在欧洲法院(ECJ)大检察官Yves Bot呼吁推翻美国和欧盟之间的安全港协议(Safe Harbor)的两周后,该高等法院裁定该协议失效。这让企业争相确保海外数据传输的安全性。
自2000年以来,安全港协议主要的作用是允许美国公司传输欧洲公民的数据到美国,只要该公司符合欧盟隐私标准。
然而,去年,奥地利法学院学生Maximilian Schrems向爱尔兰数据保护专员提出申诉,声称安全港协议没有充分保护他存储在美国的Facebook数据,并且其数据受到政府监控。虽然爱尔兰数据保护专员拒绝了Schrems的诉讼,但随后他提出上诉,案件被送交欧洲法院。
两周前,Bot在意见书中写道,斯诺登揭露美国监控行为是大家应对隐私性“深切关注”的原因。
在周二做出的裁定中,ECJ同意Bot的意见,推翻了15年之久的安全港协议。
虽然该裁定不会自动终止数据传输到境外,但如果公司没有充分保护用户数据,它允许各国监管机构暂停数据传输。
这是隐私取胜,还是企业灾难?
尽管安全港协议失效被认为是隐私和监控的胜利,但这可能给企业带来潜在问题。
“这是一个大问题,因为这直接影响到所有美国大型互联网公司,”安全专家Bruce Schneier表示,“我们期望看到更多压力施加到美国国家安全局,停止其对每个人的监控。”
安全制造商Utimaco公司业务开发副总裁Jo Lintzen表示同意。
Lintzen在一份书面声明中写道:“在后斯诺登时代,安全港协议裁决将带来更好的隐私保护。”
“我非常认同该法院的裁决,”Schrems表示这是对美国监控的“重大打击”,并称这“清楚地表明,美国企业不能帮助美国间谍活动违反欧盟基本权利。”
“该裁决绘制了一条明确的界限,”Schrems表示,“它明确对人民的监控违反了我们的基本权力,该决定还强调了政府和企业不能忽视我们基本的隐私权,他们必须遵守法律,并强制执行。”
“与此同时,”Schrems补充说道,“这个判例法将是一个里程碑,这将对执行类似监控的欧盟成员国带来宪法挑战。”
然而,尽管有隐私好处,这将给业务方面带来影响。
美国商务部部长Penny Pritzker在一份声明中称,“自2000年以来,安全港协议已被证明是保护大西洋两岸各国隐私权的关键协议,并且它支持着美国和欧盟的经济增长。对于现在欧洲法院的决定,我们深感失望,这给美国和欧盟企业及消费者带来极大的不确定性,并危及欣欣向荣的跨大西洋数字经济发展。此外,该裁定并不一定会有利于隐私性,也不一定会有助于经济增长。”
美国参议员John Thune(R-SD)表示,“有些消费者从美国-欧盟安全港协议下的跨大西洋数据传输中受益,而这个裁决损害了这些消费者的利益。我强烈建议美国商务部与欧盟协商新的协议,允许数据继续自由传输。在这些协商完成前,对于依靠安全港协议的企业而言,当务之急是明确如何继续其业务运营。”
那么,这到底会带来什么影响?
根据《华尔街日报》显示,Alphabet和Facebook等大型公司正在准备迎接安全港协议被推翻的影响;Alphabet的子公司谷歌将扩大在比利时的数据中心,并计划在荷兰建立新的数据中心,预计在2016年***季度开业。
虽然大型公司可以生存下去,但对于没有时间或金钱来在欧洲构建自己数据中心或外包给其他公司的小型公司,目前还不清楚这将对他们带来什么影响。
当然,对于海外数据传输还有其他选择,但审查数据传输过程、评估备选方案以及部署新的战略可能会耗尽企业的资源。
例如,微软公司正在遵守欧盟模式条款,该公司表示允许客户在没有安全港协议的情况下在欧洲和美国之间移动数据,亚马逊网络服务也在遵守模式条款。
Tripwire公司安全分析师Ken Westin表示,为了降低风险,我们需要一个标准,避免“将责任放在个别公司,因为在未经批准下传输数据到区域外可能让企业面临法律风险。”
Pritzker表示,美国正在更新安全港协议。
“该法院的判决表明我们必须尽快更新安全港协议,我们准备与欧盟委员会合作来解决该法院的裁决带来的不确定性,让数千家美国和欧洲企业可以继续发展全球数字经济,这些企业一直遵守安全港协议,并按照该协议的原则为欧盟公民提供强大的保护。”
很多人表示ECJ的安全港协议裁决不会带来很大后果。
Schrems称,“除了一些危言耸听者的评论,我不认为我们会看到显著改变。”
还有人表示这将是监控辩论的转折点。
电子前沿基金会国际部主任Danny O'Brien在博客中写道,“在保持互联网开放和保护每个人的隐私方面,只有一种方式可以结束这场战斗。各国必须明确对无辜市民的监控违反人权法,无论是在自己的边界内进行还是在境外。他们必须控制其国内和国外监控程序。”
Lintzen表示有三种可能的影响。“1.企业将投资于数据中心和技术,让他们可以将数据存储在与来源相同的立法环境;2.企业将能够传输数据到境外,但更昂贵、严格和耗时间;3.欧洲将个人数据视为其公民的基本权力,这将推动美国公司投资于更安全的基础设施,不仅是在欧洲的数据中心,还有在美国是数据中心。”
企业正试图寻求暂时的替代品,因为目前还不确定更新安全港协议的时间。