信息來源:安全內(nèi)參
7月19日,據(jù)歐洲媒體EURACTIV報(bào)道,因IP地址等個(gè)人信息被轉(zhuǎn)移到美國,一位德國公民起訴歐盟委員會(huì)違反《通用數(shù)據(jù)保護(hù)條例》(GDPR)。
支持原告方的歐洲數(shù)據(jù)協(xié)會(huì)(EuGD)指出,該訴訟涉及歐洲未來會(huì)議(Conference of The Future of Europe)網(wǎng)站。該網(wǎng)站為歐盟委員會(huì)牽頭成立,旨在讓歐盟公民參與決定歐盟及其成員國的未來。亞馬遜網(wǎng)絡(luò)服務(wù)(Amazon Web Services)托管此網(wǎng)站,這也意味著,用戶在此網(wǎng)站進(jìn)行注冊(cè)時(shí),IP地址等個(gè)人數(shù)據(jù)都將被轉(zhuǎn)移到位于美國的亞馬遜服務(wù)器。
根據(jù)GDPR規(guī)定,在歐盟委員會(huì)未作出充分性認(rèn)定的情況下,控制者或處理者只有在提供了適當(dāng)?shù)谋U洗胧?,并為?shù)據(jù)主體提供了可執(zhí)行的權(quán)利和有效的法律救濟(jì)措施的條件下,才可將個(gè)人數(shù)據(jù)轉(zhuǎn)移到第三國。
就在兩年前,歐盟法院在Schrems II一案中判決已實(shí)施了四年的“隱私盾”(歐盟與美國之間的數(shù)據(jù)傳輸協(xié)議)無效。法院認(rèn)為,在該協(xié)議下,美國情報(bào)機(jī)關(guān)仍有可能獲取用戶信息,歐盟公民的個(gè)人數(shù)據(jù)無法得到應(yīng)有的保護(hù)。
上述發(fā)起訴訟的德國公民認(rèn)為,歐盟執(zhí)行機(jī)構(gòu)不僅涉嫌非法傳輸數(shù)據(jù),而且未能充分披露有關(guān)其數(shù)據(jù)處理的信息。
原告曾兩次要求歐盟委員提供有關(guān)處理個(gè)人數(shù)據(jù)的資料,其中一個(gè)問題沒有得到完整的回答,另一個(gè)問題根本沒有得到回答。原告認(rèn)為這侵犯了數(shù)據(jù)保護(hù)法律規(guī)定的對(duì)于個(gè)人數(shù)據(jù)處理的知情權(quán)。
EuGD創(chuàng)始人托馬斯* 賓德爾(Thomas Bindl)稱,針對(duì)歐盟委員會(huì)的訴訟是歐洲數(shù)據(jù)保護(hù)的一個(gè)信號(hào)。
“即使法院的裁決不會(huì)為德國、西班牙或其他國家的判例提供任何直接指導(dǎo)方針,我們依然看到了其中的重大意義。這將意味著每個(gè)人都必須遵守?cái)?shù)據(jù)保護(hù)要求”他補(bǔ)充說。
賓德爾在接受媒體采訪時(shí)表示,如果一家飯店或面包店必須想辦法遵守向美國傳輸數(shù)據(jù)的法令,那么歐盟委員會(huì)也必須這樣做,不能存在雙重標(biāo)準(zhǔn)。
EuGD亦向歐洲數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)(European Data Protection Supervisor,EDPS)提出了投訴,但是EDPS因訴訟懸而未決而暫停了調(diào)查。
對(duì)此,歐洲數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)以及歐盟委員會(huì)未予回復(fù)。據(jù)EuGD官網(wǎng)消息,目前該訴訟已被歐盟普通法院(the General Court of the European Union)受理。