Schrems案例的背景
Schrems I(2015年)和Schrems II(2020年)改变了国际数据转移的法律。
Both案例由奥地利活动家Max Schrems和他的非营利组织NOYB("None of Your Business")提起。
Schrems I结果: 欧洲法院推翻了安全港协议(允许美国转移) Schrems II结果: 欧洲法院说标准合约条款对美国转移是不够的,需要补充措施
Schrems I:安全港的推翻
安全港是1990年代建立的框架,允许美国公司接收欧洲PII而无需特殊保护,如果他们"自我认证"符合欧洲隐私标准。
Schrems争论:"美国政府通过NSA监视美国公司中的所有数据。安全港不起作用。"
欧洲法院同意。Schrems I推翻了安全港(2015年)。
Schrems II:标准合约条款的不足
Schrems II解决了Schrems I的推翻后会发生什么。
新框架使用了"标准合约条款"(SCC)。
Schrems问:"SCC说美国公司会保护数据,但美国政府仍然可以通过FISA 702访问它。SCC无法改变那个。所以SCC是否真的保护欧洲数据?"
欧洲法院说:"不足够。SCC需要通过额外的缓解措施(如加密)来补充。"
Schrems II的真实影响
Schrems II意味着:
-
转移到美国需要SCC +补充措施
- 许多组织仍然使用旧的SCC而没有补充措施
-
Google Analytics和Facebook像素可能违法
- 许多欧洲网站使用美国工具而没有SCC或补充措施
-
美国云服务需要评估
- AWS、Azure、Google Cloud可能需要加密或专用区域来处理欧盟数据
奥地利DSB(Datenschutzbehörde)的角色
奥地利DSB与NOYB合作发起了Schrems案例。该机构对转移执行特别严格。
DSB要求:
- 所有转移到非等效国家的完整SCC
- 美国转移的补充措施
- 定期审查以评估新的监视法
NOYB案例简表
| 案例 | 年份 | 主要成果 |
|---|---|---|
| Schrems I | 2015 | 安全港推翻 |
| Schrems II | 2020 | SCC需要补充 |
| Noyb vs Meta | 2023 | Cookie同意无效 |
| NOYB vs Google | 2024 | 谷歌分析违法 |
奥地利对GDPR转移的要求
如果在奥地利运营:
-
任何国际转移都需要法律机制
- 充分性决定或SCC
-
美国转移需要额外的评估
- SCHREMS II兼容性
- 补充措施评估
-
定期审查
- 每年评估转移合法性
底线
Schrems案例改变了国际转移。奥地利DSB和NOYB继续推动强有力的PII保护。
来源: