【欧盟数据保护】CJEU - C-311/18 - Schrems II (数据保护专员诉Facebook 和Schrems)

欧盟法院（CJEU）宣布委员会第2016/1250号决定（欧盟-美国隐私保护）无效，但确认了标准合同条款（SCC）的有效性，前提是这些条款包括有效机制，以确保在实践中遵守GDPR向欧盟公民保证的“实质上等同”的保护水平。

英文摘要

事实

奥地利公民Maximillian Schrems自2008年以来一直是Facebook用户。与居住在欧盟的用户一样，属于Schrems先生的一些数据已由Facebook爱尔兰公司传输到其位于美国的Facebook Inc.的服务器。2013年，Schrems先生向爱尔兰数据保护专员（DPC）投诉，要求禁止这些传输。当该申诉被驳回时，他向爱尔兰高等法院提起诉讼，反对该裁决，而爱尔兰高等法院又向欧盟法院提出了一些问题，其中最突出的是欧盟-美国的充分性决定，即所谓的“安全港”是否有效。

在2015年10月6日的判决（案例C-362/14，“Schrems I”）中，欧盟法院宣布安全港无效，并表示，为了“充分”，第三国提供的数据保护水平应“基本等同”于欧盟提供的数据。因此，高等法院撤销了驳回Schrems先生申诉的决定，并将此案发回DPC。

在DPC之前的汇款“判决”中，Facebook Ireland解释说，无效的充分性决定与此无关，因为很大一部分个人数据是根据标准合同条款（SCCs）转移到Facebook股份有限公司的。在此基础上，民进党要求施雷姆斯先生重新阐述他的申诉。Schrems先生在2015年12月1日提交的重新起草的投诉中声称，美国法律要求脸书股份有限公司在各种监控计划（特别是FISA 702和12.333号行政命令）的背景下向某些美国当局披露其个人数据。Schrems先生认为，这些计划违反了不同的数据保护原则以及《宪章》第7、8和47条。在调查了Schrems先生的指控后，DPC辩称，在欧盟法院审查SCC的有效性之前，它不能对这些指控作出裁决，因此它向高等法院提起了诉讼。2018年5月4日，高等法院向欧盟法院提交了（第二）项初步裁决。

在提及欧盟法院时，高等法院规定，FISA第702条允许司法部长和国家情报局局长在FISA批准后，共同授权监视非美国公民和位于美国境外的个人，以获取外国情报信息。会议还确认，FISA第702条为PRISM和上游监控计划提供了依据。特别是PRISM，要求互联网服务提供商（ISP）向NSA提供与“选择器”之间的所有通信。另一方面，UPSTREAM允许NSA从互联网“主干”复制和过滤互联网流量，允许其访问通信内容及其元数据。此外，高等法院裁定，第12.333号行政命令（E.O.12333）允许国家安全局通过访问大西洋海底的水下电缆来访问传输中的数据。高等法院表示，对美国监视活动的唯一限制是在《总统政策指令》（PPD-28）中找到的，甚至这也只是表示情报活动应该“尽可能地定制”。根据这些调查结果，高等法院认为，美国对个人数据进行了大规模处理，但没有确保基本上等同于《宪章》第七条和第八条所保障的保护水平。高等法院还强调，由于《美国宪法第四修正案》不适用于非美国公民，欧盟公民在处理个人数据方面没有美国公民所享有的相同补救措施。这意味着欧盟公民特别难以在美国法院确立地位。此外，基于第12333号行政命令的活动不受司法监督，也不可由法院审理。

鉴于美国监视法对欧洲人权利的重大影响，高等法院提出了SCC是否有效的问题，因为它们可能对第三国的国家权力没有约束力。如果他们不约束第三国国家当局，那么他们就无法弥补个人数据可能缺乏充分保护的问题。

争端

要求作出初步裁决的请求向法院提出了11个问题。这些问题涉及的主题如下：

• 欧盟法律对出于商业目的但为了国家安全和执法目的而进一步处理的数据传输的适用性
• 确定个人权利是否受到侵犯的相关立法
• 如何评估第三国的保护水平
• 向美国传输数据是否违反宪章
• 美国提供的保护水平是否尊重或限制个人获得司法救济的权利
• 根据SCC传输的个人数据需要提供何种级别的保护
• 鉴于SCC对国家当局不具有约束力，SCC是否能够充分作为保障措施
• 如果数据进口商受到监管法的约束，是否有义务暂停数据流
• 隐私保护决定与评估保障措施有何关联
• 监察员的存在是否能确保美国为数据主体提供有效的补救措施
• SCC是否违反宪章

保留

法院首先澄清，GDPR适用于一个成员国设立的经济经营者出于商业目的向另一个第三国设立的经济运营商转让个人数据，即使在该国，数据将由国家当局出于公共安全、国防和国家安全目的进行处理。法院特别强调，数据传输不排除在GDPR的范围之外，因为它可能由第三国的国家当局处理。

关于这种情况下所需的保护水平，法院认为，必须继续适用《保护法》提出的关于保障、可执行权利和法律补救的要求。换句话说，当他们的数据被转移到国外时，必须向数据主体提供与他们在欧盟获得的保护水平基本相同的保护。在这种情况下，为了评估保护水平，必须考虑数据进口商和出口商之间的现有合同条款，以及第三国公共当局的潜在准入，以及第三国法律制度的相关方面。

法院随后分析了第2016/1250号决定（“隐私保护”），该决定是为美国控制人制定的自我认证计划。法院根据《宪章》的规定审查了该判决，认为美国国家安全、公共利益和执法的要求实际上干扰了数据在那里传输的人的基本权利。这些对个人数据保护的限制并没有以满足基本上等同于欧盟法律要求的要求的方式加以限制。相称性原则也没有得到满足，因为美国的监测计划并不局限于“严格必要的”。据指出，美国监测计划中的规定既没有限制其赋予国家当局的权力，也没有授予数据主体在法院针对美国当局提起诉讼的权利。法院随后仔细审查了隐私盾牌下设立的监察员机制，指出它也没有向数据主体提供在一个完全独立的机构面前采取行动的理由，并且该机构受到限制，因为它无法强制实施对美国情报机构有约束力的规则。

考虑到所有这些，法院宣布隐私保护决定无效。

法院还澄清说，如果主管监管机构认为第三国不遵守或不能遵守标准数据保护条款，并且无法通过其他方式确保对所转移数据的保护，那么在缺乏充分性决定的情况下，主管监管机构必须暂停或禁止向第三国转移个人数据。

随后，法院审查了SCC的有效性（第2010/87号决定）。首先，法院认为，该决定的有效性并没有因为SCC不约束第三国的国家当局这一事实而受到质疑。然而，在确立这一点之后，法院强调，SCC的有效性确实取决于是否有有效的机制，能够确保遵守欧盟法律所要求的保护水平。值得注意的是，法院在这里认为，SCC本身确实提供了这种机制。然而，它继续强调，如果不能遵守这些机制，则应暂停或禁止根据这些条款转让个人数据。此外，数据出口方和数据接收方有义务在传输前核实第三国的保护水平，以及是否有可能遵守SCC的要求。

议论

欧盟法院还评论了当局处理投诉的责任。见第109段（添加强调）：

“此外，根据《GDPR》第57（1）（f）条，要求其领土上的每个监管机构根据第77（1）条处理投诉根据该条例，任何数据主体有权在其认为处理其个人数据违反该条例的情况下提出投诉，并在必要时检查投诉的性质。监管机构必须尽职尽责地处理此类投诉（参照第95/46号指令第25（6）条，2015年10月6日的判决，Schrems，C‑362/14，EU:C:2015:650，第63段）。”

本文：https://cioctocdo.com/cjeu-c-31118-schrems-ii