欧盟最高法院顾问周三发布了一项建议,任何欧盟国家都可以就跨境违反数据隐私规则对Facebook等公司采取法律行动,而不仅仅是负责该公司的主要监管机构。
这一初步意见是Facebook与比利时数据保护局(data protection authority)就Facebook使用cookies追踪互联网用户(甚至不是社交网络成员的用户)行为展开的长期法律斗争的一部分。
专家称,欧洲法院总检察长Michal Bobek的建议可能为欧盟各地开始新一轮数据隐私案件调查铺平道路。因为欧洲法院通常会遵循这一意见,预计今年晚些时候欧洲法院法官将做出正式裁决。
Facebook认为,在欧盟严格的《通用数据保护条例》(General Data Protection Regulation)于2018年生效后,2015年发起此案的比利时监管机构不再拥有管辖权。该公司表示,根据《通用数据保护条例》,只有一个国家数据保护机构有权处理涉及跨境数据投诉的法律案件——一个被称为“一站式服务”的系统。
就Facebook案件而言,该公司欧洲总部设在爱尔兰,那么这个“国家数据保护机构”就应该是爱尔兰数据保护委员会(Data Protection Commission)。
Michal Bobek还表示:“在跨境情况下,主要的数据保护机构不能被视为《通用数据保护条例》的唯一执行者,必须在遵守该条例相关规则和时限的前提下,与其他有关数据保护监管机构密切合作。”
目前,Facebook将其解读为一场胜利。
“我们很高兴总法律顾问重申了一站式机制的价值和原则,这是为了确保有效并一致地贯彻执行《通用数据保护条例》,”Facebook的副总法律顾问杰克·吉尔伯特(Jack Gilbert)表示,“我们等待法庭的最终裁决。”
不过,隐私权倡导者和专家表示,这一建议可以减轻单个监管机构的压力,从而改变数据隐私案件的处理方式。
爱尔兰公民自由委员会(Irish Council for Civil Liberties)高级研究员约翰尼·瑞安(Johnny Ryan)表示,博贝克正在发出信号,爱尔兰的隐私监管机构“不能再利用其作为谷歌、Facebook等网站的权威领导地位,在欧盟范围内阻碍《通用数据保护条例》的执行。”
自该条例生效以来,涉及大型科技公司的跨境数据隐私案件层出不穷,爱尔兰监管机构因处理速度缓慢而屡受批评。上个月,爱尔兰监管机构首次对推特发出此类处罚,以违反安全规定为由对其进行罚款,但仍有20多起案件需要审查。
隐私合规初创公司Ethyca的首席执行官希里安 基兰(Cillian Kieran)表示,企业在欧盟市场应对隐私案件时也面临更大的负担,因为人们可以更容易地向当地隐私监管机构投诉。 
