案件(Maximillian Schrems v.Data Protection Commissioner)是由一名奥地利法学专业学生和民权倡导者Maximilian Schrems 提起的,他试图质疑Facebook 从爱尔兰(Facebook 的欧洲子公司总部所在地)向美国传输的国际数据,称这种做法侵犯了他的隐私权,因为美国政府可能会对其进行监控。DPC 驳回了Schrems 的申诉,理由是DPC 认为美国能够提供适当水平的隐私保护。Schrems 随后向爱尔兰高等法院提出上诉,最后,爱尔兰高等法院将争议提交欧洲法院进行审理。
法院认为,DPC 应当认定美国依据其国内法或国际承诺是否能够确保对于基本权利的保护水平与其在欧盟范围内依据指令所作出的保证相当,而DPC 没有作出这样的认定,仅仅审查了安全港协议。在没有确定该协议是否能够确保美国与其在欧盟范围内保证的权利保护水平基本相当的情况下,法院认为该协议仅适用于遵守协议的美国企业,而美国当局本身则不受该协议的约束。此外,美国的国家安全、公共利益和执法要求均优先于安全港协议,且可能与协议中的保护规则存在冲突,但在不受限制的情况下,美国企业有义务遵守此类要求。在DPC 的决定中没有涉及在美国是否存在对于此类干涉行为的限制规则或者针对此类干涉行为能否寻求有效的法律保护。
法院认为,美国当局能够访问从欧盟成员国转移到美国的个人数据,特别是其对这些数据以与转移目的不相符的方式进行了处理,超出了国家安全保护的必要性和比例性。如果欧盟法对于所储存的个人数据从欧盟传输至美国没有法律限制,而美国当局对于获取数据及后续的使用行为同样缺乏客观标准,没有任何区别、限制和例外的话,个人数据权利将会遭到侵害。DPC 还注意到,有关人员没有行政或司法救济手段,缺乏对有关数据的获取、纠正或删除途径,而司法救济是法治的本质要求,如果法律没有为个人获取、纠正或删除这些与其有关的数据提供法律救济途径,这就损害到其获得有效司法保护的基本权利。(www.xing528.com)
最后,法院判决DPC 的决定否定了国家机关的监督权,当有人质疑其决定不符合个人基本权利和自由的保护要求时,法院认为DPC 没有权力以这种方式限制国家监管机关的权力。任何决定都不能阻止国家监管机构监督将个人数据转移到第三国的行为,国家监管机构在处理权利主张时,必须能够完全独立地审查将个人数据转移到第三国的行为是否符合指令规定的要求。欧洲法院指出,只有法院有权认定欧盟机构行为的效力,例如法院有权判定欧盟委员会的决定是无效的。因此,如果国家机关或向国家当局提出质疑的个人认为欧盟委员会的决定无效时,该机关或该个人必须向法院提起诉讼,最终由法院判决欧盟委员会的决定是否有效。出于所有这些原因,法院宣布DPC 的决定无效。这一判决的结果是,DPC 需要对Schrems 提出的诉求进行尽职调查,并在调查结束时,决定是否应由于美国没有提供充分的个人数据保护而暂停Facebook 欧洲用户向美国的数据传输活动。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
