美国最高法院一纸裁决,259次信任依赖化为废纸

美国最高法院一纸裁决,259次信任依赖化为废纸

隐私数据主权EU-US法律FTCGDPR

数据源:HN + Lobsters · HN

2026年6月29日,华盛顿。美国最高法院六位保守派大法官在一份63页的判决书中写下了一段话:联邦贸易委员会(FTC)委员的「有因免职」保护——即总统必须有正当理由才能解雇他们——违反了美国宪法中的权力分立原则。判决书的直接当事人是特朗普总统和他通过电子邮件解雇的 FTC 民主党委员 Rebecca Slaughter。但在大西洋彼岸的维也纳,隐私维权组织 noyb 的办公室里,有人读出了完全不同的含义:欧盟与美国之间跨越23年、历经三次重建的数据传输法律框架,其法理支柱被拦腰截断。

一栋纸牌屋的三个楼层

要理解这场「误伤」为何如此致命,需要先回到欧美数据跨境传输的法律构造。

1995年,欧盟颁布《数据保护指令》,确立了一条至今有效的核心原则:欧盟公民的个人数据不得被传输到保护水平「不足」的第三国。这条原则的出发点是朴素的——你不能通过把数据搬出国境来绕过欧盟的隐私法律。但它随即制造了一个巨大的现实问题:欧洲企业和消费者高度依赖美国的云服务、电子邮件、协作工具和社交平台,而这些服务的服务器几乎都在美国。

为了解决这个矛盾,大西洋两岸的政治家们先后搭了三座「桥」。

第一座是2000年的「安全港」协议(Safe Harbour)。它的核心逻辑是:美国公司自愿承诺遵守一套数据保护原则,FTC 作为独立的联邦机构负责执法。2015年,奥地利法律学生 Max Schrems 起诉 Facebook 爱尔兰分公司,质疑在美国国家安全局(NSA)大规模监控项目曝光的背景下,FTC 能否有效保护欧盟数据。欧盟法院(CJEU)在 Schrems I 案中裁定:不能。安全港协议被废除。

第二座是2016年的「隐私盾」(Privacy Shield)。设计思路类似,但增加了更多监管机制,包括一个由美国国务院设立的「监察员」职位。2020年,同一个 Schrems 再次提起诉讼,CJEU 在 Schrems II 案中再次裁定:美国的监控法律——尤其是《外国情报监视法》第702条——仍然允许对欧盟数据进行不成比例的大规模收集,而且美国缺乏独立的司法救济机制。隐私盾被废除。

第三座是2023年的「欧盟-美国数据隐私框架」(EU-US Data Privacy Framework,简称 DPF)。拜登政府为这一版做出了两个关键让步:第一,通过行政命令设立了「数据保护审查法院」(Data Protection Review Court)——虽然叫「法院」,实际上是司法部内的一个行政机构;第二,延续了自2000年以来的核心承诺:FTC 作为独立的联邦执法机构,负责监督美国公司遵守数据保护承诺。

正是这第二个承诺,构成了整个框架的基石。在欧盟委员会通过 DPF 的正式决定文件中,「independent FTC」——独立的联邦贸易委员会——被引用了 259 次。这是法律逻辑:欧盟之所以接受美国数据保护「堪用」,其几乎全部理由都建立在一个前提之上——FTC 是一个不受白宫干预的独立执法者。

「统一行政理论」的跨洋冲击波

现在来拆解美国最高法院到底裁定了什么。

Trump v. Slaughter 案的直接事实很简单:2025年3月,特朗普总统通过一封邮件解雇了 FTC 民主党委员 Rebecca Slaughter,理由是她的留任「与本政府的优先事项不一致」。Slaughter 提起诉讼,指出 FTC 的法定章程规定委员只能因「效率低下、玩忽职守或渎职」被免职——这是自1935年 Humphrey’s Executor 案确立的先例。

但最高法院的保守派多数不这么看。他们采纳了所谓「统一行政理论」(unitary executive theory)——一个长期存在于保守派法律圈子中的学说,其核心主张是:美国宪法第二条赋予总统对所有行政分支机构的完全控制权,国会不得以任何形式限制总统解雇行政部门官员的权力。首席大法官罗伯茨在口头辩论中说了一句非常直白的话:「Humphrey’s Executor 已经是任何意义上的一具干枯空壳了。」6比3,一个90年的先例被正式推翻。

对美国的直接影响是清晰的:FTC、证券交易委员会(SEC)、国家劳动关系委员会(NLRB)等数十个「独立机构」的领导人,从此可以被总统随心所欲地解雇。FTC 在执行反垄断和消费者保护法律时,将无法宣称自己独立于白宫。

但对欧盟而言,这是釜底抽薪。欧盟条约级法律——《欧盟运作条约》第16条第2款和《基本权利宪章》第8条第3款——白纸黑字要求:数据保护的监督机构必须「独立」。这份要求不是指令、不是规章,是宪法级别的约束,要想修改必须欧盟27个成员国全体一致投票通过。Max Schrems 在判决后指出:「欧盟宪法框架要求独立监督。改变这一点的唯一途径是所有成员国一致同意修改欧盟条约。」

这就制造了一个无法调和的冲突:欧盟的宪法要求第三方国家提供独立的隐私监管,而美国最高法院刚刚宣布——以宪法之名——美国不能有独立的隐私监管。两个法律体系在根本原则上发生了正面碰撞。

不仅 FTC:整张信任网络的连锁崩塌

如果这只是 FTC 一家机构的问题,也许还能找到权宜之计。但「统一行政理论」的逻辑是普适的。

DPF 框架中还有两个关键的「独立性」支撑点。一个是前述的「数据保护审查法院」——它完全靠拜登的行政命令存在,特朗普可以随时撤销或改写。另一个是隐私与公民自由监督委员会(PCLOB),一个负责监督美国情报机构反恐活动是否侵犯隐私的独立机构。在「总统控制一切行政机构」的新范式下,PCLOB 的独立性同样存疑。

更隐蔽的问题是所谓的「标准合同条款」(SCC)路径。一些欧洲公司不使用 DPF,而是通过与美方签订标准合同条款来合法传输数据。但 GDPR 要求这些公司在签订 SCC 之前进行「传输影响评估」(Transfer Impact Assessment),评估美国法律环境是否对数据构成风险。在这类评估中,评估者通常会援引 FTC 的独立执法能力和 PCLOB 的监督职能作为降低风险的依据。最高法院的裁决意味着这些评估的法理基础需要重写。而重写后的结论,逻辑上很难是正面的。

即便在美国国内,隐私执法的实际后果也已经显现。FTC 在拜登时期积极对亚马逊、Meta 等公司提起隐私诉讼,采取了多起和解和同意令。在一个总统可以随意替换 FTC 委员的制度下,这些执法行动能否延续,完全取决于白宫的政治意图。特朗普在 Truth Social 上庆祝裁决时写道:「这是美国总统长期以来一直寻求的胜利。」

两种叙事:主权自卫还是互联网分裂

围绕这一事件的公共讨论大致分为两条线。

一条线上的论者——包括 noyb、欧洲数字权利组织和相当一部分欧盟政策制定者——认为这是欧盟必须认真对待数字主权的时刻。他们指出:过去23年,欧美之间围绕数据传输打了三场法律诉讼,每一次欧盟法院都认定美国的数据保护水平不达标,每一次美国都做出表面让步却拒绝触及根本问题(大规模监控法律和独立司法救济),现在美国最高法院更是从宪法层面关闭了独立监管的可能性。继续修补一个永远漏水的桶没有意义。欧盟应该趁此机会投资欧洲自己的云基础设施,减少对美国云服务商的系统性依赖。

另一条线上的论者——包括美国科技行业、自由贸易倡导者和一部分欧洲商界代表——警告这可能导致「互联网的分裂」。他们指出:全球数字经济建立在数据的自由流动之上,如果每个区域都建立自己的「数据围墙」,跨境协作效率将大幅下降,中小企业将首当其冲承受合规成本。而且,即便美国最高法院裁定了 FTC 不再独立,美国法院系统依然可以对企业隐私违法行为进行审判——司法救济并未消失,只是在行政监管层面发生了变化。

笔者不认为这两条叙事可以轻易调和。它们的底层分歧在于一个基本判断:美国法律体系能否——在结构意义上而非个案意义上——为欧盟公民的数据权利提供「本质等同」的保护?CJEU 的三次判决都给出了否定回答。美国最高法院的最新裁决,至少在法理层面强化了这个否定。

接下来会发生什么:不突然,但不可逆

眼下的法律状态是一种微妙的悬停。欧盟委员会 2023 年通过的 DPF 决定在形式上仍然有效——直到委员会主动撤回它,或者 CJEU 在未来的诉讼中废除它。公司的日常数据传输不会在一夜之间被切断。GDPR 第49条允许「必要」的数据传输(例如预订酒店、跨境支付、执行合同),大多数商业活动不会立即瘫痪。

但中期图景——一到三年——正在变得清晰。

noyb 已经向欧盟委员会发出正式信函,要求有序撤回对美国的数据保护认可。委员会面临一个艰难的政治选择:撤回意味着公开承认欧美数据协议失败,不仅会在外交上触发美方的强烈反弹,还会让成千上万依赖美国云服务的欧洲企业陡然陷入合规危机。不撤回则意味着无视美国最高法院裁定的法律现实,可能面临 CJEU 的又一次推翻——以及随之而来的声誉和法律损害。

与此同时,noyb 将在数周内提起新的诉讼,目标是将 DPF 再次送上 CJEU 的审判台。这类诉讼通常需要两到三年才能获得终审判决。如果历史重演——考虑到 Schrems 前两场诉讼的胜率——第三个框架很可能在 2028 年前后被正式废除。

对于工程团队和企业的实务判断:如果你所在的公司目前依赖 DPF 进行欧美数据传输,应该立即启动对替代方案的技术和法律评估。SCC 路径需要重新审视传输影响评估。BCR(有约束力的公司规则)同样受影响。非个人数据(non-personal data)不受 GDPR 传输限制,但「个人数据」的定义在欧洲判例中日益扩大——IP 地址、设备 ID、行为日志都可能落入这个范畴。把数据留在欧洲境内的技术方案(数据本地化架构),从一个「最好有」选项正在变成一个「也许不得不有」的选项。

Max Schrems 在声明中用了一个不常从他口中听到的措辞——「有序退出美国云服务」。他说:「委员会在行业压力下建造了一座法律纸牌屋。现在它明确崩塌了,委员会必须承担责任。」他的话代表了一个正在欧洲加速的共识:与其用法律胶带反复修补对一个不被信任的伙伴的依赖,不如开始认真建造自己的替代方案。

本文信息基于 noyb 公开声明、美国最高法院判决书、Guardian 及 Wikipedia 相关报道,以及 Lobsters 社区讨论。法律和技术判断为笔者基于公开材料的分析,不同视角欢迎补充。

参考链接: