施雷姆斯：欧洲的斯诺登

诺伊尔·勒努瓦（No?lle Lenoir）

施雷姆斯提出了一个激进方案，该方案可能成为在欧盟营商的条件：所有与欧洲人相关的数据，必须托管于在欧盟的服务器上。如果这一提案获得支持，影响可能非常深远;事实上，它可能导致禁止使用当前形式下的互联网，及其价值数千亿欧元的各种服务。

2015年10月，28岁的奥地利隐私维权活动家、维也纳大学研究生马克斯·施雷姆斯（Max Schrems）提起的诉讼给所谓的“安全港（Safe Harbor）协议”画上了句号。安全港协议是关于美国企业如何遵守欧盟隐私法的。欧洲法院的这一裁决给大约4500家美国公司的数据收集、处理、传输和储存带来了法律上的不确定性。

这一裁决让很多欧洲人将施雷姆斯和爱德华·斯诺登相提并论。斯诺登是一位美国情报承包商，他将关于美国全球监控计划的保密信息泄露给公众。事实上，施雷姆斯的官司的许多信息来自斯诺登的披露，其中包括美国国家安全局一个计划的细节。美国公司被控根据该计划向国家安全局提供储存在公司计算机系统中的个人信息。根据欧洲法院的裁决，美国公司与美国情报机构之间的这一合作违反了欧盟基本权利宪章（EU Charter of Fundamental Rights）关于隐私权利和数据保护的规定。

欧洲法院释放出明确的信号：除非美国政府修改收集情报的方式，限制对个人数据的获取并采取具体问题具体分析的调查方针，否则就不允许消费者信息通过安全港框架从欧盟传输给美国。

2月2日，美国和欧洲达成一项新协议—隐私盾（Privacy Shield）—以满足法庭的要求，包括了关于执法人员和国家安全官员使用来自欧洲的个人数据时应遵循的“明确的限制、安全和监督机制”。此外，欧洲公民将获得就在美国的个人数据保护针对美国政府机构提出民事诉讼的权利。

隐私盾必须通过欧盟28个成员国的正式批准，此外还需要获得欧盟委员会“充分决定”（adequacy decision，可能会在4月作出）的支持。与此同时，该协议将受到第29条工作组（Article 29 Working Party，由成员国数据保护部门的代表组成）的审核。在隐私盾获得批准前，第29条工作组将要求在欧洲的美国公司使用其他工具—“标准合同条款”和“有法律约束力的公司规则”—将数据传输到美国，以避免受到欧洲国家数据保护监管机构的追查。

毫不奇怪会达成这样的协议。11月巴黎袭击发生后，大部分欧洲公民将打击伊斯兰恐怖主义列为头等大事。政府也希望改善情报收集的效率—而自绝于美国绝不是实现这一目标的好办法。

扩大情报机构能力会遭到巨大压力，比如国家政府向欧洲议会施压，要求采取允许收集航空乘客数据的立法。这一法令要求航空公司向政府提供进出欧盟机场的旅客的姓名、地址、电话号码、信用卡详细内容和旅程信息。预计该法令将在今年早些时候投票表决。

尽管形成了隐私盾协议，但施雷姆斯的官司仍有可能继续在整个欧盟引起回响。法庭判决敦促数据保护部门确保接收欧盟公民数据传输的国家遵守欧盟立法，并停止向不遵守欧盟立法的国家传输数据。

因此，除了对公司和美国情报收集的影响，欧洲法院的这一裁决还给欧盟成员国的情报机构的行为带来了问题。事实上，尽管欧盟条约规定每个成员国都需要独力负责自身国家安全，但国家情报机构使用个人数据的方法可能会遭到特别检查。此外，将该裁决的法理应用到向第三方国家（如中国、俄罗斯或印度）传输数据的情况可能引起外交事故。

欧盟监管者可能还不知道施雷姆斯的最新动作—他已经提出了多项类似于推翻了安全港隐私原则的诉讼的指控。他提出了一个激进方案，该方案可能成为在欧盟营商的条件：所有与欧洲人相关的数据，必须托管于在欧盟的服务器上。如果这一提案获得支持，影响可能非常深远;事实上，它可能导致禁止使用当前形式下的互联网，及其价值数千亿欧元的各种服务。

本文由Project Syndicate授权《南风窗》独家刊发中文版。作者是法国前欧洲事务部长，现为巴黎高等商业学院欧洲研究所主任，她是智库Cercle des Européens创始人兼主席，也是法国宪法法院最年轻的、第一位女性成员。