Skip to main content

施莱姆斯二世

TL;DR

Schrems II是一个ECJ(欧洲法院)案件的名称,该案件是基于美国公司不能确保足够的个人数据保护标准的事实。因此,欧盟和美国之间的个人数据传输成为非法,它们之间的隐私保护协议也变得过时。

Schrems II是什么意思?

Schrems II是欧洲法院对一个案件的总称,该案件在2020年7月16日作出了有利于Max Schrems的裁决,导致欧盟-美国隐私保护协议无效。这导致任何类型的数据处理者在没有充分解释风险的情况下,使用来自美国的服务,让这些服务接触到欧盟公民的个人数据,都成为非法行为。其后果非常严重,以至于一些主要的美国公司(如Facebook)考虑完全中断其在欧盟的业务。

此前,由同一人发起的名为Schrems I的案件,在2015年也曾出现过类似的结果。欧洲法院在Schrems II案中的决定是基于这样的论点:特别是由于美国的立法,如CLOUD法案,如果个人数据由美国公司处理,就没有办法保证其隐私。联邦机构使用搜查令总是可以迫使谷歌或Facebook等数据处理者披露用户的个人信息,而不需要得到他们的任何同意。含有这些数据的服务器实际放置在哪里并不重要。因此,任何欧盟公民访问在美国托管的网站,或任何使用由美国公司管理的第三方应用程序(如谷歌分析)的网站,都需要被正确告知数据传输的所有法律影响以及所有风险。

关于Schrems II的后果的更多细节,你可以阅读这个概述。概括地说,它们是

  • 拥有欧盟访客的网站所有者不能将数据存储在欧盟之外,除非该国的法律能够为数据提供足够的保护水平
  • 网站使用的任何第三方服务也必须提供保护,因此不能设在美国。这些服务可能包括:网站分析工具、客户关系管理工具、广告服务、聊天工具、用户洞察工具等。
  • 基于 "隐私保护"而被豁免的美国公司名单已不再合法运营
  • 同意横幅必须包括具体的cookie信息,以及数据传输规定