上週四(7 月 7 日)愛爾蘭資訊保護局(Irish Data Protection Commission) 知會歐洲各國,將禁止 Facebook 母公司 Meta 將歐洲用戶數據傳輸到美國,此舉有可能導致歐洲用戶無法繼續使用 Facebook 和 Instagram。
歐洲國家和美國資訊巨頭長年以來在法庭上爭執隱私權保護。過去歐盟和美國之間存在名為「隱私盾」(Privacy Shield)的資訊流協議,以避免歐洲人的隱私暴露於美國政府的監控。2020 年歐洲法院判決廢止「隱私盾」。歐美之間的資訊跨境傳輸還有一個法律工具,名為「標準契約條款」(SCCs),但 2020 年的判決也讓這個工具變得更加不易為美國企業使用。上週 Meta 被迫離開愛爾蘭,也意味著該公司必須放棄 SCCs。
今年 3 月 Meta 提交美國證管會的文件中指出,若歐盟不採用新的跨大西洋資訊傳輸框架,且跨境傳輸標準契約條款不復可用,將導致該公司無法提供某些重要服務,例如 Facebook 和 Instagram。
此事的最早報導來自歐盟版《政客雜誌》,報導中指出,愛爾蘭的封鎖令若獲得歐洲各國資訊保護管理機構確認,可能在業界引發寒蟬效應。資訊界自從 2020 年歐洲法院判決以來,一直還在摸索跨境資訊傳輸的方法。歐盟和美國之間自 3 月以來為新的傳輸協議進行談判,政治上已經達成共識,美國總統拜登和歐盟執委會主委范德賴恩就此發表過初步協議,但法律上的談判停滯不前,恐怕無法在今年年底之前有所結果。若始終沒有進展,受影響的不只是 Meta 這樣的巨型資訊公司,還將影響數以千計的美國企業。
目前愛爾蘭資訊保護局向歐洲各國送出的是其決策草案,各國相應機關有一個月的時間表達意見,但不會討論決策細節。
隱私盾、標準契約條款
美國與歐盟間早期曾建立安全港協議(Safe Harbor),跨國企業遵守該協議,便可進行跨境傳輸個人資料。然而,於 2013 年,愛爾蘭高等法院因處理奧地利公民施倫斯(Max Schrems)控告臉書涉嫌「非法追蹤用戶資訊」及為美國情報單位蒐集情資,而請求歐盟法院確認安全港協議之效力。2015 年 10 月 6 日,歐盟法院認定安全港協議無效。此後,美國跟歐盟就開始談新的隱私保護架構,歐盟 2016 年 7 月 12 日通過新協議,即隱私盾協議 (EU-U.S. Privacy Shield)。
不過,施倫斯的訴訟尚未終結。臉書主張依據歐盟執委會 2010/87 號決定(Commission Decision 2010/87/EU)內的「標準契約條款」(Standard Contractual Clauses, SCC)來跨境傳輸歐盟個人資料到美國。標準契約條款是基於企業與使用者間合意的標準化契約條款,只要確保有符合歐盟個資保護規範就能將個資傳輸至第三方國家。
施倫斯於 2015 年 12 月 1 日修改訴訟主張,認為不能以標準契約條款作為主張個人資料跨境傳輸的正當性。愛爾蘭高等法院於 2018 年 5 月 4 日將本案提交至歐盟法院以確認標準契約條款和隱私盾協議的有效性。
歐盟法院於 2020 年 7 月 16 日判決隱私盾協議無效,但標準契約條款仍有效。
延伸閱讀:
吹哨人:臉書高層在氣候和武肺議題上誤導投資者
吹哨者:臉書把利字擺中間 打擊仇恨言論和假資訊擺兩旁
參考新聞來源:
2022/07/07 Politico EU(政客雜誌歐盟版) Europe faces Facebook blackout
2022/07/07 The New York Times(紐約時報) An Irish regulator puts Facebook data policies back in the spotlight
2020/07/16 NCC 國際通傳產業動態觀測網 歐盟法院裁定歐盟與美國間的隱私盾保護協議無效