查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《互联网法律通讯》
欧盟法院判决(大法庭)
【英文标题】 Judgment of the Court (Grand Chamber)【作者】 刘煜(译)徐美玲(校)
【作者单位】 北京大学法学院中国青年政治学院【分类】 法院
【中文关键词】 词:初步裁决;个人数据;在个人数据处理过程中的个人保护;《欧盟基本权利宪章》第7条、第8条、第47条;《欧盟数据保护指令》(Directive 95/46/EC)第25条、第28条;个人数据向第三国传输;欧盟委员会2000/520号决定;将欧盟公民的个人数据传输至美国;未达到充分保护水平;效力;个人数据被传输至美国的欧盟公民提起的投诉
【期刊年份】 2016年【期号】 2
【页码】 2
【全文】法宝引证码CLI.A.1216954    
  在C 362/14号案件中,
  基于《欧盟运作条约》(TFEU)第267条,爱尔兰高等法院于2014年7月17日发出了咨询请求,欧盟法院于2014年7月25日收到该请求。
  诉讼当事人:
  原告:Maximillian Schrems
  被告:爱尔兰数据保护专员
  共同被告:爱尔兰数字版权有限公司
  判决主文
  本案中,要求欧盟法院做出初步裁决的请求涉及到对一系列问题的解释,包括对《欧盟基本权利宪章》(以下简称“《宪章》”)第7条、第8条和第47条,以及《欧洲议会和欧盟理事会1995年10月24日关于涉及数据处理的个人保护以及此类数据自由流动的的第95/46/EC号指令》[1](后被欧洲议会和欧盟理事会2003年9月29日发布的1882/2003号规则所修改)的解释,并且在实质上涉及到2000年6月26日2000/520/EC号委员会决定的效力问题,该决定认定美国商务部发布的安全港隐私保护原则及其常见问题解答对被跨境传输的个人数据提供了充分保护水平。
  该等请求的提出,是基于Schrems先生和爱尔兰数据保护专员(以下简称“专员”)之间的一起诉讼。原告Schrems先生起诉爱尔兰数据保护专员,要求撤销其对原告投诉不予调查的决定。原告投诉的具体内容是爱尔兰脸书有限公司(以下简称“Fa?book爱尔兰”)将其用户的个人数据传输至美国,并且在美国的服务器进行进一步处理。
  1.背景法律
  欧盟数据保护指令(Directive 95/46)[2]
  95/46号指令序文第2、10、56、57、60、62、63段如下:
  “(2)数据处理制度是服务于人类的;无论是自然人的国际还是住所,必须尊重他们的基本权利和自由,特别是隐私权,并促进提高个人福利;
  ……
  (10)有关个人数据处理的国内法的目标是保护基本权利和自由,特别是《保护人权和基本自由欧洲公约》[3]第8条以及共同体法律的基本原则所确认的隐私权,考虑到这个理由,对各成员国法律的协调不得对已经提供的保护水平有任何降低;相反,应当确保在共同体内的高水平保护;
  ……
  (56)个人数据的跨境流动是扩大国际贸易所必需的;根据本指令在共同体内所进行对个人的保护,不能阻碍达到充分保护标准的向第三国的个人数据转移;第三国所提供的保护水平是否充分,必须根据与单次传输操作或一系列传输操作有关的所有情况来判定;
  (57)另一方面,必须禁止个人数据向未确保充分保护水平的第三国进行传输;
  ……
  (60)无论如何,只有在完全遵守成员国依照本指令(特别是本指令第8条)所釆取的有关规定时,向第三国的数据转移方为有效;
  ……
  (62)在成员国内部建立完全独立行使职能的监管机构,是在个人数据处理过程中对个人进行保护所不可或缺的部分;
  (63)这种机构必须采取必要手段以履行职责,包括调查权和介入权(特别是在个人投诉时),以及参与法律诉讼的权力;……”
  95/46号指令第1、2、25、26、28、31条规定如下:
  “第1条本指令之目标
  1.与本指令相一致,成员国应当保护自然人的基本权利和自由,特别是他们与个人数据处理相关的隐私权。
  ……
  第2条定义为本指令之目的:
  (a)“个人数据”是指与身份已被识别或身份可被识别的自然人(即“数据主体”)相关的任何信息;身份可被识别的人是指其身份可以直接或间接地被识别,特别是通过身份证号码,或者一个或多个指向其身体、生理、精神、经济、文化或社会身份的因素。
  (b)“个人数据的处理”(简称“处理”)是指对个人数据所进行的任何操作或一系列操作,无论这种操作是否是自动化的,如收集、记录、组织、存储、改变或修改、检索、查询、使用、通过传播、分发或其他使个人数据可被他人获取的方式披露、排列或组合、封锁、删除或销毁;
  ……
  (d)“数据控制者”是指单独或与他人共同决定个人数据处理目的与方式的自然人、法人、公共机构、代理机构或其他机构;如果前述个人数据处理的目的和手段是由各国或共同体法律或规定所决定的,则数据控制者或确定数据控制者的具体标准可以由国内法或共同体法律来指定;
  ……
  第25条原则
  1.成员国应当规定,只有在不影响遵守依照本指令其他规定通过的国内规定、第三国亦确保提供充分保护水平时,正在进行处理或在转移后将被处理的个人数据才能向第三国转移。
  2.第三国所提供的保护水平的充分性,应当根据与单次数据转移操作或一系列数据转移操作相关的所有情况来进行评定;对于数据的性质、将进行的单次或多次数据转移操作的目的和持续时间、数据来源国和最终目的地国、有关第三国的现行有效的一般法和单行法规定,以及该第三国的行业规则和安全措施等情况,都应当给予特别考虑。
  3.成员国和委员会[4]
  应当相互告知他们认为第三国未能确保提供第2款所要求的充分保护水平的情况。
  4.如果委员会根据第31条第2款所规定的程序查明第三国未能确保达到本条第2款所要求的充分保护水平,成员国应当釆取必要措施以防任何相同类型的数据向该第三国的转移。
  5.委员会在适当的时候应当为了补救依照第4款规定所发现的情况所导致的问题而介入谈判。
  6.依照第31条第2款所规定的程序,委员会可以根据某第三国的国内法或其作出的国际承诺(特别是根据本条第5款规定的谈判所确定的),来认定该第三国能够确保对公民私人生活及其基本自由和权利的保护,达到了本条第2款所要求的充分保护水平。
  成员国应当采取必要措施来遵守委员会的决定。
  ……
  第26条例外情形
  1.除了成员国对本指令第25条作了例外规定以及国内法对特殊情形作了保留,在下列情况下,成员国应当规定可以向未能确保提供本指令第25条第2款所要求的充分保护水平的第三国进行一次或一系列个人数据转移:
  (a)数据主体对于即将进行的数据转移明确表示同意;或
  (b)数据转移为履行数据主体和数据控制者之间的合同或者执行应数据主体的要求而釆取先合同措施所;或
  (c)数据转移是为了履行数据控制者和第三方之间为数据主体利益所签订的合同;或
  (d)数据转移是基于重大公共利益或法律上的要求,或者法律主张的确立、行使或抗辩之需要;或
  (e)数据转移为保护数据主体的重大利益所必需;或
  (f)数据转移根据法律和规章的意图提供信息以及向一般大众或能证明具有合法利益关系的任何人开放查询的记录而实施,只要在特定情形下满足法律所规定的查询条件即可进行转移。
  2.在不违背第1款的情况下,成员国可以授权将个人数据向未能确保提供第25条第2款所要求的充分保护水平的第三国进行一次或一系列传输,只要数据控制者在保护个人隐私、基本权利和自由以及其他相应权利方面提供了足够的保障措施,这些保障措施可能特别是基于一些适当的合同条款所产生的。
  3.成员国应当将其依照第2款所进行的授权通知委员会和其他成员国。
  如果某成员国或委员会以保护个人隐私、基本权利和自由的正当理由明确表示反对,委员会应当依照第31条第2款所规定的程序而采取适当的措施。
  成员国应当采取必要措施以遵守委员会的决定。
  ……
  第28条监管机构
  1.各成员国应当提供至少一个公共机构负责监督成员国依照本指令采用的有关规定在其境内的适用。
  这些机构完全独立地行使被授予的职权。
  2.各成员国应当规定在起草与个人数据处理中保护个人权利和自由有关的行政法规或规章时,应当向监管机构咨询。
  3.各监管机构应被特别赋予:
  ——调查权,例如获取作为处理操作对象的数据的权力,和收集为履行其监管职责所必需的所有信息的权力;
  ——有效干预权,例如依照第20条的规定在数据处理操作实施之前陈述意见的权力,确保以适当方式公开这些意见的权力,命令封锁、删除或者毁灭数据的权力,对数据处理施加临时性或决定性禁止的权力,警告或迅捷数据控制者的权力,或者将问题提交国家议会或其他政治机关的权力;
  ——在出现违反依照本指令所釆用的国内措施时参与诉讼的权力,或者将该等违反事实提请司法机关注意的权力。
  当事人不服监管机构作出的决定时,可以向法院提起诉讼。
  4.各监管机构应当听取任何人或代表该人的组织提出的、涉及个人数据处理中与保护其权利和自由相关的主张,并且将主张的结果告知该主张者。
  各监管机构应当特别听取在适用依照第13条所采取的国内规定时任何人提出的审查数据处理合法性的主张。一旦审查开始,就应通知该主张者。
  ……
  6.无论国内法在数据处理上如何规定,各监管机构都应当在成员国境内行使依照第3款所赋予的权力。
  第31条
  ……
  2.当援用本条时,应当适用1999/468/EC号决议[5]第4条、第7条,同时必需考虑到该决议第8条。
  ……”
  欧盟委员会决定Decision 2000/520[6]
  根据《欧洲数据保护指令》(95/46/EC)第25条第6款,委员会通过了2000/520号决定。
  序文第2、5、8段如下:
  “(2)委员会可以裁决第三国确保了充分保护水平,在这种情况下个人数据可以不经必要的额外保证即可从成员国转移个人数据。
  ……
  (5)只有当机构完全遵守美国政府于2000年6月21日颁布的《关于保护从欧盟成员国传输至美国的个人数据的安全港隐私保护原则》[7]以及指导该原则执行的常见问题解答[8],本决定才承认其从共同体向美国传输个人数据过程中保护水平的充分性。另外,这些机构必需公开其隐私政策,并且受《美国联邦贸易委员会法》第5条禁止不公平和欺诈性商业行为的规定之约束,或者说另一法定机构(即FTC)将会有效确保遵守安全港原则及其常见问题解答。
  ……
  (8)基于透明度的考虑,同时也为了保证成员国内主管机构确保个人数据处理过程中对个人保护的能力,就必须在本决定中明确在哪些例外情况下特定的数据流动是合理的,而不论关于充分保护水平的调查结果如何。”
  2000/520号决定第1至4条规定如下:
  “第1条
  1.为了实现欧盟数据保护指令95/46/EC第25条第2款之目的,美国企业遵循了载于本决定附录一的安全港隐私原则(以下简称“原则”),以及美国商务部于2000年6月21日颁布的、载于本决定附录二的、确保该原则执行的常见问题解答,则其从事的受该指令管辖的将个人数据从共同体传输到美国的活动,都被认为其确保了充分保护水平。其中涉及到美国商务部要求的以下文件:
  (a)附录三所载的安全港执行概要;
  (b)附录四所载的违反美国法律关于隐私和明示许可规定的损害赔偿备忘录;
  (c)附录五所载的联邦贸易委员会颁发的许可证;
  (d)附录六所载的美国交通部办法的许可证。
  2.每一次数据跨境转移都必须符合以下条件:
  (a)接收个人数据的企业应当明确且公开地承诺其将根据常见问题解答的规定遵守“安全港隐私保护原则”;以及
  (b)该企业应受制于经欧盟委员会在本决定附录七所认可的美国政府机构(联邦贸易委员会或交通部)的法定管辖,在出现违反常见问题解答和“安全港隐私原则”的情形时,该等政府机构有权对有关不当或欺诈性使用个人数据的投诉进行调查并寻求救济措施,以及向个人提供救济手段,而无论该等个人的居住国或其国籍如何。
  3.只要从事跨境个人数据传输业务的美国企业向美国商务部提交书面通知,公开承诺其自律遵循“安全港隐私原则”和常见问题解答的要求,明确其承担第2条a款之义务,以及第2条b款所提及的受管辖的美国政府机构的名称,即被视为该企业已经满足了上述第2款所规定的前提条件。
  第2条
  该项决定仅仅关注了美国在安全港机制以及常见问题解答下所提供的保护的充分性,是否达到了95/46号指令第25条第1款的要求,而不影响适用于欧盟成员国内个人数据处理的国内规定,特别是前述指令第4条。
  第3条
  1.为实现个人数据处理过程中对个人的保护,在不影响自身为保证95/46号指令第25条之外的国内规定得以遵守而采取措施之职权时,各成员国内的主管机关在下列情况下可以行使其现有职权,暂停数据流向自我认证其遵守安全港原则及其常见问题解答的第三国:
  (a)2000/46号决定附录七所示的美国政府机构,或者该决定附录一的实施原则第(a)项所要求的独立救济机制,认定企业违反了安全港原则及其常见问题解答;或
  (b)安全港原则极有可能会被违反;有合理的根据相信前述实施机制并没有,或者将来并不会采取充分而及时的措施以解决该情形;而仍持续进行的数据转移严重伤害数据主体的风险迫在眉睫;在此情形下,成员国内的主管机构作出了合理的努力,向企业提示该情形并提供一次作出反应的机会。
  一旦该等企业重新保证了其遵守安全港原则及其常见问题解答,并且通知共同体内相关的主管机构,上述中止就会停止,其跨境数据传输可以继续进行。
  2.当成员国依据第1款采取措施后,应当毫不迟延地通知委员会。
  3.成员国和委员会应当互相通知某些美国企业未能遵守安全港原则及其常见问题解答之情形。
  4.如果根据前述第1、2、3款所收集的信息表明,负有遵守安全港原则及其常见问题解答之责任的任何实体未能有效地完全履行其义务,委员会应该将这一情形通知美国商务部,并且必要时依照95/46号指令第31条所规定的程序提出拟采取的措施,该等措施可能是撤销或中止现行2000/520号决定对该等实体的适用,或者是限制该决定对其适用的范围。
  第4条
  1.鉴于本决定贯彻实施的经验会越来越丰富,以及/或者美国立法提高了保护的要求,而超过了安全港原则及其常见问题解答所确立的保护水平,本决定保留不时修改的权利。
  在向成员国发出通知的三年后,委员会无论如何都应该基于有价值的信息来评估本决定目前的执行情况,并且向依95/46号指令第31条建立的专门委员会汇报所有相关的调查结果,包括影响评估本决定第1条规定的文件是否提供95/46号指令第25条所要求的充分保护,以及本决定目前是否以歧视性方式实施的因素。
  2.在必要时,委员会依照95/46号指令第31条所规定的程序提出拟釆取的措施。”
  2000/520号决定附录一如下:
  “美国商务部2000年7月21日发布的安全港隐私保护原则
  ……商务部根据其促进、提升和发展国际贸易的法定权力,公布了本文件以及常见问题解答(即“原则”)。与企业界和普通公众协商后所提出的这些原则,旨在推动美国和欧盟之间的商业贸易往来。这些原则仅适用于从欧盟接受个人数据的美国机构,以使其具备安全港资格,并获得数据保护“充分性”的推定。这些原则仅为满足这一特定目的,因此,若适用于其他目的将被认为是不适当的。......
  美国机构遵循安全港原则的决定完全处于自愿,它们可以通过不同的方式使其符合安全港原则。......
  这些原则的遵守可能受到以下限制:(a)满足国家安全、公共利益或法律执行要求的必要限度;(b)如果制定法、政府规章或判例法导致了义务的冲突或给予了明确的授权,则美国企业可以在限于该等法定义务或明确许可的范围内,对安全港机制的规定不予遵守,但是以该等授权所涉优先合法利益为必要限度;或
  (c)如果数据保护指令和成员国国内法的效力允许例外或免除,只要这些例外或免除可以在相似的情形下适用。为符合提升隐私保护的目标,机构应努力全面、透明地执行这些原则,包括在其隐私政策中指明通常适用上述(b)项所允许的例外。基于同样的原因,如果根据安全港原则和/或美国法律,美国的机构拥有选择的余地时,则应尽可能选择更高的保护程度。
  ……”
  2000/520号决定附录二如下:
  “常见问题解答(FAQS)
  ……
  问题6——自我认证
  问:机构如何自我认证其遵守了安全港原则?
  答:从机构根据以下规定的指南向美国商务部(或其委托机构)自我认证其遵守安全港原则的当天起,即可享受安全港的利益。
  为实施安全港的自我认证,机构应向商务部(或其委托机构)提交一份由公司主管代表加入安全港的组织签署的信函,其中至少应包括以下信息:
  1.机构的名称、通信地址、电子邮箱、电话和传真号;
  2.对从欧盟接受个人信息的机构活动的描述;
  3.对机构与此类个人信息有关的隐私政策的描述,包括;(a)公众可在何处查阅该隐私政策;(b)其执行的有效日期;(c)负责处理投诉、获取申请和其他安全港问题的联络办公室;(d)有权审理针对机构可能的不公平或欺诈活动提出的投诉,以及审理违反隐私保护法律或规章行为的专门法定机构(其被列于安全港原则的附件中);(e)机构作为成员的隐私计划的名称;(f)验证方法(例如内部验证或第三方验证);(g)调查未决投诉的独立救济机制。
  如果机构希望安全感利益能够涵盖从欧盟转移用于雇佣关系啊的人力资源信息,则之遥存在一个有权就人力资源信息向机构提出的权力主张进行审理的法定机构即可;该法定机构应列于安全港原则的附件中。……
  商务部(或其委托机构)讲保存所有提交该信函的组织的名单,以确保安全港利益的有效性,并根据每年提交的信函和根据FAQ11收到的通知更新该名单。
  ……
  问题11——争议解决和执行
  问:执行原则的争议解决要求应如何实施,机构持续不遵守这些原则将被如何处理?
  执行原则规定了安全港原则执行的要求。本常见问题解答关于验证的内容(见FAQ7)对如何满足该原则(b)项的要求作出了规定。FAQ11处理(a)和(c)项,这两项都要求独立的救济机制。这些机制可以釆取不同的形式,但是必须满足执行原则的要求。机构可以通过采取以下措施来满足该要求:(1)遵守私人部门制定的隐私计划。该计划将安全港原则纳入其规则之中,并且釆取执行原则所规定类型的有效执行机制;(2)遵守提供个人投诉处理和争议的解决的法定监管机构;(3)承诺与欧盟内的数据保护机构或者其授权的代表机构合作。这些列举是阐明性的而非限制性的。私人机构也可以采取其他执行方式,只要其满足执行原则和常见问题解答的要求。须特别注意的是,执行原则的要求是对安全港原则导言第三段所规定要求的补充,即根据《联邦贸易委员会法》第5条或类似法规,自律必须是可执行的。
  救济机制
  应鼓励消费者在寻求独立救济机制之前先向相关的机构投诉。
  ……
  联邦贸易委员会的行动
  联邦贸易委员会已经承诺优先审查隐私自律组织(例如BBBOnline和TRUSTe)和欧盟成员国指称的唯饭安全港原则的行为,确定是否违反了《联邦贸易委员会法》第5条禁止商业不公平或欺诈行为或活动的规定。
  ……”
  2000/520号决定附录四如下:
  “美国法中侵犯隐私的损害赔偿,法律授权,兼并和收购
  应欧盟委员会的要求,对美国法中的下列规则进行厘清:(a)隐私权被侵犯的损害赔偿主张,(b)美国法中与安全港原则不同的关于个人信息使用的明确授权,以及(c)收购和兼并对在安全港原则下的义务所产生的效果。
  B.法律明确授权
  安全港原则规定了一个例外,即如果制定法、政府规章或判例法导致了“义务的冲突或给予了明确的授权,则美国企业可以在限于该等法定义务或明确许可的范围内,对安全港机制的规定不予遵守,但是以该等授权所涉优先合法利益为必要限度”。很显然,当美国法律制定了冲突性义务时,不论是否享有安全港利益的美国企业都必须遵守美国法。至于明确授权问题,安全港原则试图跨越美国和欧盟两种机制之间的差异而架起隐私保护的桥梁,我们将这种差异的原因归于我们所选的立法者的立法特权。在强调对安全港原则的严格遵守之下又规定这一有限的例外,是为了使各方合法利益得到折衷平衡。
  上述例外只限于存在明确授权的情形。因此,一个最基本的问题是,相关制定法、政府规章或法院判决必须以肯定的方式对享有安全港利益的企业的特定行为进行授权......换句话说,若法无明文规定,这种例外便不得适用。另外,如果该等明确授权与对安全港原则的遵守相冲突,这种例外仍然适用,而可无视安全港原则的要求。但即便如此,该例外的适用仍“以该等授权所涉优先合法利益为必要限度”。如果法律简单地授权某公司向政府机关提供个人信息,此时不适用该等例外。相反,如果法律非常具体地授权该公司不经个人同意而向政府机构提供个人信息,这里便包含了与安全港原则相冲突的“明确授权”。最终,积极要求提供通知、同意之外的特殊例外条款,可能会落入上述例外的适用范围(因为其效果可视为等同于可不经通知一同意程序的一项具体授权)。例如,一项制定法规则授予医生可不经患者事先同意而向卫生官员提供医疗记录的权力,这就构成了通知、选择原则的一项例外。该授权并不允许医生向卫生保健组织或商业药物研究实验室提供同样的医疗记录,因为这将超越法律授权的目的,因而也会超越法定例外的范围......这里所讨论的法定权力,是对与个人信息有关的特定事项的单独授权,但正如上述例子一样,该等授权容易成为禁止个人信息收集、适用或公开的法律的例外。
  ……”
  欧盟委员会通讯(2013)846最终版[9]
  2013年11月27日,委员会通过了一项致欧盟议会和欧盟理事会的通讯,这项通讯名为《重构欧美数据跨境流动之信任》。与该通讯同日发布的,还有欧美数据保护工作组的欧盟联席主席出具的调查报告。该报告第1点指出,涉及大规模的个人数据收集和处理的监测方案出现后,工作组便和美国共同起草了该报告。该报告对美国法律进行了细致分析,尤其是美国官方机构对个人数据进行监测、收集和处理的法律基础。
  在通讯(2013)846第1点中,委员会指出“2000/520号决定强调商业交流”,还指出“该决定为将个人数据从欧盟传输至遵守安全港隐私保护原则的美国企业提供了法律基础”。另外,委员会在第1点中还强调,特别是数字经济的发展,个人数据流动越来越密切,并真正导致数据处理活动在数量、质量、多样性和类型上呈指数级增长。
  在该通讯第2点中,委员会注意到“对将欧盟公民的个人数据传输至安全港机制下的美国企业过程中的保护水平的关注日益上升”,以及“这种机制的自愿性和宣示性特征削弱了自身的透明度和执行力”。
  第2点进一步指出,“美国政府机构能够获取从欧盟成员国传输至美国的个人数据,而以与在欧盟收集理由和被传输至美国的原始目的不符的方式对这些数据进行处理大部分经认证加入安全港机制的美国互联网企业似乎更加关注监管方案”。
  在通讯(2013)846第3.2中,委员会列举了2000/520号决定在适用中的大量不足。首先,一些经过认证的美国公司并未遵循2000/520号决定第1条第1款(即“安全港原则”),要想改变这一点,就要做出与“透明度和执行力的结构性缺陷,大量安全港原则以及国家安全例外”有关的决定。另一方面,安全港是从欧盟到美国企业的欧盟公民的个人数据传输的通道,然而在美国情报收集机制下,美国企业被要求将数据交给美国情报机构。
  委员会在第3.2中总结道:“所指出的不足,安全港原则现有的执行状况不能再持续下去,……但是,撤销安全港原则又会反过来影响到欧盟和美国的成员公司的利益。”最后,委员会还表明其将与美国机构一道讨论上述不足。
  欧盟委员会通讯(2013)847最终版[10]
  与通讯(2013)846发布同日,即2013年11月27日,委员会通过了一项对欧盟议会和理事会的通讯,这项通讯名为《从欧盟公民及居民企业的视角看安全港机制的运行》。该通讯第1点指出,该通讯的基础是欧美工作组所收集的信息以及之后委员会分别于2002年和2004年发布的两份评估报告。
  通讯(2013)847第1点解释了2000/520号决定运作的基础“在于公司的承诺及自我认证”,并且“签署这些协议是出于自愿的,但是一旦签署即受安全港规则的约束”。
  通讯(2013)847第2.2显示,截止2013年9月26日,已有3246家公司
  经过认证而加入安全港机制,其中大部分属于工业和服务业。这些公司主要服务于欧盟内部市场,特别是互联网领域,并且其中有一部分是在美国设立了分支机构的欧盟公司。其中有一些公司为了某些人力资源方面的目的,将欧洲的雇员信息传输至美国进行处理。
  委员会在第2.2中说道:"在美国方面透明度和执行力的差距导致了欧洲数据保护机构以及使用安全港机制的公司的责任。”
  特别地,通讯(2013)847第3至5条及第8条显示,在实践中有大量认证企业没有遵守或没有完全遵守安全港原则。
  另外,委员会在通讯(2013)847第7点中说道:"参与'棱镜计划'的所有公司似乎都是安全港计划的认证公司,而这些公司使得美国机构可以接触到在美国存储和处理的数据”,“这使安全港机制成为美国情报机构收集原本在欧盟处理的个人数据的渠道”。对此,委员会在这份通讯第7.1中指出,“在美国法下有着大量的法律基础允许对美国企业所存储或处理的个人数据进行大规模的收集和处理”,“这种收集和处理活动的规模之大,可能导致基于安全港机制传输而来的数据被美国机构获取并得到进一步处理,这超过了2000/520号决定规定的例外中保护国家安全的必要和适当的范畴”。
  通讯(2013)847第7.2的标题是“责任限制与救济可能性”,其中委员会指出“美国法所提供的安全保障措施对于大部分美国公民或合法居民都是可用的”,“在美国的监控体系下,没有给欧盟的数据主体提供任何行政的或司法的救济途径,以使得他们也可以获取、修改或删除与他们有关的数据”。
  根据通讯(2013)847第8点,已认证公司包括“在欧洲拥有数亿用户”并且将个人数据传输到美国进行处理的“互联网公司,例如谷歌,脸书,微软,苹果,雅虎”。
  委员会在第8点中总结道:“情报机构对于安全港机制认证企业传输至美国的数据进行大规模的获取,为数据被传输至美国的欧洲人的数据受持续保护的权利带来格外严重的侵害。”
  2.诉讼中的争议以及初步裁决需解决的问题
  拥有奥地利国籍且居住在奥地利的Schrems先生,自2008年开始成为互联网社交网站Facebook (以下简称“Facebook”)的用户。
  在欧盟境内居住的、想要使用Fa?book服务的任何人都需要在注册时和Facebook在爱尔兰的子公司(即Facebook爱尔兰)签订服务合同,Facebook本身是一家建立于美国的公司。Fa?book的欧盟个人用户的部分或全部个人数据将会被传输至Fa?book在美国的服务器中,并在那里得到进一步的处理。
  在2013年6月25日,Schrems先生向爱尔兰的个人数据保护专员投诉Face

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1216954      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多