這周二，被稱作最嚴的歐盟《通用數據保護條例》（GDPR）生效三周年，它的效果到底如何？我們可以從愛爾蘭數據保護委員會（DPC）如何成為眾矢之的說起。

上周，歐洲議會表決通過了歐洲議會公民自由、司法和內務委員會（LIBE）關于歐美數據轉移判決的決議。決議批評愛爾蘭數據保護委員會將這樁業已八年的案件移交法院審理，而不是在《通用數據保護條例》的框架下自行做出處理決定，這種做法“會對歐盟公民的投訴產生巨大的潑冷水效應”。歐洲議會以愛爾蘭對《通用數據保護條例》的執行不力為由，請求歐盟委員會對愛爾蘭啟動違法調查程序（infringement procedures）。

2013年斯諾登“棱鏡門”發生之后，奧地利數據保護人士施雷姆斯（Maximillian Schrems）曾以Facebook不得將他的個人數據轉移至美國為由，向Facebook歐洲總部所在地的愛爾蘭數據保護委員會提起投訴，理由為在美國存在FISA等監控法的前提下，用于歐美數據轉移的“安全港”框架（Safe Harbor）的合法性值得質疑。八年過去了，中間經歷數次法院審理，其中包括歐洲法院宣告 “安全港”和“隱私盾”（Privacy Shield）無效的兩起判決。也包括，這個月愛爾蘭高等法院許可愛爾蘭監管方對Facebook進行第二次調查，執行歐洲法院關于隱私盾無效的判決，禁止Facebook進行歐美數據轉移。而愛爾蘭數據委員會，迄今沒有做出處理決定。LIBE委員會批判的正是監管方的拖拉風格和失職。