欧盟隐私监管机构向脸书发送初步命令：暂停向美国传输欧盟用户的数据

   周三（9月9日），据《华尔街日报》报道，知情人士说，欧盟隐私监管机构已向Facebook（脸书）发送了初步命令，让其暂停向美国传输欧盟用户的数据，这是对该公司的一次运营和法律挑战，可能会为其他科技巨头开创先例。

   这一命令是爱尔兰数据保护委员会(Data Protection Commission)上月底发给Facebook的，并要求该公司做出回应。这是欧盟监管机构为执行7月份欧盟最高法院关于数据传输的裁决而采取的第一个重要步骤。这项裁决限制了Facebook等公司将欧洲用户的个人信息发送到美国本土的方式，因为它发现，欧洲用户没有有效的方式来挑战美国政府的监控。

   为了遵守爱尔兰的初步命令，Facebook可能不得不重新设计其服务，将从欧洲用户那里收集的大部分数据隔离开来，或者完全停止为这些用户提供服务，至少暂时停止。如果Facebook未能遵守命令，爱尔兰数据委员会有权对其处以高达年收入4%的罚款，即28亿美元。

   这一初步裁定是欧洲隐私活动人士的一次胜利。过去十年的大部分时间里，他们一直在监管机构面前和法庭上称，他们的数据不应该发送到美国或保存在美国，因为这些数据可能会被秘密地交给政府。但科技倡导者说，阻止大型科技公司向美国转移数据，可能会导致跨境数据活动带来数十亿美元的贸易损失，这些数据活动包括云服务、人力资源和营销，因为这些活动涉及从美国境内访问或存储欧洲的信息。他们补充说，类似的逻辑也可以用来阻止企业将数据向其他欧盟法院认为具有侵入性的监控法律国家的转移。

   可以肯定的是，爱尔兰的命令是初步的，在最终敲定之前可能会被修改，这一过程可能需要几个月的时间。由于Facebook的地区总部设在爱尔兰，爱尔兰数据委员会负责欧盟对其隐私的执法，但爱尔兰的隐私监管机构必须与欧盟其他国家的同行协调处理跨境案件。

   爱尔兰数据委员会要求Facebook在9月中旬之前对这一命令做出回应。在考虑了Facebook的回应后，数据委员会告诉该公司，它计划根据欧盟隐私法的一项合作条款，向欧盟其他26个国家的隐私监管机构提交一份新的命令草案，以获得联合批准。

   虽然目前只是初步命令，但这也标志着欧盟和美国在跨大西洋数据流动中如何平衡隐私和商业的争论发生了重大转变。而美欧之间有关数据传输的问题也由来已久。

   欧盟上世纪90年代隐私法里有一项基本规定。如果一家公司将有关欧盟居民的个人信息发送到没有提供与欧盟基本同等隐私保护的其他国家，这是违法的，除非在某些受限制的情况下。而美国虽然没有制定全国性的数据隐私法，但在医疗保健等一些领域有更具体的行业规定，因此没有被欧盟淘汰。为了保持数据流动，美国和欧盟在上世纪90年代末谈判建立了一个名为“安全港”(Safe Harbor)的特殊系统，在这个系统中，向美国发送欧洲数据的公司可以选择采用欧盟式的规则，由美国政府执行。企业在向海外发送数据时还有其他选择，比如使用预先批准的欧盟合同条款，即所谓的标准合同条款，在这些条款中，企业承诺维护欧洲的隐私标准。

   对这些系统的法律挑战始于2013年，当时美国国家安全局(National Security Agency)前承包商雇员斯诺登(Edward Snowden)泄露了美国政府监控活动的细节。隐私活动人士马克斯·施雷姆斯(Max Schrems)认为，安全港向美国政府泄露了他的Facebook信息。欧盟法院对此表示同意，并于2015年废除了该系统。但这种威胁最终只是理论上的：没有一家公司真正面临停止发送用户个人信息的特定命令，数据流传输也从未停止。

   随后，欧盟和美国迅速制定了一个名为Privacy Shield（隐私之盾）的替代框架，增加了一些额外的保护措施，比如在美国国务院设立专门调查员来处理欧洲用户的投诉。

   但欧洲法院今年7月份的裁决也推翻了这一制度，称美国仍未向欧洲用户提供质疑监控的可起诉权利。最初，企业并不担忧，因为7月份的决定并没有废除所谓的标准合同条款，而是表示，企业必须评估它们发送数据的国家的法律是否允许它们在欧盟法律下得到充分保护。有几家公司表示，既然Privacy Shield不再有效，他们将依赖这些标准合同条款将数据转移到美国，Facebook就是其中之一。但爱尔兰发出的暂停数据传输的初步命令表明，它发现，至少在Facebook的案件中，这样的标准条款是不够的。如果这个理由成立，那么这些标准条款可能也会被裁定无效，那么其他大型科技和电信公司可能也会受到波及，这些公司属于欧盟法院裁决中讨论的美国监控法律的管辖范围，包括《外国情报监视法》(Foreign Intelligence surveillance Act)第702条。

   今年8月，由施雷姆斯创立的隐私倡导组织Noyb就利用了这一理由，向多个欧盟隐私监管机构投诉了101家欧洲网站，并利用欧盟法院的裁决提出，这些网站必须停止使用美国科技提供商发送数据。

   Facebook和其他大型科技公司可能不得不停止向美国发送数据，这加大了制定允许此类数据传输的替代框架的努力的风险。欧盟委员会说已经和美国官员已开始谈判，以建立一种符合法院要求的新方式，让企业将欧洲用户的数据发送到美国。除了与美国就用新系统取代Privacy Shield进行谈判外，欧盟委员会还在更新标准合同条款。但欧盟司法专员迪迪埃·雷恩代尔(Didier Reynders)上周在欧盟议会表示，“不会有立竿见影的解决办法。”一些隐私律师说，美国需要修改其监控法律，以解决法院的担忧。美国方面则表示，其监控行为是适当的，并在法庭上辩称，欧盟不应对美国的国家安全行为行使管辖权。