《隱私盾協定》遭廢！歐美個資傳輸恐違法，逾 5,000 家企業面臨「罰 7 億」風險｜李芯

《隱私盾協定》遭廢！歐美個資傳輸恐違法，逾 5,000 家企業面臨「罰 7 億」風險｜李芯

作者：李芯／台灣大學法律學系財經法學組

今天七月，歐盟法院（CJEU）終於對備受關注的Schrems II 案做出判決。本案廢除了〈歐盟—美國隱私盾協定〉（EU-US Privacy Shield Framework, Privacy Shield），即歐盟與美國間關於資料傳輸的保護協議，然而卻放行了另一個歐盟與任何第三方國家之間有關個資傳輸的〈標準契約條款〉（standard contractual clauses, SCC）。

判決一出，引起軒然大波，國際的資料傳輸，特別是美國與歐盟間的資料傳輸，該如何進行下去成為一個問題。目前最急迫的議題就是那些僅依靠隱私盾協議移轉歐盟個資的美國公司，必須趕快尋找其他替代機制，才能維持資料傳輸。 

歐盟的資料傳輸規範

眾所周知，歐盟相當重視個人資料保護，因此推出〈一般資料保護規範〉（General Data Protection Regulation, GDPR），號稱史上最嚴格的個資法。在全球化時代，受惠於網路無遠弗屆的特性，跨國公司往往在世界各地都有服務據點，卻將處理用戶資料的伺服器集中設在單一國家，以節省成本。企業手上的用戶資料因此透過網路傳輸到「境外」。

為保障歐盟公民個資只能在如同歐盟對隱私高度保障的地區進行利用，GDPR對跨境個人資料傳輸原則上是採取禁止的態度（但若傳輸至境外的資料不涉及「處理」之行為，則不受此原則限制），例外須遵照以下的方法，才能夠進行：

1. 由歐盟認可擬傳輸地區具備「適當保護水平」(adequate level of protection)；
2. 資料傳輸方與接收方簽署SCC；
3. 其他，如具有拘束力的企業規則（binding corporate rules）、行為守則（code of conduct）、取得特定認證（certification），以及其他GDPR允許的例外情況（第49條）。

SCC是這次的主角之一，它是由歐盟委員會提供的，讓歐盟境內的資料傳輸方和境外的接收方締結的契約範本，裡面包含了符合GDPR的資料處理與傳輸規定的條款。SCC作為契約範本，不但為個資移轉提供合於法律規範的契約基礎，也為個資的主人提供有效的保障，從2001年以來便為許多大企業所使用（諸如微軟、Google）。

而「隱私盾協議」則是在2016年由美國商務部和歐盟委員會設計出來的合規協議，它的運作比較類似於讓美國成為經歐盟認可而具備「適當保護水平」，讓美國公司以自我認證的方式，成為符合歐盟資料傳輸規則的企業。

Schrems II的事實與判決

有個奧地利的法律系學生，名叫Max Schrems，他是個隱私權鬥士，同時也是Facebook用戶。他向愛爾蘭資料保護委員會指控Facebook愛爾蘭子公司和美國母公司之間雖然簽了SCC，但SCC卻無法保護他的個人資料不被美國政府監控。因為SCC畢竟只是契約，無法拘束國家機器。

這件事後來上訴到愛爾蘭最高法院，愛爾蘭最高法院又把一些問題拿到歐盟法院裁斷，其中兩個問題就是：SCC跟隱私盾協議到底有沒有效力？

結果判決一出，隱私盾協議被法院宣告無效，理由是法院認為美國政府對外國人個資的監視與取用根本不符合比例原則，而且美國也沒有適當的救濟手段，讓權利被侵害的人可以獲得賠償。

SCC卻倖存了下來。理由在於SCC中的關鍵三個條款。第5條和第12條規定，只要資料接收方發現無法提供與歐盟相同水平的資料保護，就應該返還或是銷毀所有資料。第６條則規定，受侵害的權利主體（data subject），應該獲得賠償。

雖然法院讓SCC繼續有效，但法院卻加諸資料傳輸方相當沉重的負擔，傳輸方有義務確保接收方能提供與歐盟相同水平的資料保護。

換句話說，傳輸方必須了解接收方的法律與政府運作，才能知道是否會有大規模、不合比例的監控。另外，當傳輸方發現接收方的國家無法提供這樣的保護時，傳輸方必須立刻停止資料傳輸，甚至終止雙方的合約。

簡而言之，隱私盾協議陣亡，SCC苟且殘喘。

判決帶來的影響

首當其衝的當然就是依靠隱私盾協議，將歐盟內的個資傳輸至美國的各公司。美國與歐盟間有龐大的生意往來，超過5000家公司僅依靠隱私盾協議傳輸個資，如今他們全部面臨立即的違法風險。

即使諸如微軟、Facebook等大公司同時擁有隱私盾協議和SCC的雙重保護，現在還能否合理依賴SCC是否做資料傳輸（尤其傳輸到美國），令人懷疑。想想歐盟法院判決隱私盾協議無效的理由基本上是懷疑美國法律對個人資料的保護不足，在這樣的情況下，即使依賴SCC，還是可能落入所謂「無法充分保護個人資料」而不得不停止資料傳輸的情境。

傳輸到其他第三方國家也面臨相同的風險，特別是有大規模監控的國家（如以色列等），都可能會在SCC這塊上出問題。

因此，這個判決造成的影響，比2015年的時候，歐盟法院宣佈「安全港協議」（EU-US Safe Harbor Framework，隱私盾協議的前身）無效時，還要更大更深遠，因為至少當年的公司都還可以使用SCC作為護身盾牌。 

法遵建議

面臨巨大變動，公司應該怎麼做才能合規？

違反GDPR的罰金相當可觀，可達2000萬歐元（相當於7億台幣）或該企業的全球總年收的4%。而且本案中，歐盟法院並沒有如同2015年判決安全港協議無效時，給予一定期間的寬限期。在一切尚且曖昧不明的情況下，為避免高額罰金，目前使用隱私盾協議移轉歐盟個資的公司不用說，得馬上尋找其他替代機制。至於使用SCC的公司呢？

它們必須問自己一個關鍵問題：考量到資料接收方的法律及政策，資料接收方有能力遵守SCC嗎？

如果答案是「不確定」，那短期內最好的解方就是「做更周到的安排」。以美國為例，歐盟公司可以跟美國公司約定，一旦接到政府的調查令，馬上通知歐盟公司，讓身為資料傳輸方的歐盟公司能採取必要行動。

即使答案是「yes」，也不能掉以輕心，要持續監管資料輸出地的法律，並將此納入公司法遵項目。

結語

判決一出，美國商務部馬上發布新聞稿表示「非常失望」，因為這已經是第二次個資傳輸協議被宣判無效。而歐盟和美國是否能協調出下一個協議，令人懷疑。

歐盟資料保護委員會（European Data Protection Board）近日則發布了一系列的Q&A，試圖指引茫然無措的公司們，將判決的衝擊降到最低。這場個資大戰究竟會如何落幕，讓我們繼續看下去……