撰文:李芯/台灣大學法律學系財經法學組
今年 7 月,歐盟法院(CJEU)終於對備受關注的 Schrems II 案做出判決。本案廢除了〈歐盟—美國隱私盾協定〉(EU-US Privacy Shield Framework, Privacy Shield),即歐盟與美國間關於資料傳輸的保護協議,然而卻放行了另一個歐盟與任何第三方國家之間有關個資傳輸的〈標準契約條款〉(standard contractual clauses, SCC)。
判決一出,引起軒然大波,國際的資料傳輸,特別是美國與歐盟間的資料傳輸,該如何進行下去成為一個問題。目前最急迫的議題就是那些僅依靠隱私盾協議移轉歐盟個資的美國公司,必須趕快尋找其他替代機制,才能維持資料傳輸。
歐盟的資料傳輸規範
眾所周知,歐盟相當重視個人資料保護,因此推出〈一般資料保護規範〉(General Data Protection Regulation, GDPR),號稱史上最嚴格的個資法。在全球化時代,受惠於網路無遠弗屆的特性,跨國公司往往在世界各地都有服務據點,卻將處理用戶資料的伺服器集中設在單一國家,以節省成本。企業手上的用戶資料因此透過網路傳輸到「境外」。
為保障歐盟公民個資只能在如同歐盟對隱私高度保障的地區進行利用,GDPR 對跨境個人資料傳輸原則上是採取禁止的態度(但若傳輸至境外的資料不涉及「處理」之行為,則不受此原則限制),例外須遵照以下的方法,才能夠進行:
- 由歐盟認可擬傳輸地區具備「適當保護水平」(adequate level of protection);
- 資料傳輸方與接收方簽署SCC;
- 其他,如具有拘束力的企業規則(binding corporate rules)、行為守則(code of conduct)、取得特定認證(certification),以及其他GDPR允許的例外情況(第49條)。
SCC 是這次的主角之一,它是由歐盟委員會提供的,讓歐盟境內的資料傳輸方和境外的接收方締結的契約範本,裡面包含了符合 GDPR 的資料處理與傳輸規定的條款。SCC 作為契約範本,不但為個資移轉提供合於法律規範的契約基礎,也為個資的主人提供有效的保障,從 2001 年以來便為許多大企業所使用(諸如微軟、Google)。
而「隱私盾協議」則是在 2016 年由美國商務部和歐盟委員會設計出來的合規協議,它的運作比較類似於讓美國成為經歐盟認可而具備「適當保護水平」,讓美國公司以自我認證的方式,成為符合歐盟資料傳輸規則的企業。
Schrems II 的事實與判決
有個奧地利的法律系學生,名叫 Max Schrems,他是個隱私權鬥士,同時也是 Facebook 用戶。他向愛爾蘭資料保護委員會指控 Facebook 愛爾蘭子公司和美國母公司之間雖然簽了 SCC,但 SCC 卻無法保護他的個人資料不被美國政府監控。因為 SCC 畢竟只是契約,無法拘束國家機器。
這件事後來上訴到愛爾蘭最高法院,愛爾蘭最高法院又把一些問題拿到歐盟法院裁斷,其中兩個問題就是:SCC 跟隱私盾協議到底有沒有效力?
結果判決一出,隱私盾協議被法院宣告無效,理由是法院認為美國政府對外國人個資的監視與取用根本不符合比例原則,而且美國也沒有適當的救濟手段,讓權利被侵害的人可以獲得賠償。
SCC 卻倖存了下來。理由在於 SCC 中的關鍵三個條款。第 5 條和第 12 條規定,只要資料接收方發現無法提供與歐盟相同水平的資料保護,就應該返還或是銷毀所有資料。第 6 條則規定,受侵害的權利主體(data subject),應該獲得賠償。
雖然法院讓 SCC 繼續有效,但法院卻加諸資料傳輸方相當沉重的負擔,傳輸方有義務確保接收方能提供與歐盟相同水平的資料保護。
換句話說,傳輸方必須了解接收方的法律與政府運作,才能知道是否會有大規模、不合比例的監控。另外,當傳輸方發現接收方的國家無法提供這樣的保護時,傳輸方必須立刻停止資料傳輸,甚至終止雙方的合約。
簡而言之,隱私盾協議陣亡,SCC 苟且殘喘。
判決帶來的影響
首當其衝的當然就是依靠隱私盾協議,將歐盟內的個資傳輸至美國的各公司。美國與歐盟間有龐大的生意往來,超過 5,000 家公司僅依靠隱私盾協議傳輸個資,如今他們全部面臨立即的違法風險。
即使諸如微軟、Facebook 等大公司同時擁有隱私盾協議和 SCC 的雙重保護,現在還能否合理依賴 SCC 做資料傳輸(尤其傳輸到美國),令人懷疑。想想歐盟法院判決隱私盾協議無效的理由,基本上是懷疑美國法律對個人資料的保護不足,在這樣的情況下,即使依賴 SCC,還是可能落入所謂「無法充分保護個人資料」而不得不停止資料傳輸的情境。
傳輸到其他第三方國家也面臨相同的風險,特別是有大規模監控的國家(如以色列等),都可能會在 SCC 這塊上出問題。
因此,這個判決造成的影響,比 2015 年的時候,歐盟法院宣佈「安全港協議」(EU-US Safe Harbor Framework,隱私盾協議的前身)無效時,還要更大更深遠,因為至少當年的公司都還可以使用 SCC 作為護身盾牌。
法遵建議
面臨巨大變動,公司應該怎麼做才能合規?
違反 GDPR 的罰金相當可觀,可達 2,000 萬歐元(相當於 7 億台幣)或該企業的全球總年收的 4%。而且本案中,歐盟法院並沒有如同 2015 年判決安全港協議無效時,給予一定期間的寬限期。在一切尚且曖昧不明的情況下,為避免高額罰金,目前使用隱私盾協議移轉歐盟個資的公司不用說,得馬上尋找其他替代機制。至於使用 SCC 的公司呢?
它們必須問自己一個關鍵問題:考量到資料接收方的法律及政策,資料接收方有能力遵守 SCC 嗎?
如果答案是「不確定」,那短期內最好的解方就是「做更周到的安排」。以美國為例,歐盟公司可以跟美國公司約定,一旦接到政府的調查令,馬上通知歐盟公司,讓身為資料傳輸方的歐盟公司能採取必要行動。
即使答案是「yes」,也不能掉以輕心,要持續監管資料輸出地的法律,並將此納入公司法遵項目。
結語
判決一出,美國商務部馬上發布新聞稿表示「非常失望」,因為這已經是第二次個資傳輸協議被宣判無效。而歐盟和美國是否能協調出下一個協議,令人懷疑。
歐盟資料保護委員會(European Data Protection Board)近日則發布了一系列的 Q&A,試圖指引茫然無措的公司們,將判決的衝擊降到最低。這場個資大戰究竟會如何落幕,讓我們繼續看下去……。
執行編輯:吳玲臻
核稿編輯:林欣蘋
Photo Credit:OBrienMediaUK@Twitter
