欧盟法院刚刚维持欧美数据协议效力,特朗普阴影笼罩DPF合法性
2025年9月3日,欧盟普通法院维持欧盟27个成员国家与美国达成的数据传输协议,驳回了法国议员菲利普·拉通贝(Philippe Latombe)对此提起的诉讼。
拉通贝议员提起诉讼的理由是欧美数据传输协议没有完全尊重欧盟自身的数据保护规则,并认为美国情报机构在从欧盟运输途中大量收集个人数据的做法是非法的。然而,位于卢森堡的欧盟普通法院在裁决中却指出:“在作出有争议的裁决之日,美国确保了从欧盟向该国组织传输的个人数据得到充分的保护。”
美国数字游说团体商业软件联盟(BSA)对这项裁决表示欢迎,因为这为数千家公司提供法律确定性。隐私权活动人士却对结果却感到惊讶,他们原本认为法院会以程序性理由驳回此案,却没有想到,他们在实质上认定了该协议的合法性。
讽刺的是,欧盟议会甚至早就注意到了,特朗普当选后解雇隐私和公民自由监督委员会(PCLOB)所有三名民主党成员,导致该机构无法正常运作,已经影响到了此前对欧盟-美国数据隐私框架(DPF)的充分性认定,并在2025年5月就此问题向欧盟委员会提出质询。
一、脆弱的法律平衡:从"充分性认定"到监督机制缺陷
自1995年以来,欧盟法律禁止将个人数据输出到欧盟以外的国家,除非有绝对必要。当非欧盟国家对欧洲人的个人数据提供“基本等同”的保护时,数据可以被输出到国外。
另一方面,自斯诺登披露以来,我们得知,美国通过从美国大型科技公司窃取个人数据,对全球用户进行大规模监控。美国拥有非常严格的大规模监控法律(例如,美国《外国情报监听法》702或EO 12.333),允许美国政府在无需正当理由或单独司法批准的情况下访问亚马逊、Meta、微软、谷歌和任何其他美国大型科技公司存储的任何数据。
因此,欧洲法院两次(Schrems I和Schrems II)裁定美国法律并非“基本等同”。然而,2023年7月10日,欧盟委员会发布了实施决定,正式通过了“跨大西洋数据隐私框架”(DPF)。该框架允许任何欧盟企业自由地将数据传输给美国供应商,尽管美国仍然存在威胁欧盟隐私的监控法律。欧盟委员会依据美国政府发布的行政命令或信函,认定美国“基本等同”。然而,这些要素并未体现在美国法规和成文法中,因为美国国会没有多数票通过此类法律。
隐私和公民自由监督委员会(PCLOB)是唯一一个监督美国服务是否真正遵守法律、命令和其他承诺的一般性“监督”机构。美国法律的其他要素,例如各种救济机制,都要求原告主动提起诉讼。美国历来通过各种“常设”规则阻止原告诉诸这些机构,导致诉讼基本上从未受理。这意味着,PCLOB 是欧美DPF 所依赖的唯一相关监督机制。
与之相对应的是,欧盟委员会在其决定中高达 31 次提到 PCLOB,以解释为何美国拥有“基本等同”的保护措施。
二、特朗普的威胁:瘫痪PCLOB与削弱监管独立性
美国长期以来一直轻视欧洲对个人数据流入美国并被用于大规模监控的担忧,特朗普政府也并未改变上述任何与美国信号情报相关的隐私保护要素,也未支持委员会就数据保护框架(DPF)做出充分性裁定。甚至就在上周,有消息称,美国特朗普总统的政府正在考虑对负责执行欧盟《数字服务法》(DSA)的欧盟或成员国官员实施制裁,原因是美国抱怨该法案审查美国人,并向美国科技公司施加成本。
此前,特朗普政府确实采取了两项实际的行动,已经对欧美数据保护框架带来风险:
首先,2025年1月23日,特朗普政府解雇了隐私和公民自由监督委员会(PCLOB)所有三名民主党成员。PCLOB命包括分析和审查行政部门在打击恐怖主义方面采取的行动,以确保这些行动与保护隐私和公民自由的需要取得平衡。它本应由美国总统任命的两党五人委员会组成,任期固定为六年,且有一个关键限制:只有三名成员可以来自同一政党。由于之前有一个空缺,PCLOB目前只剩下一名成员。
具体到DPF方面,PCLOB 承担着欧美双方指定的职责,负责就 DPRC 法官的任命以及协助 DPRC 的特别辩护律师的任命提供咨询,对 DPF 处理信号情报投诉的补救机制进行年度审查。
也就是说,由于PCLOB缺乏三名成员的法定人数,其功能和运作受到限制,DPF 的这些职能是否真正受到限制,或者在多大程度上受到限制,理应受到质疑。
其次,特朗普于2025年2月18日发布了“确保所有机构问责”的行政命令。该问责行政命令阐明了一项政策,旨在确保包括联邦贸易委员会和至少17个其他独立监管机构在内的所有联邦机构的监管政策保持一致。该问责行政命令的潜在隐患在于,它可能会损害联邦贸易委员会根据欧盟GDPR第45(2)(b)条充分独立地执行DPF隐私原则的能力。
与欧盟的数据保护机构不同,美国大多数监督机构隶属于行政部门,因此并非独立机构。独立性通常仅由总统授予,但可以随时撤销或推翻。美国特朗普总统如今常常直接罢免官员,这一事实令人质疑“独立”行政机构的概念是否从一开始就具有事实上的可论证性。因此欧美DPF 的许多其他组成部分,例如数据保护审查法院,其法律保护甚至比 PCLOB 更弱。
三、悬而未决的终局:欧盟版TikTok禁令之争
总体而言,欧盟普通法院似乎并未被拉通贝议员提出的论点和观点所说服。然而,这并不意味着针对该协议更广泛的论点和问题提起的挑战不会成功。拉通贝议员也可能选择向欧盟法院(CJEU)上诉,而根据“Schrems I”和“Schrems II”案的先前判决,欧盟法院的观点可能与普通法院不同。
曾两次成功挑战了欧美数据传输协议的马克斯·施雷姆斯对此评价说:“很明显,下级法院的判决与欧盟法院的判例存在巨大偏差。我们对这一结果感到非常惊讶。或许是因为普通法院的证据不足,又或许是它有意背离欧盟法院的判决。”
美国政府的决定不会立即使美国的数据传输非法化。但是,如果欧盟所依赖的关键要素无法发挥作用,欧盟将不得不废除该协议。鉴于美国局势的发展,欧美DPF 充分性决定也许会最终被欧盟法院(CJEU)宣布无效,从而重蹈其上两代框架的覆辙。各组织机构可能需要谨慎且持续地监测潜在的变化,并可能在国际传输个人数据时调整其方法。一旦欧盟委员会废除欧盟-美国协议,美国大型科技公司将不得不保护其在欧盟的数据中心,以防止其美国 母公司访问。
此外,还应该注意美国政府在面对跨境数据传输时的两面性:一方面,针对TikTok收集整合美国人数据采取了极端法律措施,即使在美国当地设置数据中心也无法缓解其忧虑;另一方面,美国政府采取各种手段保护其美国企业免受欧盟颁布的相当于“TikTok禁令”的法令的影响,甚至以关税相威胁。
参考资料:
https://noyb.eu/en/eu-us-data-transfers-first-reaction-latombe-case
https://iapp.org/news/a/how-could-trump-administration-actions-affect-the-eu-u-s-data-privacy-framework-
https://www.europarl.europa.eu/doceo/document/E-10-2025-000520_EN.html
https://noyb.eu/en/us-cloud-soon-illegal-trump-punches-first-hole-eu-us-data-deal
本文来自微信公众号“Internet Law Review”,作者:互联网法律评论,36氪经授权发布。
