歐洲正式採用與美國的資料適當性決策
法律不確保性問題終於得到解決
歐盟正式透過了與美國的新的跨大西洋資料適當性協議,這一備受期待的決策意味著出口歐盟使用者的個人資料的美國公司不再面臨法律不確保性的問題。這個問題近年來影響了數以千計的企業,無論大小,包括 Meta 和 Google 等知名企業。歐盟司法專員迪迪埃·馮德斯在宣布接受美國資料適當性決策的記者會上表示這次將是“第三次幸運的試探”。他說:“透過適當性決策,個人資料現在可以在歐洲經濟區和美國之間自由且安全地流動,不需要任何進一步的條件或許可。”
適當性協議的永續性將成為關鍵問題
然而對於資料隱私框架(DPF)來說最大的問題是這第三次歐盟與美國的資料適當性協議的永續性有多大,儘管歐盟在新框架的細節上花費的時間比上一次更長。在今天的新聞發布會上,馮德斯對這個問題表現得比平常樂觀,他認為這個框架不僅僅是早期(失敗的)資料傳輸機制的簡單複製貼上,而是“一個非常不同的系統”——一個他認為是對一個固有的法律分歧的“非常堅固的解決方案”。
然而 DPF 還將面臨法律挑戰。在此之前的兩個機制(即安全港和隱私庇護)都在將近三年前被歐盟最高法院否決,法官們認為出口的個人資料未達到所需的法律標準,因爲美國的廣泛監控權力帶來了風險。隱私活動者警告稱,這個新框架可能在幾個月內被提交給歐洲法院(CJEU)審查。
質疑和挑戰
批評人士的一個關鍵點是,自隱私庇護消亡以來,美國的監控權力尚未進行改革,立法者也沒有接受改革有爭議的 FISA 702 條款和為外國人的訊息提供保護的措施。這意味著 DPF 在根本上仍在掩蓋著同樣的根本法律衝突,即歐盟隱私權利和美國監控權力之間的矛盾,一旦歐洲法官審查細節,可能再次被評定為不足夠。
近幾個月來,許多其他歐盟機構對委員會擬議的替代方案提出了擔憂,並提出新框架的調整可能無法提供必要的資料保護等效性。然而也有歐洲資料保護委員會等機構認識到 DPF 比以前的資料傳輸協議更進一步。
法律挑戰和未來前景
根據 noyb(一個隱私運動組織)的安排,如果時間表如期進行,它仍需要歐盟法院數月(甚至數年)的審理。所以,DPF 的最終結論可能還需要幾年時間。考慮到 DPF 的前身“隱私庇護”引發的法律問題於 2018 年 5 月被提交給法院審查,CJEU 否決了這一機制,該裁決於 2020 年 7 月出爐,這些時間可能會提供一個比較的背景。
對於 noyb 和 Max Schrems 等隱私活動者來說新框架與“隱私庇護”基本相同。noyb 在回應委員會的適當性決策公告時表示他們將提起法律挑戰,並預計這個問題將在明年年初再度提交給 CJEU。他們認為這次的變化只是“微小的改進”,並且指責當前委員會在這個問題上缺乏解決能力。
對策和建議
這次資料適當性決策的透過解決了長期以來影響大型美國雲服務和其他數位產業企業的法律不確保性問題。但是我們必須認識到這個問題的根源是歐盟隱私權利和美國監控權力之間的法律衝突,這是一個基本性的問題,需要長期的法律和政治解決。
對於企業和個人來說要確保資料的保護和合規,需要採取以下措施:
- 確保理解並遵守適用的資料保護法規,特別是歐盟的《一般資料保護條例》(GDPR)。
- 評估與資料交易相關的風險,並採取適當的技術和組織措施來保護資料的安全。
- 定期監測相關的法律和政策變化,並根據需要進行調整。
- 保持與資料保護機構和專家的溝通,及時獲取最新的合規建議和指導。
此外政府和監管機構也應該在資料保護領域加固合作,推動國際間的標準和框架以確保個人資料的安全和隱私保護。
最後需要將資料保護視為一個持續的努力,而不僅僅是一次性的執行。只有透過持續的監測和改進,才有可能實現真正健康和安全的數位環境。
