首页> 图书频道> 政法> 法学

案情

2026年01月16日
版权
案情

马克西米利安·施雷姆斯先生系居住在奥地利的奥地利公民,其自2008年成为脸书的用户。

任何居住在欧盟且希望使用脸书的人均被要求在注册时与脸书爱尔兰公司(系设立于美国的脸书公司的子公司)签订一份合同。脸书爱尔兰公司欧盟境内用户的部分或全部个人数据将被传输至脸书公司位于美国境内的服务器,并进行处理。

2013年6月25日,马克西米利安·施雷姆斯先生向爱尔兰数据保护专员(以下简称数据保护专员)提起申诉,请求数据保护专员行使其法定权力,禁止脸书爱尔兰公司将其个人数据传输至美国,理由是美国的法律和实践无法确保对其境内保存的个人数据进行充分的保护,从而防止公权力机关进行的监控活动。数据保护专员驳回了马克西米利安·施雷姆斯先生的申诉,其理由包括欧盟委员会在《2000/520决定》中认定,美国已经确保了充分的个人数据保护水平。

马克西米利安·施雷姆斯先生对数据保护专员的决定不服,向爱尔兰高等法院提起诉讼。因该案涉及欧盟法律的执行问题,爱尔兰高等法院遂请求欧洲法院就该案所涉的《2000/520决定》的有效性等问题作出先予裁决。2015年10月6日,欧洲法院就该案作出判决,宣告《2000/520决定》无效。

在欧洲法院作出判决之后,爱尔兰高等法院撤销了数据保护专员的决定,并将案件发回数据保护专员重审。在数据保护专员此后进行的调查中,脸书爱尔兰公司释称,其很大部分数据系依照《根据95/46指令向第三国境内的处理者传输个人数据的标准合同条款的2010/87号欧盟委员会决定》(该决定后为欧盟委员会《2016/2297号执行决定》所修改,以下简称《标准合同条款决定》)的附件中载明的标准数据保护条款(又称标准合同条款)传输给脸书公司。基于此,数据保护专员要求马克西米利安·施雷姆斯先生重新起草申诉书。

在其2015年12月1日重新提交的申诉书中,马克西米利安·施雷姆斯先生主张,美国法律要求脸书公司将传输给该公司的个人数据提供给某些美国机关,例如,美国国家安全局和联邦调查局。依马克西米利安·施雷姆斯先生之见,由于这些数据被用于诸多监控计划,而其使用方式不符合《宪章》第7、8和47条的规定。因此,《标准合同条款决定》不能成为向美国传输数据的正当理由。在此情形下,马克西米利安·施雷姆斯先生要求数据保护专员禁止或暂停将其数据传输给脸书公司。

2016年5月24日,数据保护专员公布了其决定草案。在该草案中,数据保护专员认为,传输至美国的欧盟公民的个人数据有可能被美国机关以不符合《宪章》第7、8条的方式查阅和处理。并且,美国法律未向这些公民提供符合《宪章》第47条规定的法律救济。数据保护专员还认定,《标准合同条款决定》附件中载明的标准数据保护条款未能对上述瑕疵予以补救,因为这些条款仅赋予数据主体针对数据出口商和进口商的合同权利,而无法约束美国机关。

因数据保护专员认为,在前述情形下,马克西米利安·施雷姆斯先生重新起草的申诉书提出了《标准合同条款决定》的有效性问题,数据保护专员遂于2016年5月31日向爱尔兰高等法院提起诉讼,以便爱尔兰高等法院可将此问题提交欧洲法院裁决。爱尔兰高等法院受理该诉讼之后,请求欧洲法院对以下问题作出先予裁决。

1.在个人数据系由一个私营公司依照《标准合同条款决定》并出于商业目的而从欧盟成员国传输至第三国,并且可能在该第三国由该国的相关机关出于国家安全、执法以及外交事务之目的而进一步处理的情况下,欧盟法律(包括《宪章》)是否适用于前述个人数据传输?

2.在确定依照《标准合同条款决定》而从欧盟向第三国传输个人数据(该个人数据可能因国家安全目的而被进一步处理)是否侵犯个人权利时,应依据以下哪部法律:①《宪章》《欧洲联盟条约》《欧盟运行条约》《95/46指令》《保护人权和基本自由的欧洲公约》,或任何其他欧盟的法律规定;②一个或多个欧盟成员国的国内法。而若应依据的法律是一个或多个欧盟成员国的国内法,则相关欧盟成员国在国家安全方面的实践是否亦应包括在该国内法之内?(https://www.daowen.com)

3.在评估第三国是否就传输至该国的个人数据确保了《95/46指令》第26条所要求的保护水平时,该第三国的保护水平应基于以下哪个因素予以评估:①源自其国内法或国际承诺的在该第三国应予适用的规则,以及确保这些规则得以遵守的实践,包括在该第三国得以遵守的职业规则和安全实践;②前述提及的规则或行政、监管和合规实践,以及该第三国现行的政策保障、程序、规约、监督机制和非司法救济措施。

4.考虑到爱尔兰高等法院认定的有关美国法律的事实,若个人数据依照《标准合同条款决定》自欧盟传输至美国,该传输是否侵犯了《宪章》第7、8条规定的个人权利?

5.考虑到爱尔兰高等法院认定的有关美国法律的事实,若个人数据依照《标准合同条款决定》自欧盟传输至美国,则请求回答以下问题:①美国所赋予的保护水平是否尊重了个人就其数据隐私权(该权利由《宪章》第47条所保障)受到侵犯而享有的获得司法救济的权利的本质?若回答为是,则请求回答以下问题:②美国法律在美国国家安全的范围内,就个人获取司法救济的权利所施加的限制,是否符合《宪章》第52条规定的比例原则,并且未超越民主社会中为国家安全所需的范畴?

6.根据《95/46指令》,特别是第25、26条的规定,同时结合《宪章》的规定,对于依照标准合同条款(该条款系依照欧盟委员会根据《95/46指令》第26条第4款作出的决定采用)传输至第三国的个人数据,应赋予该数据何种保护水平?对于根据《标准合同条款决定》传输至第三国的数据,在评估赋予该数据的保护水平是否满足《95/46指令》以及《宪章》的要求时,应予考虑的事项是什么?

7.标准合同条款在数据出口商和数据进口商之间适用,而不能约束第三国国家机关(该国家机关可能要求数据进口商向其安全部门提供依照标准合同条款传输的个人数据)这一事实是否使得该条款无法提供《95/46指令》第26条第2款规定的充分保障?

8.若第三国数据进口商受制于与监控有关的法律[依数据保护机构之见,该法律与《标准合同条款决定》或《95/46指令》第25、26条和(或)《宪章》冲突],则数据保护机构是否被要求使用《95/46指令》第28条第3款规定的执法权暂停数据流动,或者该等权力的行使限于例外的情形,抑或数据保护机构可以行使其自由裁量权,对该数据流动不予暂停?

9.根据《95/46指令》第25条第6款的规定,欧盟委员会2016年7月12日依照《95/46指令》作出的《有关欧盟—美国隐私盾所提供的保护的充分性的2016/1250号欧盟委员会执行决定》(以下简称《隐私盾决定》)是否构成对欧盟成员国数据保护机构以及法院具有约束力的普遍适用的认定,即美国因其国内法和其参加的国际承诺,确保了《95/46指令》第25条第2款规定的充分的保护水平?

若对上述问题的回答为否,则在评估传输至美国的数据(该数据系依照《标准合同条款决定》传输)的保障之充分性时,《隐私盾决定》具有何种关联性?

10.考虑到爱尔兰高等法院有关美国法律的认定,《隐私盾决定》附件三的附件A中规定的隐私盾监察专员以及美国现行体制,是否确保美国向数据主体(该数据主体的个人数据依照《标准合同条款决定》被传输至美国)提供了符合《宪章》第47条规定的相关救济?

11.《标准合同条款决定》是否违反了《宪章》第7、8和(或)47条的规定?