圖片來源: 

Court of Justice of the European Union

歐盟法院(CJEU)在7月16日廢除了歐盟與美國之間的《隱私盾》(Privacy Shield)資料傳輸保護協議,這是由歐盟執委會(European Commission,EC)、美國商務部及瑞士在2016年所建立的框架,雙方同意將基於歐盟的隱私法令,簡化美國企業將歐洲民眾資料傳送到美國的流程,以支持跨大西洋貿易。然而,CJEU認為美國並無法提供與歐盟一致的隱私保障,特別是歐盟民眾的個資可能受到美國情報機構的窺探,因而決定將它廢除。

其實為了方便歐盟與美國之間的個資傳輸,雙方在2000年時曾推出《安全港隱私準則》(Safe Harbour Privacy Principles),但一名奧地利的隱私權捍衛人士Max Schrems在2011年時,於2個月內接連向愛爾蘭的資料保護局提出22項隱私控訴,指控臉書並未好好保障他的隱私,再加上美國吹哨者Edward Snowden在2013年時爆料美國國安局的Prism計畫可監控美國9大科技公司的通訊,讓Schrems針對PRISM再度提出第23次的控訴,雖然Schrems在愛爾蘭的訴訟案全都以失敗收場,卻促使愛爾蘭法院把有關《安全港隱私準則》的問題轉給了歐盟法院。

Schrems繼續在2014年對臉書發動集體訴訟,而歐盟法院也開始在2015年正視《安全港隱私準則》,認為是該準則讓Prism計畫得以實現,於是在同年廢除了《安全港隱私準則》。

歐盟與美國接著在2016年提出《隱私盾》以取代《安全港隱私準則》。不過,Schrems並不罷休,在2018年又控告了臉書侵犯隱私,同時宣稱《隱私盾》依然無法完全保障歐洲民眾的隱私權,這一次,歐盟法院再度廢除了《隱私盾》。

歐盟法院解釋,居住在奧地利的Schrems從2008年以來就是臉書的用戶,但臉書卻把他的部份或全部資料從愛爾蘭(臉書的歐洲總部)轉到美國處理,Schrems認為美國的法令並未提供足夠的隱私保護,因此要求禁止資料的轉移。另一方面,美國法令對於公家機關存取歐洲民眾資料的保護有限,並不符合歐盟要求移轉資料的第三方,必須具備與歐盟隱私法令(GDPR)同等級保護的規定,因而認定《隱私盾》協議是無效的。

值得注意的是,此案並未波及美國與歐盟之間的必要資料傳輸,像是電子郵件、傳訊、在美國平臺上預訂飯店,或是其它標準的商業交易,也不影響那些不含個人資訊的資料傳輸,主要波及的是外包業務,例如為了經濟之故,把個資存放在較便宜的美國服務上,或者是傳到美國以方便處理等業務。

此外,Schrems所指控的協議並不只歐美之間的《隱私盾》,他還指控了歐盟與任何第三方國家之間有關個資傳輸的《標準合約條款》(Standard Contractual Clauses,SCCs),儘管外界質疑SCCs與《隱私盾》一樣,都可能讓歐洲民眾的個資落入美國的監控,但這次歐盟法院放行了SCCs。

儘管微軟很快在歐盟法院裁決出爐的同一天就發表了聲明,表示該公司同時提供了《隱私盾》與《標準合約條款》的雙重保障,因此,透過微軟雲端服務在歐盟及美國之間傳遞資料的商業客戶,並不會受到此案的影響。

然而,非營利的歐洲數位權利中心(European Center for Digital Rights,ECDR)認為,此一裁決將衝擊所有在歐盟設立子公司的美國企業,這些企業必須確保歐洲民眾個資在內部的流通符合GDPR規範,例如把個資傳送到其它隱私法令更嚴格的地方,而非美國。

ECDR強調,歐盟法院放行SCCs是因為它涉及美國之外的其它國家,這些國家可能具備與GDPR同等級或更嚴格的隱私法令,並不代表美國業者可利用SCCs把歐洲民眾的個資傳到美國,因為根據歐盟法院的意見,撤銷《隱私盾》的主因在於美國對情報需求的監控法令不夠嚴格,也看不出對監控權力的限制,看起來比較像是只要是落入美國政府監控範圍的企業不只失去了《隱私盾》,也無法再使用SCCs。


Advertisement

更多 iThome相關內容