在「安全港」(safe harbour)協議於2015年10月遭歐盟法院(ECJ)判決失效後,歐盟與美國在2日達成新的跨大西洋資料共享協議,結束近4個月的空窗期。歐盟執委會(European Commission)成員茹霍瓦(Věra Jourová)表示,這是美國首度承諾官方機構保護國安的行動將受到清楚的監管機制所規限。但部分隱私權倡議組織仍然質疑美國承諾的可信度。
這份新的協議命名為「隱私屏盾」(EU-US Privacy Shield),將取代自2000年生效以來的「安全港」協議,規範及保護歐盟與美國間的資料傳遞。目前這份協議屬於政治層級的共識,未有完整的法律效力。雙方將在未來數月內寫成協議草稿,形成正式的運作框架。
原有的「安全港」架構不夠安全
2015年10月,歐盟法院判決「安全港」協議失效,因為它未能提供足夠的隱私權保護。此案原是在史諾登(Edward Snowden)揭露美國的大規模控計畫後,由奧地利隱私權倡議者施雷姆斯(Maximilian Schrems)對位於愛爾蘭的臉書總部提告,控訴美國國安局(NSA)侵犯其隱私。但愛爾蘭當局駁回他的訴訟,於是施雷姆斯上訴至歐盟法院。
「安全港」協議原本提供了一個統一的規範,允許使用者的隱私資料在美國與歐盟之間傳輸。對於歐盟來說,資料隱私權屬於受保護的人權範圍,但美國將其視為消費者權益的一部分。有鑑於大西洋兩岸的概念落差,「安全港」協議提供了一個妥協的架構,使得企業及機構不須擔心地區的法規落差。
但這個規章的核心精神在於,美國應尊重歐盟的標準,保護使用者的隱私資料。在史諾登洩密案引發軒然大波後,沒有相對應的情報機構的歐盟對這種無差別的大規模監控感到額外戒慎。另外,美國也調整了進路。在2014年1月,美國總統歐巴馬(Barack Obama)公布的新措施首度賦予外國公民的個人資訊某些法律上的保護。
「安全港」架構被判無效後,歐盟28個成員國可以自行訂立美國企業使用其國民隱私資料的規定,甚至是拒絕讓資料傳回美國,必須於本地處理。情況可能變得相當複雜,尤其對較小規模的企業帶來困難。
美國承諾遵行歐盟規章
歐盟執委會司法、消費者與性別平等部門成員茹霍瓦表示,新的「隱私屏盾」協議比「安全港」的架構更佳,提供了「堅實且顯著的改善」。她指出,這是美國首度對歐盟規章給予承諾,其國安行動將會受到清楚的監管與限制。這也是歐盟公民首度在資訊隱私權上獲得申訴的權利,「美國已承諾,不會對歐洲人民施以無差別的大規模監控。」
新的協議也包括歐盟與美國聯邦貿易委員會每年一次的聯合評估。採行此規定的企業,也將定期接受美國商務部的檢核,確保其遵守規章要求。對於歐盟人民提出的違規申訴,企業必須在有限期間內做出回應。
但此協議的細部內容出爐後,還可能遭到個別歐盟成員國的反對,並在國家層級做出與之衝突的決策。如此一來導致的法律糾紛,可能又將訴求歐盟法院作為解決途徑。
The legal basis of #PrivacyShield?#LettersAgainstSurvillance #SafeHarbor pic.twitter.com/EryjsIJMDE
— Max Schrems (@maxschrems) 2016 2月 5日
部分隱私權倡議組織,也已指出這份協議的可笑之處。他們質疑美國官方承諾的可信度,並指出如果情報活動都是秘密運作的,除非出現另一名洩密者,一般歐盟人民根本無法得知自己的隱私受到侵犯、並提出申訴。