5.1　“安全港”政策框架和隐私盾

欧美安全港框架于2000年建立，旨在促进跨大西洋隐私保护。该自愿性隐私框架允许美国公司按照欧盟法律处理来自欧盟的数据。美国公司可通过自我认证的方式证明其遵守七大数据保护原则：“告知、选择、转发、安全、数据完整性、访问和执行”^[77]。2015年10月，欧洲法院（EUCJ）宣布《安全港决定》无效，裁定“欧盟委员会2000年生效的跨大西洋数据保护协议无效，因斯诺登事件揭示其未对消费者予以充分保护”^[78]。此项决定的基础是某法律案件控诉科技巨头Facebook未遵守欧盟的数据保护法。决定的另一个立足点在于爱德华·斯诺登揭露的国家安全局监听事件引发了对欧盟数据主体的数据无法得到充分保护的关切^[79]。美国公司和依赖美国科技公司进行云存储和其他服务的诸多欧洲公司都对此决定表示关切。

2016年7月，欧盟委员会就取代安全港协议的欧美隐私盾框架的充分性做出决定^[80]。2018年5月执行的GDPR进一步削减了隐私盾的现实意义。但由于美国被认为缺乏充分的数据保护法，故不符合GDPR下国际数据传输的具体要求。因此，许多美国公司正使用隐私盾证明其符合GDPR更为严格的要求。

隐私盾本身正受到质疑，两起诉讼辩称隐私盾仍然与欧盟法律不符。欧盟普通法院在2019年7月开庭审理了第一起诉讼^[81]，预计将在2020年上半年对此案做出最终决定。