決歐盟公民的隱私問題。Schrems II決定規定必須對SCC進行逐一審查，

許多公司已經停止運營以遵守新規則，但是noyb專注于繼續通過Facebook和Google服務進行的受保護數據傳輸。隱私權投訴稱，目標市場營銷工具Google Analytics（分析）和多平臺身份驗證服務Facebook Connect在國際范圍內傳遞受保護的信息，這違反了法院的裁決。

隱私權投訴中包括Airbnb的愛爾蘭部門，德國天空電視臺（Sky Deutschland），Tele2，Takeaway.com和Fastweb。

Google和Facebook都對隱私權投訴做出了回應，表示他們要么仍在遵守以前的Privacy Shield條款下安排的SCC，要么正在嘗試安排符合當前條款的新SCC。Schrems II裁定并未禁止管理數據傳輸的現有SCC，但確實要求任何擁有這些SCC的公司將其提交給相關的DPA進行審核，以防合規性問題。

隱私權投訴和處理問題

在這一點上，這些隱私權投訴中的許多投訴將成為瓶頸，并可能在相當長的時間內陷入困境。

先前類似的Schrems案也推翻了Privacy Shield的前身（安全港），之后是歐盟委員會授予的數據傳輸寬限期。幾個月的時間使公司有時間解決合規性要求并達成新協議。目前的裁定沒有規定此期限，并且使公司爭先恐后地尋求解決方案，并為DPA創造了大量新工作。

DPC中最受困擾的也許是愛爾蘭，而歐盟的大部分技術產業都總部在愛爾蘭。在Schrems II案出人意料之前，該國的監督機構已經獲得了案件和調查的支持，以至于Noyb 在7月提出了另外的投訴，稱審查過程過于緩慢。近年來，一些重大案件（例如針對Facebook和WhatsApp的裁決）僅在最初階段就取得了進展，估計還需要幾年的時間才能解決。

美國商務部和歐盟委員會最近宣布，他們正在共同努力達成一項新協議，以取代Privacy Shield。那里的困難在于，只要歐洲最高法院認為美國目前的政府監視情況基本上無所不在，施雷姆斯或其他政黨的又一次挑戰是有可能最終成功的。由于缺乏其他可行的選擇，目前的努力可能是一種拖延的策略，假設對新的數據傳輸協議的任何新法律挑戰都將需要花費數年的時間來裁定（就像之前的兩個協議一樣），而數據在此期間自由流動。對美國監視法的重大修訂似乎是解決該問題的唯一肯定方法，但目前尚無定論。

鑒于Schrems裁決將這些數據傳輸視為違反了通用數據保護條例（GDPR），因此隱私投訴的潛在后果是相同的精細結構，該結構允許公司每年全球營業額的多達4％被采用取決于違規的數量和嚴重性。美國公司還可能對與個人數據傳輸相關的損失承擔責任。Noyb已發布有關將引發該組織隱私投訴的指南。