歐洲法院剛剛否決了《歐盟-美國隱私保護》（EU-US Privacy Shield）。該協議是由美國商務部和歐盟委員會草擬制定，允許美國公司將歐盟用戶的相關數據轉移到美國市場，而條件就是這些數據需要按照歐盟GDPR所要求的標准進行處理。

圖片來自於微軟

歐洲法院在一份聲明中表示：“法院裁定《歐盟-美國隱私保護》所提供的保護和第2016/1250 號決定衝突。美國國家安全、公共利益和執法的要求具有優先性，從而縱容了對數據被轉移到該第三國的人的基本權利的干涉。為保護歐盟公民在美國的數據而採取的方法，如n 個處理歐盟公民投訴的監察員角色，沒有達到與歐盟法律’基本等同’的法律標準。”

這場法律鬥爭始於2013 年，當時隱私權主義者Max Schrems 向愛爾蘭數據保護專員投訴。Schrems 對社交網絡Facebook 提出了訴訟，該社交網絡與許多其他公司一樣，正在將其和其他用戶數據傳輸到美國。

官司打到了歐洲法院（ECJ），該法院在2015年裁定當時的安全港協議無效，該協議允許將歐洲用戶的數據轉移到美國，並且該協議並未有效保護歐洲公民。結果，在歐洲運營的企業改用了標準合同條款或SCC，以確保他們仍然可以在大西洋兩岸之間傳輸數據。同時，歐盟和美國製定了新協議，即“隱私盾”框架，以取代“安全港”協議。

根據該裁決中的調查結果，法院指出，就某些監視方案而言，這些規定並未表明對其執行這些方案所賦予的權力有任何限制，或對可能針對非美籍人員有保障。法院補充說，雖然這些條款規定了美國當局在實施相關監控計劃時必須遵守的要求，但這些條款並未允許數據主體在法院對美國當局提起訴訟的權利。

換句話說，即使美國企業為所欲為，它們也無法阻止美國政府獲取數據，在這種情況下，歐盟公民沒有權利。這項裁決並不阻止所有歐盟公民向美國轉移個人數據。企業仍然可以更有選擇性地這樣做，當他們能夠證明這樣做是必要的，例如，由歐盟公民在美國辦理酒店預訂手續。但是，將數據集中傳輸到處理或存儲已不再合法。