歐盟法院廢除與美國之間的Privacy Shield資料傳輸協議

歐盟法院（CJEU）在7月16日廢除了歐盟與美國之間的《隱私盾》（Privacy Shield）資料傳輸保護協議，這是由歐盟執委會（European Commission，EC）、美國商務部及瑞士在2016年所建立的框架，雙方同意將基於歐盟的隱私法令，簡化美國企業將歐洲民眾資料傳送到美國的流程，以支持跨大西洋貿易。然而，CJEU認為美國並無法提供與歐盟一致的隱私保障，特別是歐盟民眾的個資可能受到美國情報機構的窺探，因而決定將它廢除。

其實為了方便歐盟與美國之間的個資傳輸，雙方在2000年時曾推出《安全港隱私準則》（Safe Harbour Privacy Principles），但一名奧地利的隱私權捍衛人士Max Schrems在2011年時，於2個月內接連向愛爾蘭的資料保護局提出22項隱私控訴，指控臉書並未好好保障他的隱私，再加上美國吹哨者Edward Snowden在2013年時爆料美國國安局的Prism計畫可監控美國9大科技公司的通訊，讓Schrems針對PRISM再度提出第23次的控訴，雖然Schrems在愛爾蘭的訴訟案全都以失敗收場，卻促使愛爾蘭法院把有關《安全港隱私準則》的問題轉給了歐盟法院。

Schrems繼續在2014年對臉書發動集體訴訟，而歐盟法院也開始在2015年正視《安全港隱私準則》，認為是該準則讓Prism計畫得以實現，於是在同年廢除了《安全港隱私準則》。

歐盟與美國接著在2016年提出《隱私盾》以取代《安全港隱私準則》。不過，Schrems並不罷休，在2018年又控告了臉書侵犯隱私，同時宣稱《隱私盾》依然無法完全保障歐洲民眾的隱私權，這一次，歐盟法院再度廢除了《隱私盾》。

歐盟法院解釋，居住在奧地利的Schrems從2008年以來就是臉書的用戶，但臉書卻把他的部份或全部資料從愛爾蘭（臉書的歐洲總部）轉到美國處理，Schrems認為美國的法令並未提供足夠的隱私保護，因此要求禁止資料的轉移。另一方面，美國法令對於公家機關存取歐洲民眾資料的保護有限，並不符合歐盟要求移轉資料的第三方，必須具備與歐盟隱私法令（GDPR）同等級保護的規定，因而認定《隱私盾》協議是無效的。

值得注意的是，此案並未波及美國與歐盟之間的必要資料傳輸，像是電子郵件、傳訊、在美國平臺上預訂飯店，或是其它標準的商業交易，也不影響那些不含個人資訊的資料傳輸，主要波及的是外包業務，例如為了經濟之故，把個資存放在較便宜的美國服務上，或者是傳到美國以方便處理等業務。

此外，Schrems所指控的協議並不只歐美之間的《隱私盾》，他還指控了歐盟與任何第三方國家之間有關個資傳輸的《標準合約條款》（Standard Contractual Clauses，SCCs），儘管外界質疑SCCs與《隱私盾》一樣，都可能讓歐洲民眾的個資落入美國的監控，但這次歐盟法院放行了SCCs。

儘管微軟很快在歐盟法院裁決出爐的同一天就發表了聲明，表示該公司同時提供了《隱私盾》與《標準合約條款》的雙重保障，因此，透過微軟雲端服務在歐盟及美國之間傳遞資料的商業客戶，並不會受到此案的影響。

然而，非營利的歐洲數位權利中心（European Center for Digital Rights，ECDR）認為，此一裁決將衝擊所有在歐盟設立子公司的美國企業，這些企業必須確保歐洲民眾個資在內部的流通符合GDPR規範，例如把個資傳送到其它隱私法令更嚴格的地方，而非美國。

ECDR強調，歐盟法院放行SCCs是因為它涉及美國之外的其它國家，這些國家可能具備與GDPR同等級或更嚴格的隱私法令，並不代表美國業者可利用SCCs把歐洲民眾的個資傳到美國，因為根據歐盟法院的意見，撤銷《隱私盾》的主因在於美國對情報需求的監控法令不夠嚴格，也看不出對監控權力的限制，看起來比較像是只要是落入美國政府監控範圍的企業不只失去了《隱私盾》，也無法再使用SCCs。