4月11日,微软(Microsoft)公司表态支持于今年2月推出后便受到争议的《欧盟-美国隐私护盾》(EU-US Privacy Shield)协议。该协议旨在取代美国和欧盟于2000年7月达成的《安全港协议》(Safe Harbor Agreement),后者在去年10月被欧盟法院推翻,理由是未达到欧盟隐私权法律的“充分保护”要求。新的《隐私护盾》协议被部分人士认为也将面临欧盟法院的冲击。
欧盟于1995年通过的《数据保护指令》规定,第三方国家只有通过国内法或国际承诺,对个人数据提供充分保护(Adequate Level of Protection)时,才允许将欧盟公民个人信息转移存储至该国家处理。美国为了满足欧盟的充分保护要求,于2000年同欧盟达成《安全港协议》:只要美国企业加入安全港,并公开承诺遵守其要求,就可以将欧盟公民的个人信息转移到美国境内处理。
而在2013年美国监控丑闻曝光后,欧盟成员国数据保护机构纷纷质疑《安全港协议》,随后欧盟和美国开始磋商新的跨境数据协定。但在2014年8月,奥地利学生 Max Schrems 就 Facebook 未经合法授权就取用及分析欧洲用户个人资料等违反欧盟法律的问题提出集体诉讼。
欧盟法院最终于2015年10月判定否决了《安全港协议》,理由为美国国家安全部门可以对跨境转移到美国的欧盟公民个人信息进行监控、拦截、获取等措施,因此《安全港协议》并未达到《数据保护指令》所要求的充分保护程度。
2016年2月2日,欧洲委员会宣布,与美国方面达成《隐私护盾》协议,最终于2月29日公之于众。但这项协议并未获得欧盟数据保护当局的支持,后者将在本周召开会议以最终决定对该协议的立场。
美国虽然承诺不再进行大规模的任意监控,《隐私护盾》协议也提出更严格的隐私原则及补充原则,但美国企业在某些情形下仍可以不用遵守这些原则,比如“为了满足必要的国家利益、公共利益或者执法需求”等,这也受到了一些人的质疑。德国绿党成员 Jan Albrecht 认为,这个新的协议仍会受到欧盟法院的冲击,因为此前的《安全港协议》就是这么被推翻的。
我们相信《隐私护盾》代表了正确的方向……在这项协议获得采用后,还需采取更多措施来建设这个‘隐私护盾’,比如出台更多的国内法、现代化的司法互助条约,以及新的双边协议等,并最终达成多边协议。
微软欧盟政府事务副总裁 John Frank 于4月11日发文对《隐私护盾》协议表示支持,微软将根据这项协议寻求批准数据传输操作。他还称,微软已经承诺针对有关隐私侵犯的个人投诉,于45日内做出回应,还将与当地数据保护部门(Data Protection Agencies)紧密合作解决问题。不过他同时指出,这项协议还不够充分,美国和欧盟官员仍有许多工作要做。
在美国国家安全局(NSA)“棱镜门事件”曝光后,微软被指参加了 NSA 的监听计划,涉及到的产品包括 Skype、Outlook 等。但微软当时回应称,“我们只有在收到具有法律效力的命令或传票时才会提供客户数据,从不会主动提供”,“如果政府有更大范围收集客户数据的自愿参与计划,我们不会参与到其中”。
声音
《欧盟-美国隐私护盾》在大西洋两岸对隐私、个人和商业来说,都是一个巨大的胜利。
专注于隐私,反映的不仅是我们对基本权利和法律的重视,还在于我们对建立于信任基础上的业务的理解……人们不会去用他们不信任的技术。合法的规则清晰阐明了个人权利,确保这些权利受到保护所应达到的透明度,并且在人们认为权利受到侵害时提供应循的程序。他们为信任提供了依据,这是驱动新技术创新、人类进步必不可少的。
这不是什么“隐私护盾”,而是责任护盾(accountability shield)。从没见过这么广受批评的协议。