在欧洲最高法院作出关键裁决之前，隐私盾的法律存在更多不确定性

 
Facebook试图阻止转介，但今天，欧洲最高法院的一位有影响力的顾问发表了一项法律意见，该意见可能对欧盟-美国隐私保护个人数据传输机制的未来产生重大影响。
这是一种复杂的观点，涉及欧盟和美国围绕个人数据的法律优先权的根本冲突，这种冲突无法解决因Privacy Shield的合法性而产生的问号。
标题是，另一种数据传输机制被法院顾问认为是合法的，该机制也被企业广泛用于将个人数据传输出欧盟，即所谓的标准合同条款(SCC)。
但是，欧盟法院(CJEU)的辩护律师也很努力地强调，如果数据保护机构被用于将欧盟公民的数据发送给他们，则他们有义务“介入”并中止此类数据传输。无法充分保护其信息的地方。
因此，根据这种观点，尽管SCC看起来很安全(作为数据传输机制)，但提醒我们，欧盟数据保护机构有责任规范这些工具的使用方式。
该案被移交欧洲法院的原因是爱尔兰的数据保护委员会未就暂停Facebook使用SCC的投诉采取行动。因此，从意见中得出的一个观点是DPC应该这样做-而不是花费数年时间进行昂贵的法律斗争。
法律转介的背景是漫长而复杂的，涉及隐私运动家和律师Max Schrems向爱尔兰DPC提出的重新制定的数据保护投诉，该投诉对Facebook使用SCC提出了挑战。在2013年美国国家安全局举报人爱德华·斯诺登(Edward Snowden)披露了美国政府的大规模监视计划后，他的较早法律诉讼导致隐私盾的前身安全港(Safe Harbor)在2015年被欧洲法院驳回。
在SCC的投诉中，Schrems在爱尔兰法院盛行，但爱尔兰的数据保护监督机构没有按照他命令Facebook暂停其SCC数据流的请求采取行动，而是采取了与众不同的步骤，就整个机制的有效性提起诉讼。
爱尔兰法院随后向欧洲法院提出了一系列法律问题，其中包括涉及隐私盾合法性这一更广泛的问题。股份公司现在针对的是这些问题。
值得注意的是，辩护律师的意见对欧洲法院没有约束力-明年该法院将对此案做出裁决。尽管法院确实会遵循这样的意见，所以它是行进方向的有力指标。
拥护者Henrik SaugmandsgaardØe提出的意见认为，使用SCC将个人数据传输到第三国(即与欧盟没有双边贸易协议的国家)是有效的。
但是，如上所述，在该机制下保护欧盟公民数据的义务与欧盟以外的隐私权敌对法律(例如政府大规模监视计划)相抵触的情况下，AG将数据主管部门的责任推给行动。
“ [[这是一项责任，由于标准条款下产生的义务与那些责任相抵触，在数据控制者身上有责任，而在后者没有采取行动时，则要在监督当局上负有暂停或禁止转让的义务。这些条款是第三目的地国的法律所强加的
欧盟委员会在一份关于这一观点的新闻稿中写道。
在第一反应中，Schrems强调了这一点，并写道：“现在，倡导者再次告诉爱尔兰数据保护局，只是要履行其职责……毕竟，爱尔兰纳税人可能需要支付高达1000万欧元的法律费用， DPC出于Facebook的利益推迟了此案。
“意见明确表明，DPC拥有自己解决此案的解决方案：她[Helen Dixon]可以命令Facebook明天停止转帐。相反，她求助于欧洲法院，使整个系统无效。这就像是向欧洲消防队大喊大叫，因为您不知道自己如何吹熄蜡烛。”
我们已经联系了爱尔兰DPC和Facebook，征询了AG的意见。
“目前，许多数据保护机构在收到侵权报告时只是另辟look径，或者根本不处理投诉。对于执行GDPR(《通用数据保护条例》)而言，这是迈出的重要一步。”
奥斯陆大学挪威计算机与法律研究中心研究员卢卡·托索尼(Luca Tosoni)表示，欧盟DPA暂停将SCC个人数据传输至美国的可能性将“取决于法院对访问安全措施的最终态度”美国情报机构对所传输数据的保护以及对所传输数据的人的司法保护”。
他说：“中止SCC的破坏性影响可能是巨大的，即使是部分的或仅对美国而言。” “ SCC被广泛用于在欧盟之外传输个人数据。它们可能是最常用的数据传输机制，包括用于向美国传输的数据。因此，即使SCC的部分暂停，也将迫使大量组织探索向美国传输的替代机制。
“但是，替代方案是有限的，并且通常难以应用于大规模传输，主要的替代方案是减损，允许在数据当事人同意下或履行合同所必需的条件下进行传输。这些不太可能适合目前根据SCC进行的所有转移。”
他补充说：“实际上，中断的程度可能取决于暂停的时间和持续时间。” “任何暂停或以其他方式发现向美国传输数据都存在问题的发现可能会加速欧盟委员会已经在努力的SCC的现代化，但是目前尚不清楚委员会发布新的SCC需要多长时间。
“当法院使安全港无效时，委员会花了几个月的时间通过了隐私盾，并修改了现有的SCC，以考虑到法院的判决。”
在“隐私保护盾”(一种新的数据传输机制，欧盟委员会声称可以解决其前身的法律问题)中，萨格曼兹加德·奥伊(SaugmandsgaardØe)的意见包括一些冗长的推理，这些结论暗示否则，当然也不会消除由于美国而引起的有关该机制合法性的问题允许国家出于国家安全目的收集个人数据的法律，从而与欧盟隐私权相抵触。
根据欧洲法院的新闻稿，该集团的意见提出了许多理由，并表示“导致他根据尊重私人生活的权利和获得有效补救的权利，对’隐私保护’决定的有效性提出质疑。 ”。
目前，该旗舰机制已被5,000多家实体用来授权进行欧美个人数据传输。
如果法院裁定它无效，那么企业将大为争夺替代品。
法院如何处理这些问题还有待观察。但是Privacy Shield仍然面临直接的法律挑战-因此，即使CJEU法官在这种情况下避免这样做，也有其他机会可以考虑。
Schrems明确希望他们能很快加入，在他的声明中歪曲Privacy Shield(他写道)：“在“安全港”判决之后，欧洲委员会再次故意通过了一项无效决定，因为他知道要等上法院才过两三年。将有机会再次使其无效。看看法院是在最终裁决中考虑这个问题还是等待其他案件提交法院，将是非常有趣的事情。”
“对于股份公司对“隐私之盾”监察员一视同仁，我也感到非常高兴。他补充说，根据法院的第一项判决，仅美国外交部的一个“邮箱”就不可能取代法院。”
他确实在一个方面对股份公司的意见持异议，特别是提到了他根据《欧洲人权公约》将其称为“监视友好判例法”的说法，而不是被他称为“法院的判例法”。
他建议：“这违背任何逻辑……我怀疑[欧洲法院]法官会加入这一观点。”
法庭通常会在获得AG意见后的三到六个月内下达判决，因此隐私观察者将在2020年准备爆米花。
同时，对于成千上万的企业而言，如果隐私盾牌解开，法律上的不确定性和未来中断的风险就会继续存在。
更新：爱尔兰DPC现在已经回应了该意见，称它欢迎“澄清和分析”。
传播负责人Graham Doyle向我们发送了以下声明：
DPC欢迎该AG意见发表。该意见说明了与欧盟数据保护法与第三国法律(包括美国法律)相互作用时出现的各种问题相关的复杂程度。同样，该意见的开篇部分认识到，一方面表现出实用主义的需要，另一方面，“需要维护国际电联及其国际组织的法律秩序所承认的基本价值之间的紧张关系”。成员国，特别是《宪章》。
这里涉及的一些复杂点涉及实质问题。仅举三个例子：当数据主体的个人数据由第三国的公共机构处理时(欧盟认为这样做)，欧盟法律是否完全适用;美国法律和惯例是否促进了对不符合欧盟法律的个人的数据保护权的干扰(AG认为确实如此);隐私盾是否可以解决这些问题(AG认为不可以)。
另外，该意见指出，在个别情况下，标准合同条款也可能无法解决数据传输将欧盟公民的数据纳入美国公共当局职权范围内时出现的问题。在这一点上，程序复杂性也应运而生。具体来说，在个人转让的情况下，如果不能维持欧盟法律要求的保护水平，谁应该进行干预?在这里，尽管承认其不完善之处及其存在的实际困难，并且尽管存在成员国内部监管机构之间分散的风险，但股份公司得出的结论是，欧盟在SCC框架内确定的方法在两者之间取得了适当的平衡。实用主义和原则。这种方法是确保欧盟公民的数据保护权得到保护的责任首先由控制者承担，而AG认为，责任由控制者未能履行职责的国家监管机构承担。
在注意到这些问题尚待法院裁定的同时，DPC欢迎AG意见中所含分析的清晰性。
Facebook现在也向我们发送了一份声明，该声明归功于副总顾问Jack Gilbert：我们感谢司法部长对这些复杂问题的意见。标准合同条款提供了重要的保障措施，以确保将欧洲数据传输到海外后受到保护。 SCC已由欧盟委员会设计并认可，使成千上万的欧洲人能够在全球开展业务。我们期待欧洲法院的最终决定。