隱私屏障協議之適用分析

在分析隱私屏障是否得以作為跨大西洋傳輸的法律依據前，必須要先回顧 CJEU 認定安全港協議無效的判決，以了解安全港協議無效的理由，並檢視隱 私屏障協議加強義務後，是否得以避免相同的問題。接著再說明除此之外，隱 私屏障協議是否有其他不足之處。

第一目 CJEU 對於歐美跨境資料傳輸協議之要求

如同前述，安全港協議為在2015 年被 CJEU 判決無效前為跨大西洋資料傳 輸最主要的途徑，總共有4,400 家美國的企業組織透過自我宣示、自我認證被

243 Privacy shield list, EUPRIVACY SHIELD INFORMATION PORTAL, https://www.privacyshield.gov/list (last visited May. 30, 2018).

244 Detlev Gabel, Robert Blamires, Tim Hickman & Matthias Goetz, EU-US Privacy Shield approved, WHITE &CASE, July 12, 2016, https://www.whitecase.com/publications/alert/eu-us-privacy-shield-approved.

納入安全港協議清單，並以安全港協議作為傳輸途徑大量且持續的進行跨大西 洋資料跨境傳輸²⁴⁵。然而在2014 年，愛爾蘭國家資料保護主管機關（DPA）請 求CJEU 進行先行裁決，請求的內容為「各國 DPA 是否被要求應該要直接接受 執委會的安全港決議，或者DPA 可以自行針對美國保護機制是否提供適當的保 護水準進行調查。」在2015 年 10 月 6 日，CJEU 對此做出裁決（CJEU

Schrems Decision）認為 DPA 並不受到安全港決議的拘束，可以自行進行調查

246。另外，在此裁決中，CJEU 進一步認定執委會在 2000 年核准安全港協議 https://safeharbor.export.gov/list.aspx. (last visited Apr. 20 2018).

246 Case C-362/14, supra note 176.

247 David Bender, Having mishandled Safe Harbor, will the CJEU do better with Privacy Shield? A US perspective, 6 INTERNATIONAL DATA PRIVACY LAW (May 13, 2016).

247 Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46 on the adequacy of the protection provided by the safe harbor privacy principles and related frequently asked questions issued by the US Department of Commerce, O.J. 2000 (L 215), at 7.

248 B Gellman and L Poitras, U.S., British Intelligence Mining Data from Nine U.S. Internet Companies in Broad Secret Program, WASHINGTON POST (June 7, 2013),

https://www.washingtonpost.com/ investigations/us-intelligence-mining-data-from-nine-us-internet-

companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html.accessed 20 April 2016.

249 Charter of Fundamental Rights of the European Union, 2012 O.J.(C 326/02), Oct. 26, 2012.

保護權利受到影響的公民救濟的途徑。

第二目 隱私屏障協議是否符合 CJEU 要求之分析

為了分析歐盟之間的隱私屏障協議是否比安全港協議更「安全」，首先檢視 隱私屏障協議是否得以有效阻止美國政府大規模且無差別的蒐集歐盟公民傳輸 到美國的個人資料；以及是否提供隱私權受到損害的歐盟公民有效的救濟途 徑，藉此了解隱私屏障協議施行後，是否得以解決CJEU 裁定安全港協議對於 隱私保護的不足之處，以分析未來隱私屏障是否可能亦被認定為無效。接著討 論隱私屏障協議施行一年後是否產生其他疑慮以及解決此些疑慮的建議，以確 保協議確實得作為業者跨大西洋傳輸的法律基礎。

(一)、大規模無差別監控計畫

美國政府在2013 年史諾登事件後，對其國內情報監控相關法案做出許多修 正，主要是為了讓國內關於情報和國家安全的法律架構能更加完善，同時也限 制情報單位蒐集資料的行為，並增加監控計畫文件的透明度，以避免侵害個人 的資料隱私²⁵⁰。其中與歐洲公民個人資料最相關的是「外國情報偵察法

（Foreign Intelligence Surveillance Act, FISA）」、「總統第 28 號指令（Presidential Policy Directive 28, PPD28）²⁵¹」，以及「第12333 號行政命令（Executive Order 12333）²⁵²」。以下將分別簡述此3 項文件的內容，並分析修正後的規範是否得 以有效避免美國情報單位之監控計畫對歐洲公民隱私權的侵犯。

首先，FISA 主要授權政府在獲得法院許可的前提下，得對外國組織和個人 進行一年的監視，而法案中第702 條款允許美國國家安全局（NSA）收集和分

250 David Bender, supra note 247.

251 White House Off. of the Press Secretary, Signals Intelligence Activities, Pres. Pol. Dir./PPD-28 (Jan. 17 2014).

252 Exec. Order 12333, 46 Fed. Reg. 59,941 (1981), amended by Exec. Order 13,284 (2003), Exec.

Order 13,355 (2004), and Exec. Order 13,470 (2008) https://fas.org/irp/offdocs/eo/eo-12333-2008.pdf.

析在海外居住的外國人的電子郵件，和其它數字通信內容─也就是所謂的「信 號監控（signals intelligence）²⁵³」引發許多爭議。在

Schrems 的判決中

²⁵⁴， CJEU 強調保護歐洲公民基本權利以及尊重其私生活的重要性，如果要減損或 Intelligence Surveillance Court ）授權的範圍²⁵⁷。目前美國有兩個監控計畫

─PRISM（稜鏡計畫）和 UPSTREAM（上游監控計畫）以 702 條款為法律依據

258。有學者認為這些計畫，特別是PRISM 計畫（PRISM 計畫為 CJEU 認定美

255 Case C-293/12 & C-594/12 Digital Rights Ireland and Seitlinger, Judgement of 16 May 2014, recital 52.

對於這些資料的處理都必須要有合法的依據²⁶⁰。另外美國境內的獨立監察機構 隱私和公民自由監督理事會（Privacy and Civil Liberties Oversight Board,

PCLOB）也發布報告，認為 PRISM 對於保護美國國家安全是有效且非常有價 值的作法²⁶¹。而這項計畫的實行也會受到外部的司法機關以及內部機制的監 督，而PCLOB 也不認為實際上有任何無差別的大規模資料蒐集行為。

然而，在隱私屏障協議第一次共同審查時，WP29 認為美國目前的作法是 透過設立一個篩選標準（selector）並過濾資料，僅蒐集和監控過濾後的特定目 標之資料²⁶²。這樣的作法可能會因為篩選標準類型的不同而有造成大規模資料 蒐集的可能，意即即使是針對特定目標，仍不排除會有大規模無差別的資料蒐 集行為，而只要是這類型的資料蒐集都不符合比例原則²⁶³。在2017 年進行隱私 屏障施行的審查時，WP29 對此做出建議，因為 2017 年 12 月原本的 702 條款 就會到期，在討論延期或討論新規範時，得以加入對外國人資料蒐集的額外防 衛措施，例如：要求資料的蒐集必須要符合「合理懷疑」標準等。²⁶⁴然而FISA 的修正案表決通過後，原本的702 條款之有效期限被延長至 2023 年。故在美國 境內依據FISA 之 702 條款所為之情報監控行為，不能排除還是可能會有大規 模無差別資料蒐集的行為。

另外則是第12333 號行政命令和 PPD-28，主要是授權美國情報機構在海外 進行資料外國人的情報蒐集。第12333 號行政命令中沒有提供關於哪些資料可 以被蒐集、保留或進一步散播；哪一些行為會引起監控行動，或者任何關於會 被蒐集的資料或使用的細節，但仍是美國NSA 用來進行資料監控的法律依據

260 President’s Review Group on Intelligence and Communications Technologies, Liberty and Security in a Changing World, (Dec. 12, 2013) http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf.

261 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act, (July 2, 2014)

https://www.pclob.gov/library/702-Report.pdf.

262 EU – U.S. Privacy Shield – First annual Joint Review, supra note 4, at 15.

263 Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, supra note 3, at 39.

264 Zakharov v. Russia, App. No. 47143/06, 4 Eur. H.R. Rep. 260 (2015).

265。PPD-28 則是在史諾登事件後所發布針對美國情報機構的指令，特別是針對 信號監控行為設下限制。將大規模收集數據限於6 大國家安全目的，並且情報 部門收集數據應當有明確的針對對象，此外也為授權和執行信號監控活動設立 一致的標準²⁶⁶。然而PPD-28 並非資料蒐集的具體法律依據。PPD-28 的效果必 須要透過將這些原則納入監控活動的政策和程序之中²⁶⁷。且在共同審查時，

WP29 認為雖然 PPD-28 已經透過 6 個國家安全目地去限制情報資料的蒐集行 為，但此種「目地性」的限制還是過於廣泛，且對於這6 個目地也沒有更詳細 的說明。所以即使PPD-28 可以作為情報機構資料蒐集的防衛措施和限制，但 仍沒有消除大規模且無差別的蒐集資料的可能性，甚至資料蒐集的規模也不清 楚²⁶⁸。PCLOB 應該對第 12333 號行政命令和 PPD-28 進行更進一步的分析，並 發表相關報告以減少不確定性並增加可預期性。

(二)、有效之救濟管道

CJEU 判決安全港無效的另外一個主要原因是認為隱私權受到損害的歐盟 公民，在美國的法律制度下並未有有效的救濟途徑。CJEU 和 ECtHR 不斷強 調，個人如果有正當理由去懷疑其基本權利受到損害，應該有權利去尋求行政 或司法救濟²⁶⁹。在美國的司法制度下尋求救濟有一項重要的限制，即要求個人 必須要證明其具有當事人適格，提起救濟之個人必須證明該措施對其構成直接 且個別的影響或損害，而該損害得以提起救濟²⁷⁰。此當事人適格的要求同樣適 用於關於監控計畫的案件。然而，在情報監控計畫中，為了保持機密，不一定 會將資料蒐集的行動告知個人，因此要基於監控計畫於法院提起訴訟有一定的

265 Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, supra note3, at 38.

266 對抗美國的間諜行為、恐怖主義的威脅、對美國造成威脅的大規模毀滅性武器、網路安全威

脅、對美國或同盟之人員造成威脅、跨國的犯罪。

267 Implementing Procedures under Presidential Policy Directive-28, Signals Intelligence Activities, May 16, 2017, https://www.dni.gov/files/CLPT/documents/Chart-of-PPD-28-Procedures_May-2017.pdf.

268 EU – U.S. Privacy Shield – First annual Joint Review, supra note 257, at 16.

269 Zakharov v. Russia, supra note 264, at §171.

270 Clapper v. Amnesty International, 568 U.S. 398 (2013).

困難²⁷¹。

為了解決歐洲公民在美國的法律制度下難以取得救濟途徑的問題，隱私屏 障協議中為歐盟公民設立一個全新的救濟管道─行政監察官（Ombudsperson）

272。行政監察官主要負責基於執行國家安全政策所進行之資料監控計畫所引發 的問題，但不僅限於以隱私屏障為傳輸基礎的個人資料，如果企業是以SCC 或 BCR 或任何減損條件的管道，傳輸資料到美國而產生相同的問題，歐洲公民同 樣得向行政監察官提起行政救濟之請求²⁷³。整個機制運作的流程主要是歐洲公 民可以向歐盟會員國國內負責處理國家安全事務監管的主管機關提起救濟的請 求；該單位會先檢視請求之內容是否符合隱私屏障之規範，以及是否完整；確 認後會將請求提交給美國的行政監察官，行政監察官會在進行調查後，對該請 求做出回應，如果確定監控行為有違反個人權利或違法的情況，必須要對此進 行補償²⁷⁴。行政監察官會和美國的其他政府機構合作以調查歐盟公民提出的控 訴²⁷⁵。接著必須檢視此特殊的救濟機制是否可以視為符合歐盟憲章第47 條的要 求²⁷⁶。ECtHR 同意在一般的法院提起訴訟並非有效解決違反規範的監控行為，

必須要有特殊的救濟管道²⁷⁷。另外如果是由行政機關提供之行政救濟，該機關 必須獨立於進行監控行為的組織，且被授予足夠的權利和權限去執行有效和持

必須要有特殊的救濟管道²⁷⁷。另外如果是由行政機關提供之行政救濟，該機關 必須獨立於進行監控行為的組織，且被授予足夠的權利和權限去執行有效和持

在文檔中 歐盟與美國有關雲端運算產業從事跨境資料傳輸法制之比較研究 - 政大學術集成 (頁 72-95)