首页> 图书频道> 政法> 法学

判决

2026年01月16日
版权
判决

2020年7月16日,欧洲法院就本案作出判决。在判决中,欧洲法院首先指出,爱尔兰高等法院提交的先予裁决请求系基于马克西米利安·施雷姆斯先生提交的申诉书作出,该申诉书要求数据保护专员命令脸书爱尔兰公司未来暂停或禁止向脸书公司传输马克西米利安·施雷姆斯先生的个人数据。尽管爱尔兰高等法院请求欧洲法院作出先予裁决的问题提及了《95/46指令》的规定,但鉴于《95/46指令》于2018年5月25日被废止并由《一般数据保护条例》取代之时,数据保护专员尚未就马克西米利安·施雷姆斯先生的申诉作出决定。因此,本案爱尔兰高等法院请求欧洲法院作出先予裁决的问题,应依照《一般数据保护条例》而非《95/46指令》的规定予以回答。

1.关于爱尔兰高等法院提出的第1个问题,欧洲法院认为,该问题实质上是询问《一般数据保护条例》第2条第1款、第2条第2款(a)(b)(d)项以及《欧洲联盟条约》第4条第2款的规定是否应解释为,若在欧盟成员国境内设立的经营者向第三国境内设立的经营者传输个人数据之时或之后,该数据将被第三国机关出于公共安全、国防和国家安全的目的而予以处理,则《一般数据保护条例》对该类个人数据传输应予适用。

对此,欧洲法院指出,根据《欧洲联盟条约》第4条第2款的规定,在欧盟境内,国家安全系每一欧盟成员国自身的职责,并且国家安全仅与欧盟成员国相涉。鉴此,该款规定在本案中与《一般数据保护条例》第2条第1款、第2条第2款(a)(b)(d)项的解释无关。

接下来,欧洲法院指出,根据《一般数据保护条例》第2条第1款的规定,《一般数据保护条例》适用于全部或部分通过自动方式进行的个人数据处理,以及以非自动方式进行的构成或拟构成个人数据整理汇集系统一部分的个人数据的处理活动。《一般数据保护条例》第4条第2款将“处理”界定为“对个人数据或个人数据集合的任何单一或一系列的操作,不论是否通过自动化方式进行”,并将“通过传输披露、传播或通过其他方式提供”作为“处理”的范例。鉴于《一般数据保护条例》并未就欧盟境内的操作以及与第三国相关的操作作出区分。并且,《一般数据保护条例》还将向第三国传输个人数据置于该条例第5章(该章名为“向第三国或国际组织传输个人数据”)的规制之下,并为此赋予监管机构特定职权。因此,将个人数据从一个欧盟成员国传输至第三国的操作,本身即构成《一般数据保护条例》第4条第2款规定的个人数据处理(该个人数据处理系在欧盟成员国国内进行),并因此属于该《条例》第2条第1款的适用范围之内。

关于上述个人数据处理是否可依照《一般数据保护条例》第2条第2款的规定,从该条例的适用范围中排除的问题,欧洲法院认为,该款规定所载明的例外情形应予严格解释。在本案中,鉴于案涉个人数据传输系从脸书爱尔兰公司传输至脸书公司,即在两个法人之间进行传输。因此,该传输不属于《一般数据保护条例》第2条第2款(c)项规定的例外情形,即自然人在纯粹的个人或家庭活动中进行的个人数据处理。该传输亦未包括在《一般数据保护条例》第2条2款(a)(b)和(d)项规定的例外情形之内,因为这些规定所列举的活动均系国家或国家机关的活动,而与个人的活动无关。

欧洲法院强调,在两个经营者之间出于商业目的而传输的个人数据可能在该传输之时或之后,出于公共安全、国防以及国家安全目的而由第三国的机关进行处理这一可能性,并不能将该传输排除于《一般数据保护条例》的适用范围之外。事实上,《一般数据保护条例》第45条第2款(a)项明确规定,欧盟委员会在评估第三国数据保护水平的充分性时,应考虑普遍的和部门的相关立法,包括有关公共安全、国防、国家安全、刑法和政府机关获取个人数据的相关立法,以及对此类立法的实施。从该项规定的用语来看,第三国为公共安全、国防以及国家安全而对个人数据进行的处理,并不能将前述个人数据传输排除于《一般数据保护条例》的适用范围之外。在此情形下,前述个人数据传输不能因相关个人数据将在传输之时或之后,由第三国机关出于公共安全、国防和国家安全之目的而进行处理,故不在《一般数据保护条例》的适用范围之内。

据此,欧洲法院认为,对于爱尔兰高等法院提出的第1个问题的答复是,《一般数据保护条例》第2条第1—2款应解释为,该条例适用于欧盟成员国境内设立的经营者向第三国境内设立的另一经营者传输个人数据,无论在传输之时或之后,该个人数据将被第三国机关出于公共安全、国防和国家安全之目的而予以处理。

2.关于爱尔兰高等法院提出的第2、3和6个问题。欧洲法院认为,这三个问题实质上是希望欧洲法院澄清,对于根据标准数据保护条款向第三国传输个人数据,《一般数据保护条例》第46条第1款和第2款(c)项所要求的个人数据保护水平。爱尔兰高等法院特别要求欧洲法院明确,在确定该等保护水平在前述传输中是否被确保时,应该考虑哪些因素。

对此,欧洲法院认为,关于《一般数据保护条例》所要求的个人数据保护水平,从该《条例》第46条第1款和第2款(c)项的规定可以看出,在不存在根据该《条例》第45条第3款规定的欧盟委员会所作的充分性决定的情况下,只有数据控制者或处理者已提供适当保障,并且数据主体可以获得可强制执行的数据主体权利和有效法律救济的条件下,数据控制者或处理者方可将个人数据传输至第三国。前述保障可由欧盟委员会批准的标准数据保护条款等提供。尽管《一般数据保护条例》第46条并未明确“适当保障”“可强制执行”以及“有效法律救济”等要求的性质,但鉴于该条规定载于《一般数据保护条例》第5章之中,故该条规定应根据《一般数据保护条例》第44条(该条规定的标题为“传输的一般原则”)有关“本章所有规定应当适用,以确保本条例所保障的对自然人的个人数据保护水平不受减损”的规定予以解读。在此情形下,无论向第三国传输个人数据依据的是《一般数据保护条例》第5章的哪些规定,该章规定的个人数据保护水平均应予以保障。

欧洲法院注意到,如同本案总法律顾问在其就本案出具的法律意见中所指出的,《一般数据保护条例》第5章的规定旨在依照《一般数据保护条例》“序言”部分第6条规定的目的,在个人数据传输至第三国之际,确保高水平的个人数据保护的连续性。《一般数据保护条例》第45条第1款规定,向第三国传输个人数据可以由欧盟委员会所作的第三国、第三国境内的地区、一个或多个特定部门能够确保充分的个人数据保护水平的决定授权进行。尽管第三国确保其个人数据保护水平与欧盟法律秩序所保障的个人数据保护水平相同并未被要求,但是“充分的个人数据保护水平”应理解为要求第三国通过其国内法或国际承诺,事实上确保了其对基本权利和自由的保护水平与欧盟通过《宪章》和《一般数据保护条例》保障的保护水平实质相同。如果没有此要求,则前述目标将难以实现。为此,《一般数据保护条例》“序言”部分第107条规定,在第三国、第三国境内的地区、一个或多个特定部门不再确保充分个人数据保护水平的情况下,向该第三国传输个人数据应予禁止,除非该传输已满足该条例有关提供适当保障的要求;第108条规定,在缺乏欧盟委员会就个人数据保护充分性作出决定的情况下,数据控制者或处理者依照《一般数据保护条例》第46条第1款提供的适当保障,必须对第三国个人数据保护方面的缺失予以弥补,以确保与欧盟境内的个人数据处理相称的个人数据保护要求以及数据主体权利获得遵守和尊重。由此可见,“适当保障”必须能够确保其个人数据被依照标准数据保护条款传输至第三国的数据主体被赋予的保护水平,与欧盟保障的个人数据保护水平实质相同。

同时,欧洲法院注意到,爱尔兰高等法院询问,与欧盟保障的个人数据保护水平实质相同的保护水平是必须依照欧盟法律,即《宪章》保障的权利和(或)《保护人权和基本自由欧洲公约》规定的基本权利予以确定,还是必须依照欧盟成员国的国内法予以确定。对此,欧洲法院认为,欧盟法律的解释以及欧盟法律合法性的审查均应依照《宪章》所保障的基本权利进行。此外,欧洲法院始终认为,欧盟法律规定的有效性,以及在不存在对欧盟成员国国内法明确援引情况下的欧盟法律的解释,不能依照欧盟成员国的国内法(即使是享有宪法地位的国内法),特别是国内宪法中规定的权利予以解释。因此,考虑到:一是如同案涉个人数据传输这样的由一个欧盟成员国境内设立的经营者出于商业目的而向第三国境内设立的另一经营者所进行的个人数据传输,属于《一般数据保护条例》的适用范围之内;二是《一般数据保护条例》的目的是确保对欧盟境内的自然人进行一致和高水平的保护,并保证在整个欧盟就保护该自然人在个人数据保护方面享有的基本权利和自由的相关规则进行一致和同一的适用。因此,《一般数据保护条例》第46条第1款所要求的基本权利保护水平必须基于该条例的规定,同时结合《宪章》规定的基本权利予以确定。

同时,爱尔兰高等法院亦希望澄清,在个人数据系依照《一般数据保护条例》第46条第2款(c)项规定的标准数据保护条款传输至第三国的情况下,为确定相关个人数据保护水平的充分性,哪些因素应该予以考虑。对此,欧洲法院认为,尽管该项规定未列明评估个人数据保护水平充分性时应予考虑的因素,但鉴于《一般数据保护条例》第46条第1款规定,数据主体必须被赋予适当保障、可强制执行的权利以及有效的法律救济。因此,前述评估应特别考虑欧盟境内设立的控制者或处理者与第三国境内设立的被传输个人数据的接收者之间达成的合同条款,以及第三国法律体系有关该国公权力机关访问被传输的个人数据的相关方面。就后者而言,应予考虑的因素包括《一般数据保护条例》第45条第2款列明的非穷尽性的事项,包括法治、尊重人权和基本自由、普遍的和部门的相关立法等。

据此,欧洲法院认为,对于爱尔兰高等法院提出的第2、3和6个问题的答复为,《一般数据保护条例》第46条第1款和第2款(c)项规定应解释为,这些规定所要求的“适当保障”“可强制执行”以及“有效法律救济”,必须确保其个人数据被依照标准数据保护条款传输至第三国的数据主体被赋予的个人数据保护水平,与欧盟境内由《一般数据保护条例》及《宪章》予以保障的个人数据保护水平实质性相同。在评估该等传输情况下的个人数据保护水平时,应特别考虑欧盟境内设立的控制者或处理者与第三国境内设立的被传输数据的接收者之间达成的合同条款,以及该第三国法律体系有关该国公权力机关访问被传输的个人数据的相关方面,特别是《一般数据保护条例》第45条第2款列明的非穷尽性事项。

3.关于爱尔兰高等法院提出的第8个问题,欧洲法院认为,该问题实质上是询问《一般数据保护条例》第58条第2款(f)和(j)项是否应解释为,若监管机构认为欧盟委员会批准的标准数据保护条款在第三国并未或不能被遵守,并且欧盟法律特别是《一般数据保护条例》第45、46条以及《宪章》所要求的对被传输个人数据的保护不能被确保,则相关监管机构应暂停或禁止依照标准数据保护条款向第三国传输个人数据。

对此,欧洲法院认为,依照《宪章》第8条第3款以及《一般数据保护条例》第51条第1款和第57条第1款(a)项的规定,欧盟成员国监管机构负责监督欧盟在个人数据处理方面保护自然人的相关规则是否获得遵守。每一监管机构均被赋予检查从其所属成员国传输个人数据至第三国是否符合《一般数据保护条例》的权力。从《一般数据保护条例》的上述规定可以看出,监管机构的主要职责是监督《一般数据保护条例》的适用并确保其获得执行。该职责的行使在个人数据被传输至第三国的情况下尤为重要,因为从《一般数据保护条例》“序言”部分第116条可以清楚地看出,在个人数据跨境流出欧盟以外区域的情况下,自然人在行使数据保护权的能力方面可能面临的风险,尤其是在保护其个人数据不被非法使用或披露方面可能面临的风险将大大增加。在此情形下,如同该条例“序言”部分所指出的,监管机构可能发现其无法就境外的活动处理相关申诉或进行调查。

此外,根据《一般数据保护条例》第57条第1款(f)项的规定,每一监管机构应在其管辖区内处理相关申诉(该申诉是数据主体在其认为,对其个人数据的处理违反《一般数据保护条例》的情况下,依照该条例第77条第1款的规定而提起),且应在必要的情况下审查该申诉的性质,同时还应对该申诉审慎处理。

另外,《一般数据保护条例》第78条第1款和第2款确认,每个人均享有获得有效司法救济的权利,特别是在监管机构未能处理其申诉的情况下。《一般数据保护条例》“序言”部分第141条亦提及了在监管机构不作为,而该作为为保护数据主体的权利所需的情况下,数据主体依照《宪章》第47条享有获得有效司法救济的权利。

为处理相关申诉,《一般数据保护条例》第58条第1款赋予每一监管机构广泛的调查权。若监管机构在调查后认为,其个人数据被传输至第三国的数据主体在该第三国未被赋予充分的个人数据保护水平,则其应依照欧盟法律采取适当行动以对任何不足予以补救,无论该不足的理由或性质如何。为此,《一般数据保护条例》第58条第2款列明了监管机构可以行使的各种纠正权。尽管监管机构必须决定何种行动是适当和必需的,且需在其决定中考虑案涉个人数据传输的所有情形,但无论如何,监管机构仍应履行其确保《一般数据保护条例》被尽职尽责地充分执行的职责。就此而言,根据《一般数据保护条例》第58条第2款(f)和(j)项的规定,若相关监管机构认为,根据个人数据传输的所有情况,标准数据保护条款并未或不能在第三国被遵守,并且欧盟法律所要求的对被传输个人数据的保护不能通过其他方式被确保,而数据控制者或处理者自身又未暂停或终止该个人数据传输,则监管机构应暂停或禁止相关个人数据传输至第三国。

欧洲法院指出,《一般数据保护条例》第46条第2款(c)项赋予欧盟委员会批准相关标准数据保护条款的执行权,并不能限制欧盟成员国监管机构根据该《条例》第58条第2款享有的相关权力。此外,如同欧盟委员会《2016/2297号执行决定》“序言”部分第5条所规定的,《标准合同条款决定》并未阻止相关监管机构行使其享有的对数据流动予以监督的权力,包括在监管机构认定相关个人数据传输违反欧盟或欧盟成员国的数据保护法之际,暂停或禁止该传输的权力。

应予强调的是,监管机构的权力受限于完全遵守欧盟委员会的充分性决定,在该决定中,欧盟委员会根据《一般数据保护条例》第45条第1款认定,一个特定的第三国确保了充分的个人数据保护水平。于此场合,根据《一般数据保护条例》第45条第1款的规定,同时结合《一般数据保护条例》“序言”部分第103条的规定,向该特定第三国传输个人数据可以在无需任何特定授权的情况下进行。

根据《欧盟运行条约》第288条第4款的规定,欧盟委员会作出的前述充分性决定对该决定指向的所有欧盟成员国以及这些成员国的所有机构均具有约束力,并且具有授权进行个人数据传输的效果。鉴于此,直至欧盟委员会作出的充分性决定被欧洲法院宣告无效,欧盟成员国及其机构(包括其监管机构)均不能采取与该决定相反的措施,例如意图作出具有约束力的该第三国未确保充分的个人数据保护水平的决定。

不过,欧盟委员会根据《一般数据保护条例》第45条第3款作出的充分性决定,不能阻止其个人数据已被或可能被传输至第三国的个人向适格欧盟成员国监管机构提起在个人数据处理方面保护其权利和自由的申诉。同时,此类性质的决定不能排除或减少《宪章》第8条第3款,以及《一般数据保护条例》第51条第1款、第57条第1款(a)项明确赋予欧盟成员国监管机构的权力。鉴于此,即使欧盟委员会已作出了充分性决定,适格欧盟成员国监管机构在相关个人提起在个人数据处理方面保护其权利和自由的申诉之际,必须能够完全独立地审查系争数据传输是否符合《一般数据保护条例》的要求,并且在相关情况下向欧盟成员国法院提起诉讼,以便欧盟成员国法院在其与监管机构一样对欧盟委员会作出的充分性决定存在疑问之际,向欧洲法院提出先予裁决请求以审查该决定的有效性。

据此,欧洲法院认为,对于爱尔兰高等法院提出的第8个问题的答复是,《一般数据保护条例》第58条第(2)款(f)项和(j)项应解释为,除非存在欧盟委员会作出的有效的充分性决定,否则,在相关监管机构认为,根据个人数据传输的所有情况,标准数据保护条款并未或不能在第三国被遵守,并且欧盟法律所要求的对被传输数据的保护不能通过其他方式被确保,而数据控制者或处理者自身又未暂停或终止该个人数据传输的情况下,该监管机构应暂停或禁止个人数据传输至第三国。

4.关于爱尔兰高等法院提出的第7、11个问题,欧洲法院认为,该问题实质上是寻求欧洲法院根据《宪章》第7、8和47条的规定,澄清《标准合同条款决定》的有效性。具体而言,考虑到《标准合同条款决定》中规定的标准数据保护条款不能约束第三国的监管机构,该决定是否能够确保向第三国传输的个人数据充分的保护水平。

对此,欧洲法院认为,《标准合同条款决定》第1条规定,该决定附件中载明的标准数据保护条款可视为依照《95/46指令》第26条第2款[现为《一般数据保护条例》第46条第1款和第46条第2款(c)项]的要求,就保护隐私以及个人的基本权利和自由提供了充分的保障。不过,尽管在欧盟境内设立的数据控制者与第三国境内设立的被传输数据的接收者订立载有这些条款的合同的情况下,这些条款对数据控制者以及接收者具有约束力,但是,这些条款并不能约束第三国的机构,因为这些机构并非合同的当事人。尽管依据相关第三国现行有效的法律和实践,存在被传输数据的接收者能够仅基于标准数据保护条款,保证对被传输的个人数据进行必要保护的情形,但是也存在这些标准条款的内容在实践中无法构成充分有效的措施,确保对被传输的个人数据进行有效保护的情形,这在第三国的法律允许其公权力机关干预该个人数据的数据主体所享有的权利的情况下更是如此。这就产生了以下问题,即在相关个人数据依照标准数据保护条款被传输或可能被传输至第三国,而欧盟委员会依照《一般数据保护条例》第46条第2款(c)项作出的《标准合同条款决定》又缺乏能够对该第三国的公权力机关予以强制执行的保证的情况下,该《决定》是否无效?

对此,欧洲法院认为,《一般数据保护条例》第46条第1款规定,在不存在欧盟委员会所作的充分性决定的情况下,数据控制者或者处理者仅在其已提供适当保障,并且已满足数据主体可以获得可强制执行的数据主体权利和有效法律救济这一条件的情况下,方可将个人数据传输至第三国。《一般数据保护条例》第46条第2款(c)项规定,这些保障可以由欧盟委员会拟订的标准数据保护条款提供。但是,上述规定并未要求所有的保障均须在欧盟委员会作出,例如在《标准合同条款决定》中提供。需予指出的是,欧盟委员会作出的《标准合同条款决定》有别于其作出的充分性决定,后者意图在考量相关第三国有关国家安全以及公权力机关获取个人数据等法律的基础上对该第三国的法律予以审查,以作出该第三国或其境内的地区或一个或多个特定部门确保了充分的个人数据保护水平,以及该第三国的公权力机关对相关个人数据的访问并未妨碍将这些数据传输至第三国的有效认定。该决定仅在欧盟委员会认定,该第三国的相关立法事实上提供了所有必需的保证,且基于该保证可以认定这些立法确保了充分的个人数据保护水平的情况下,方由欧盟委员会作出。

与此相较,在欧盟委员会作出批准标准数据保护条款的决定,例如《标准合同条款决定》的情况下,若该《决定》未提及第三国或其境内的地区或一个、多个特定部门,则不能从《一般数据保护条例》第46条第1款和第2款(c)项中推定,欧盟委员会在作出该《决定》之前应对该第三国(相关个人数据可能依照标准数据保护条款传输至该国)所确保的个人数据保护水平的充分性进行评估。就此而言,根据《一般数据保护条例》第46条第1款的规定,在不存在欧盟委员会作出的充分性决定的情况下,欧盟境内设立的数据控制者或处理者应提供适当保障。同时,《一般数据保护条例》“序言”部分第108和114条确认,在欧盟委员会未就第三国个人数据保护水平的充分性作出决定的情况下,数据控制者或处理者应采取措施,通过为数据主体提供适当保障的方式,对第三国个人数据保护方面的缺失予以弥补。这些保障应确保与欧盟境内的个人数据处理相称的个人数据保护要求以及数据主体权利获得遵守和尊重,包括在欧盟或第三国获得可强制执行的数据主体权利以及有效的司法救济。鉴于标准数据保护条款依照其固有的契约性质不能约束第三国的公权力机关,而根据《一般数据保护条例》第44、46条第1款、46条第2款(c)项的规定,该《条例》所保障的自然人的个人数据保护水平不能被削弱。因此,对这些标准数据保护条款中载明的保证予以补充可能是必要的。对此,《一般数据保护条例》“序言”部分第109条规定,数据控制者使用欧盟委员会批准的标准数据保护条款的可能性,不能阻止其加入其他条款或额外保障。该条特别规定,数据控制者应被鼓励提供额外保障而对标准数据保护条款进行补充。

鉴此,欧盟委员会基于《一般数据保护条例》第46条第2款(c)项批准的标准数据保护条款仅旨在提供契约性保障,该保障在所有第三国均统一适用于欧盟境内设立的数据控制者和处理者,并因此独立于第三国对个人数据保护的保障。若这些标准数据保护条款因其契约性质而无法在合同义务之外提供相关保障,以确保达到欧盟法律所要求的个人数据保护水平,则这些条款可以基于该第三国的主要情况,要求数据控制者采取补充措施,以确保达到欧盟法律所要求的个人数据保护水平。需要指出的是,《一般数据保护条例》第46条第2款(c)项所规定的合同机制系建立在欧盟境内设立的数据控制者或其分包商以及适格成员国监管机构的责任的基础之上。因此,首先应由数据控制者或处理者在个案基础上且在适当情况下,会同数据接收者依照欧盟法律核查,对于依照标准数据保护条款传输至第三国的个人数据,该第三国的法律是否确保了充分的保护水平,并在必要的情况下提供额外的保障。若欧盟境内设立的数据控制者或处理者未能采取充分的额外措施对该等充分保护水平予以保障,则该数据控制者、处理者或适格监管机构应暂停或停止将相关个人数据传输至第三国。这在该第三国的法律对来自欧盟的个人数据的接收者施以相关义务,而该等义务与标准数据保护条款相悖,并因此将影响以下契约性保证,即在该第三国的公权力机关访问这些个人数据方面确保充分的个人数据保护水平的情况下尤其如此。

据此,欧洲法院认为,欧盟委员会依照《一般数据保护条例》第46条第2款(c)项作出的决定中载明的标准数据保护条款,例如《标准合同条款决定》附件中载明的条款不能约束第三国(相关个人数据将被传输至该国)的机关这一事实,并不能影响该决定的有效性。

接下来,欧洲法院指出,依照《一般数据保护条例》第46条第1款、第2款(c)项以及《宪章》第7、8和47条的规定,欧盟委员会作出的前述决定的有效性取决于该决定是否包含了有效的机制。一方面,该机制在实践中使得确保达到欧盟法律所要求的个人数据保护水平成为可能;另一方面,该机制可以在该决定中载明的标准数据保护条款被违反或不可能被遵守的情况下,对依照该条款进行的个人数据传输予以暂停或禁止。就案涉《标准合同条款决定》附件中载明的标准数据条款所提供的保证而言,从该决定第4条(a)项、(b)项,第5条(a)项,第9条以及第11条第1款可以清楚地看出,欧盟境内设立的数据控制者、相关数据的接收者以及处理者同意确保对该数据的处理(包括对该数据的传输)已依照或将持续依照应适用的数据保护法律进行。而根据该《决定》第3条(f)款载明的定义,“应适用的数据保护法律”系指保护个人的基本权利和自由,特别是这些个人在个人数据处理方面的隐私权的法律,这些法律适用于相关欧盟成员国(数据出口商系于该成员国内设立)境内的数据控制者。据此,《一般数据保护条例》(依据《宪章》予以解释)构成该法律的一部分。

此外,依照案涉《标准合同条款决定》第5条(a)项的规定,第三国境内设立的个人数据接收者承诺将其无法遵守合同义务的情况立即通知欧盟境内设立的数据控制者。依照案涉《标准合同条款决定》第5条(b)项的规定,该接收者确认,其没有理由相信对其适用之法律阻止其履行合同义务;并且,该接收者承诺将对其适用之法律的任何变化(该变化可能对该《决定》附件中载明的标准数据保护条款规定的保证和义务产生实质性不利影响)立即通知数据控制者。尽管该《决定》第5条(d)项(i)目允许该接收者在相关法律禁止其将执法机构提出的具有法律约束力的个人数据披露请求通知欧盟境内的数据控制者的情况下(例如刑法项下旨在保护执法调查秘密性的相关禁止情形),免于进行此通知,但根据该《决定》第5条(a)项的规定,该接收者应将其无法遵守标准数据保护条款的情况通知数据控制者。(https://www.daowen.com)

同时,《标准合同条款决定》第5条(a)和(b)项还赋予了欧盟境内的数据控制者暂停数据传输和(或)终止合同的权利。根据《一般数据保护条例》第46条第1款和第2款(c)项的规定,数据控制者应在接收者不能或不再遵守标准数据保护条款的情况下,暂停数据传输和(或)终止合同。除非数据控制者如此作为,否则其将违反根据《标准合同条款决定》第4条(a)项所承担的义务。

据此,《标准合同条款决定》第4条(a)项以及第5条(a)项和(b)项要求欧盟境内的数据控制者以及第三国境内的个人数据的接收者在将个人数据传输至第三国之前确信,该第三国的法律使得接收者能够遵守《标准合同条款决定》附件中载明的标准数据保护条款。

此外,《标准合同条款决定》第5条的脚注载明,在第三国法律的强制性要求未超越民主社会保障国家安全、国防和公共安全所需范畴的情况下,这些强制性要求与标准数据保护条款并不冲突。反过来说,对第三国法律规定的超越前述范畴的义务予以遵守应视为违反了标准数据保护条款。经营者有关该等义务必要性的评估,必须在相关情况下考虑欧盟委员会作出的充分性决定中有关该第三国所确保的个人数据保护水平的认定。据此,欧盟境内设立的数据控制者以及第三国境内设立的个人数据的接收者必须在任何传输之前对相关第三国是否能够达到欧盟法律所要求的保护水平予以核查。在适当的情况下,该接收者有义务通知数据控制者其无法遵守标准数据保护条款的任何情况,而数据控制者则应相应暂停数据传输和(或)终止合同。

若个人数据的接收者根据《标准合同条款决定》第5条(b)项的规定通知数据控制者,相关第三国的法律不允许其遵守标准数据保护条款,则根据该《决定》第12条的规定,已经传输至该第三国的数据及其副本必须全部返还或销毁。无论如何,根据该《决定》第6条的规定,违反标准数据保护条款将导致相关个人享有就其遭受的损害获取赔偿的权利。还应指出的是,根据该《决定》第4条(f)项的规定,欧盟境内设立的数据控制者承诺在特殊类型的数据,即敏感个人数据可能被传输至未提供充分保护的第三国的情况下,其将在该传输之前通知数据主体或者在传输之后尽快通知数据主体。该通知使得数据主体能够依据该《决定》第3条第1款的规定对数据控制者提起诉讼,以便数据控制者暂停拟议中的数据传输、终止与接收者签订的合同,或者在恰当的情况下要求接收者返还或销毁被传输的个人数据。

还需指出的是,根据《标准合同条款决定》第4条(g)项的规定,欧盟境内设立的数据控制者应在个人数据的接收者根据该《决定》第5条(b)项的规定通知该数据控制者,相关法律的变化可能对标准数据保护条款规定的保证和义务产生实质性的不利影响,然而,尽管存在该通知,该数据控制者仍然决定继续数据传输或对暂停传输予以取消之际,将上述通知转呈适格监管机构。结合《标准合同条款决定》第4条以及《2016/2297执行决定》“序言”部分第5条的规定,可以认定,《标准合同条款决定》并未阻止适格监管机构在适当的情况下暂停或禁止依照标准数据保护条款将个人数据传输至第三国。根据欧洲法院对爱尔兰高等法院提出的第8个问题的答复,除非存在欧盟委员会作出的有效的充分性决定,否则,在相关监管机构认为根据个人数据传输的所有情况,标准数据保护条款并未或不能在第三国被遵守,并且欧盟法律所要求的对被传输的个人数据的保护不能通过其他方式被确保,而数据控制者或处理者自身又未暂停或终止该个人数据传输的情况下,该监管机构应暂停或禁止个人数据传输至第三国。

至于数据保护专员强调的向第三国传输个人数据可能导致各欧盟成员国的监管机构作出不同决定这一事实,欧洲法院认为,从《一般数据保护条例》第55条第1款和第57条第1款(a)项可以清楚地看出,在各欧盟成员国管辖区域内执行该条例的任务原则上被赋予相关欧盟成员国的监管机构。此外,为了避免作出不同的决定,根据《一般数据保护条例》第64条第2款的规定,若相关监管机构认为,向第三国传输数据原则上应予禁止,则该监管机构可将该事项提交欧洲数据保护委员会以取得该委员会的意见。而该委员会可以依照《一般数据保护条例》第65条第1款(c)项的规定作出有约束力的决定,特别是在相关监管机构未遵守该委员会发布意见的情况下。

据此,欧洲法院认为,欧盟委员会作出的《标准合同条款决定》已经规定了有效的机制,该机制在实践中确保了在被传输的个人数据的接收者未遵守或无法遵守该《决定》附件中载明的标准数据保护条款的情况下,向第三国进行的个人数据传输被暂停或禁止。

综上,欧洲法院认为,对于爱尔兰高等法院提出的第7、11个问题的答复是,基于《宪章》第7、8以及47条对标准合同条款进行的审查,并未揭示任何影响《标准合同条款决定》有效性的因素。

5.关于爱尔兰高等法院提出的第4、5、9和10个问题,欧洲法院认为,爱尔兰高等法院提出的第9个问题实质上是询问,欧盟委员会作出的《隐私盾决定》中有关美国确保了充分的个人数据保护水平的认定,是否以及在何种程度上对欧盟成员国的监管机构具有约束力。同时,爱尔兰高等法院提出的第4、5和10个问题实质上是询问,依照爱尔兰高等法院自身有关美国法律的认定,根据《标准合同条款决定》附件中载明的标准数据保护条款向第三国传输个人数据,是否侵犯了《宪章》第7、8以及47条规定的权利。此外,《隐私盾决定》附件三中所引入的隐私盾监察专员的做法是否符合《宪章》第47条的规定?

对此,欧洲法院注意到,尽管数据保护专员在爱尔兰高等法院提起的诉讼仅对《标准合同条款决定》提出质疑,但该诉讼系在欧盟委员会作出《隐私盾决定》之前提起。因爱尔兰高等法院在其第4、5个问题中询问欧洲法院,根据《宪章》第7、8和47条的规定,就案涉个人数据传输而言何种保护应被确保,故欧洲法院的分析必须考虑欧盟委员会后续作出《隐私盾决定》所产生的后果。同样的结论亦适用于欧洲法院对爱尔兰高等法院提出的第10个问题的答复,因为爱尔兰高等法院在该问题中明确询问,《宪章》第47条所要求的保护是否因《隐私盾决定》所规定的隐私盾监察专员而被确保。

此外,在案信息显示,脸书爱尔兰公司在本案中主张,《隐私盾决定》有关美国确保了充分的个人数据保护水平的认定,对数据保护专员具有约束力,并因此在依照标准数据保护条款向第三国传输个人数据的合法性问题上,对数据保护专员具有约束力。另外,在其2017年10月3日就本案所作的判决中,爱尔兰高等法院认为,其应考虑自本案提起至本案庭审期间发生的相关法律的修改。鉴此,为了对本案进行审理,欧洲法院应考虑因《隐私盾决定》的作出而导致的情况变化以及该决定的约束力。值得一提的是,《隐私盾决定》有关美国确保了充分的个人数据保护水平的认定是否具有约束力这一问题,与评估相关个人数据(该数据系依照标准数据保护条款向第三国传输)的数据控制者和接收者的义务,以及监管机构暂停或禁止该传输的义务相关。

就《隐私盾决定》是否具有约束力而言,《隐私盾决定》第1条第1款规定,对于欧盟—美国隐私盾项下从欧盟传输至美国境内机构的个人数据,美国确保了充分的保护水平。同时,依照该《决定》第1条第3款的规定,在个人数据系从欧盟传输至美国境内的机构,而该机构包含在“隐私盾清单”(该清单由美国商务部依照该《决定》附件二中载明的相关原则维系,并向公众提供)之中的情况下,该个人数据将被视为依照欧盟—美国隐私盾进行传输。而从欧洲法院的判例可以看出,《隐私盾决定》有关美国确保了充分的个人数据保护水平的认定对监管机构具有约束力,并因此具备授权在欧盟—美国隐私盾项下传输个人数据的效力。鉴此,迄至欧洲法院宣告该《决定》无效之时,就依照该隐私盾传输的个人数据而言,适格监管机构不能因其认为,与欧盟委员会在《隐私盾决定》中所作的认定相反,美国有关其公权力机关出于国家安全、执法以及其他公共利益目的而访问及使用前述个人数据的法律并未确保充分的保护水平,因而暂停或禁止将个人数据传输给遵守该隐私盾的相关机构。鉴于依照欧洲法院的判例,在相关个人向适格监管机构提交申诉之时,该机构必须能够完全独立地审查系争数据传输是否符合《一般数据保护条例》的要求,并且在相关情况下向欧盟成员国法院提起诉讼,以便欧盟成员国法院在其与监管机构一样对欧盟委员会作出的充分性决定存在疑问的情况下,向欧洲法院提出先予裁决请求,以审查该《决定》的有效性。因此,根据《一般数据保护条例》第77条第1款提起的申诉(在该申诉中,其个人数据已被或可能被传输至第三国的个人主张,不论欧盟委员会在其依据《一般数据保护条例》第45条第3款作出的充分性决定中是如何认定的,该第三国的法律和实践并未确保充分的个人数据保护水平)应理解为实质上涉及该充分性决定是否与保护隐私以及个人的基本权利和自由相符这一问题。

本案中,马克西米利安·施雷姆斯先生请求数据保护专员禁止或暂停脸书爱尔兰公司将其个人数据传输给设立在美国的脸书公司,理由是美国并未确保充分的个人数据保护水平。在对马克西米利安·施雷姆斯先生的主张进行调查之后,数据保护专员将该事项提交给爱尔兰高等法院。该院根据当事人提交的证据以及提出的主张似乎无法确定,尽管欧盟委员会在《隐私盾决定》中作出了相关认定,马克西米利安·施雷姆斯先生就美国个人数据保护水平充分性提出的质疑是否具备依据,这导致该院向欧洲法院提出了第4、5、10个问题。这些问题由此应视为就欧盟委员会在《隐私盾决定》中所作的、美国对于从欧盟传输至该国的个人数据确保了充分的保护水平这一认定提出质疑,并因此对《隐私盾决定》的有效性提出质疑。基于前述考量,并且为了给予爱尔兰高等法院一个充分的回答,应就《隐私盾决定》是否符合《一般数据保护条例》和《宪章》的要求进行审查。

欧洲法院指出,欧盟委员会如欲依照《一般数据保护条例》第45条第3款作出充分性决定,就必须在适当说明理由的情况下认定,相关第三国通过其国内法或国际承诺,事实上确保了其对基本权利的保护水平与欧盟法律秩序保障的保护水平实质相同。

欧洲法院注意到,在《隐私盾决定》第1条第1款中,欧盟委员会认定,美国对依照欧盟—美国隐私盾,从欧盟传输至美国境内机构的个人数据确保了充分的保护水平。根据该《决定》第1条第2款的规定,欧盟—美国隐私盾由该《决定》附件二中载明的美国商务部2016年7月7日公布的原则,以及该《决定》附件一和三所列文件中载明的官方陈述和承诺组成。不过,《隐私盾决定》亦在附件二第1.5段中规定,对这些原则的遵守可以在国家安全、公共利益或执法要求所需的范围内予以限制。因此,该《决定》和《2000/520决定》一样,对前述要求优先于这些原则作出了规定。据此,在这些原则与前述要求冲突并因此与这些要求不符的情况下,从欧盟接收个人数据的自我证明的美国机构应不受限制地忽略这些原则。鉴于该《决定》附件二第1.5段中载明的限制的宽泛性质,在相关个人的个人数据已被或可能被从欧盟传输至美国之际,这些限制已使得对这些个人的基本权利进行干预(该干预系基于美国国家安全、公共利益或其国内立法)成为可能。值得一提的是,如同《隐私盾决定》所指出的,此类干预产生于美国公权力机关依照《美国外国情报监视法》第702条以及12333号行政命令,通过棱镜计划、上游计划访问和使用从欧盟传输至美国的个人数据的行为。对此,欧盟委员会在《隐私盾决定》第67和135条中评估了美国法律[包括《美国外国情报监视法》第702条、《12333号行政命令》以及《第28号总统政策指令》(以下简称《28号指令》)]就美国公权力机关出于国家安全、执法和其他公共利益目的,访问和使用依照欧盟—美国隐私盾传输的个人数据所规定的限制和可获得的保障。在评估之后,欧盟委员会在该《决定》第136条中认定,对于从欧盟传输至美国境内自我证明机构的个人数据,美国确保了充分的个人数据保护水平。此外,欧盟委员会还在该《决定》第140条中认定,基于有关美国法律秩序的相关信息,美国公权力机关出于国家安全、执法或其他公共利益目的,对其数据依照《隐私盾决定》从欧盟传输至美国的个人的基本权利的干预,以及就美国境内的自我证明机构遵守相关原则的限制,将限于就实现合法目的而言充分必要的范围,且防止该类干预的有效法律保护确实存在。

欧洲法院同时注意到,基于欧盟委员会在《隐私盾决定》中提及的相关因素以及爱尔兰高等法院在本案中所作的相关认定,爱尔兰高等法院就美国法律是否事实上确保了《一般数据保护条例》第45条以及《宪章》第7、8和47条所要求的充分保护水平存在疑问。该院认为,美国法律并未就其国内法律授权的干预提供必要的限制和保障,且未确保防止该类干预的有效司法保护。关于司法保护,爱尔兰高等法院指出,引入隐私盾监察专员并不能弥补上述缺陷,因为监察专员不能等同于《宪章》第47条规定的法庭。

对此,欧洲法院提出以下观点。

一是就《宪章》第7和8条(这两条规定促进了欧盟所要求的保护水平,在欧盟委员会根据《一般数据保护条例》第45条第1款作出充分性决定之前,欧盟委员会必须认定对这两条规定的遵守情况)的规定而言,《宪章》第7条规定,每个人均享有其私人和家庭生活获得尊重的权利;《宪章》第8条第1款则明确赋予每个人个人数据保护权。因此,为保留或使用自然人的个人数据而访问该数据,因涉及与已识别或可识别的个人相关的任何信息,故影响了《宪章》第7条所保障的私人生活获得尊重的基本权利。该等数据处理亦包括在《宪章》第8条的范围之内,因为其构成该条规定的个人数据处理,并因此必须遵循该条规定的数据保护要求。欧洲法院已经判决,将个人数据传送给诸如公权力机关之类的第三方构成对《宪章》第7条规定的基本权利的干预,无论对被传送信息的后续使用如何。同时,保留并访问相关个人数据以便公权力机关使用亦构成对《宪章》第7条规定的基本权利的干预。于此场合,与私人生活相关的信息是否敏感信息,或者相关个人是否因该干预而遭受任何不利后果均无关紧要。不过,《宪章》第7和8条所规定的权利并非绝对权利,而是必须根据其在社会中的功能予以考量。就此,根据《宪章》第8条第2款的规定,个人数据必须“出于特定目的并基于相关个人的同意或法律规定的其他合法理由”而予以处理。此外,根据《宪章》第52条第1款第1段的规定,对《宪章》规定的权利和自由的行使之任何限制都必须由法律规定,并尊重这些权利和自由的本质。根据《宪章》第52条第1款第2段的规定,依据比例原则,此类限制只有在具备必要性并确实符合欧盟所确认的总体利益目标或保护他人权利和自由的需要之际始得为之。

欧洲法院进一步指出,首先,任何对基本权利行使的限制都必须由法律规定的要求,意味着允许干预这些权利的法律依据本身必须界定这些限制的范围。其次,为了满足比例原则的要求(根据该原则,有关个人数据保护的减损和限制只有在充分必要的情况下方可适用),导致该干预的相关立法必须制定清晰和准确的规则,以规范有关措施的范围和适用,并采取最低限度的保障措施,以便其数据被保留的个人拥有充分的保障,可以有效地保护其个人数据免遭滥用的风险。该立法必须特别指出,在何种情况和条件下可以采取相关措施(该措施就该等数据的处理作出了规定),从而确保将干预限制在充分必要的范围之内。在个人数据受制于自动处理的情况下,对此类保障措施的需求将更为迫切。正因如此,《一般数据保护条例》第45条第2款(a)项规定,在评估第三国数据保护水平的充分性时,对于其个人数据被传输的数据主体,欧盟委员会应对有效和可强制执行的数据主体权利予以特别考虑。

在本案中,欧盟委员会在《隐私盾决定》中作出的美国确保了充分的个人数据保护水平,该水平与欧盟境内由《一般数据保护条例》以及《宪章》保障的保护水平实质性相同的认定遭到了质疑,理由是产生于相关监控计划(这些计划系基于《美国外国情报监视法》第702条以及12333号行政命令进行)的干预并未满足以下要求,即在受限于比例原则的情况下,确保相关个人数据保护水平与《宪章》第52条第1款第2段所保障的个人数据保护水平实质相同。鉴于此,有必要对这些监控计划的执行是否受制于前述要求进行判断。同时,事先确定美国是否遵守了与《宪章》第52条第1款第1段规定的条件实质相同的条件并无必要。

就基于《美国外国情报监控法》第702条进行的监控计划而言,欧盟委员会在《隐私盾决定》第109条中认定,根据《美国外国情报监控法》第702条的规定,美国外国情报监控法院不对单个监控措施进行授权,而是基于美国司法部长以及国家情报总监提交的《年度认证书》对监控计划(例如棱镜计划和上游计划)进行授权。从第702条的规定可以看出,美国外国情况监控法院的职责是核实这些监控计划是否与获取外国情报信息的目的相关,该法院的职责并未涵盖相关个人是否获取外国情报信息的恰当目标这一问题。因此,第702条规定既未指明对执行外国情报监控计划的权力的任何限制,亦未指明对非美国个人(这些个人系该等监控计划的潜在目标)的保障措施的存在。在此情况下,该条规定无法确保美国的个人数据保护水平与《宪章》保障的个人数据保护水平实质相同。而根据欧洲法院判例的诠释,为了满足比例原则的要求,允许对基本权利进行干预的法律对这些权利的限制范围予以界定,并制定清晰和准确的规则,以规范有关措施的范围和适用,并采取最低限度的保障措施。

根据《隐私盾决定》中的认定,对于根据《美国外国情报监控法》第702条进行的相关监控计划,其执行事实上受制于《28号指令》的要求。不过,尽管欧盟委员会在《隐私盾决定》第69和77条中认定,《28号指令》的要求对美国情报机关具有约束力,但美国政府在回答欧洲法院提出的问题时承认,《28号指令》并未赋予数据主体在相关法院针对美国机关提起诉讼的权利。因此,《隐私盾决定》因违反了《一般数据保护条例》第45条第2款(a)项的以下要求,即相同个人数据保护水平的认定取决于其个人数据被传输至相关第三国的数据主体是否拥有有效的和可强制执行的权利,故不能确保美国的个人数据保护水平与《宪章》保障的个人数据保护水平实质相同。

至于根据《12333号行政命令》进行的监控计划,从在案材料可以清楚地看出,该命令亦未赋予数据主体针对美国机关的可在相关法院强制执行的权利。此外,这些监控计划须予遵守的《28号指令》允许在情报机关无法使用与特定目标相关的识别码,集中收集该目标的信息的情况下,对该目标的大量信号情报信息或数据进行批量收集。鉴于此,一方面,《28号指令》允许美国机关在基于《12333号行政命令》进行的监控项目中访问传输中的个人数据,且该访问不受任何司法审查;另一方面,该指令未以充分清晰和准确的方式,对个人数据批量收集的范围予以界定。

据此,《美国外国情报监控法》第702条、《12333号行政命令》以及《28号指令》均与比例原则所要求的最低限度保障措施无关,其结果是基于这些规定进行的监控计划不能视为限于充分必要的范围。在此情况下,对个人数据保护的限制(该限制源自美国有关公权力机关访问和使用从欧盟传输至美国的个人数据的国内法律,且已为欧盟委员会在《隐私盾决定》中评估)并未以符合相关要求(该要求与《宪章》第52条第1款第2段所规定的要求实质相同)之方式予以限定。

二是就《宪章》第47条(该条规定亦促进了欧盟所要求的保护水平,且欧盟委员会在其根据《一般数据保护条例》第45条第1款作出充分性决定之前,亦须认定对该条规定的遵守情况)的规定而言,第47条第1段要求每个权利和自由(该权利和自由为欧盟法律保障)被侵犯的人均享有依照该条规定的条件在法庭获得有效救济的权利。依照该条第2段,每个人均有权获得独立和公正的法庭审理。依照欧洲法院的判例,用以确保欧盟法律规定获得遵守的有效司法审查存于法治之中。因此,未就个人可以寻求相关法律救济,以访问、纠正和删除其个人数据这一可能性作出规定的法律未能尊重《宪章》第47条规定的获得有效司法保护这一基本权利的本质。正因如此,《一般数据保护条例》第45条第2款(a)项要求欧盟委员会在评估第三国个人数据保护水平的充分性时,应特别考虑其个人数据被传输的数据主体可获得的行政和司法救济。对此,《一般数据保护条例》“序言”部分第104条规定,第三国应确保有效的独立数据保护监督,并规定与欧盟成员国数据保护机构的合作机制。该条还规定,第三国应向数据主体提供有效和可强制执行的权利,以及有效的行政和司法救济。在向相关第三国传输个人数据的情况下,该第三国存在此类有效救济尤为重要,因为根据《一般数据保护条例》“序言”部分第116条的规定,数据主体可能会发现欧盟成员国的行政和司法机关缺乏充分的权力和手段,就数据主体提出的申诉(该申诉系基于传输至第三国的数据主体的个人数据遭非法处理的主张而提出)采取有效的行动,而这将迫使数据主体向第三国的机关和法院寻求帮助。

在本案中,欧盟委员会在《隐私盾决定》中所作的美国所确保的个人数据保护水平与《宪章》第47条保障的个人数据保护水平实质相同的认定受到质疑,理由是隐私盾监察专员的引入并不能对欧盟委员会自身认定的美国法律在相关个人(这些个人的数据被传输至美国)司法保护方面存在的瑕疵予以补救。对此,欧盟委员会在该《决定》第115条中认定,尽管个人(包括欧盟数据主体)在其成为出于国家安全目的而进行的非法(电子)监控的对象之时,拥有诸多救济渠道,但很明显,这并不涵盖美国情报机关可以适用的某些法律(例如《12333号行政命令》)。因此,就《12333号行政命令》而言,欧盟委员会已在《隐私盾决定》“序言”部分第115条中强调了救济机制的缺失。依照欧洲法院的判例,对于根据《12333号行政命令》而对相关情报计划进行的干预,相关司法保护的空白使得欧洲法院无法认定,美国法律确保了与《宪章》第47条保障的个人数据保护实质相同的水平。此外,对于根据《美国外国情报监控法》702条和《12333号行政命令》进行的监控计划,《28号指令》和《12333号行政命令》均未赋予数据主体针对美国机关在相关法院提起诉讼的权利。在此情形下,数据主体并不享有获得有效救济的权利。

尽管如此,欧盟委员会仍然在《隐私盾决定》“序言”部分第115和116条中认定,作为美国主管部门引入隐私盾监察专员机制(该监察专员在性质上属于国际信息技术外交高级协调员)的结果,美国确保了与《宪章》第47条保障的个人数据保护水平实质相同的保护水平。鉴于依照《宪章》第47条的规定和欧洲法院的判例,对于隐私盾监察专员机制事实上是否能够解决以下问题,即欧盟委员会认定的对于司法保护权利的限制这一问题的审查,应从数据主体必须拥有在独立、公正的法院提起诉讼,以访问、修改或删除其个人数据这一前提开始。而在美国国务卿致欧盟司法机关、消费者和性别平等委员的函件中,隐私盾监察专员虽被描述为独立于情报界,但却得向美国国务卿直接报告,美国国务卿将确保该监察专员客观地履行其职能,并不受不当影响。此外,除了欧盟委员会在该《决定》第116条中认定的该监察专员系由美国国务卿委派且系美国国务院的一部分这一事实之外,该决定并未指明,对该监察专员的解雇或撤职有任何特殊的保障,而这损害了该监察专员的独立性。

尽管《隐私盾决定》第120条提及了美国政府所作的以下承诺,即对于隐私盾监察专员发现的违反规则的任何情形,情报机关的组成部门应予纠正。但该决定并未指明,该监察专员有权作出对这些情报机关具有约束力的决定,且未提及数据主体可依赖的与该政治承诺相伴的法律保障。在此情况下,《隐私盾决定》所提及的隐私盾监察专员机制并未向其数据被传输至美国的相关个人提供在任何机构的诉因,而该诉因则向这些个人提供了与《宪章》第47条所要求的保障实质相同的保障。

鉴此,欧盟委员会因其在《隐私盾决定》第1条第1款中认定,对于从欧盟传输至美国境内机构的个人数据,美国确保了充分的保护水平,故无视了《一般数据保护条例》第45条第1款以及《宪章》第7、8、47条规定的要求。据此,《隐私盾决定》第1条因与《一般数据保护条例》第45条第1款的规定不符而无效。因该《决定》第1、2、6条以及附件不可分,因此,该《决定》第1条的无效使得该《决定》全部无效。

综上,欧洲法院认定,欧盟委员会所作的《隐私盾决定》无效。同时,欧洲法院指出,关于为防止法律真空而保持该决定的效力是否恰当的问题,根据《一般数据保护条例》第49条的规定,撤销该《决定》不会导致法律真空,因为该条规定详细说明了在缺乏《一般数据保护条例》第45条第3款规定的充分性决定或者《一般数据保护条例》第46条规定的适当保障的情况下,向第三国传输个人数据的条件。