隱私屏障協議原則介紹

GDPR 生效後，對雲端業者的義務要求增加，要如何確保符合法規上的義 務對於美國業者而言是一大考驗。而且GDPR 中對於現有途徑的改革，以及新 增的傳輸途徑仍然不能作為雲端業者有效的法律基礎，故另尋折衷的替代方法 有其必要。在2015 年 CJEU 裁定安全港協議為無效前，許多公司都是依靠歐美 之間的跨境資料傳輸協議作為傳輸的途徑，這項協議提供美國業者可以透過自 我認證檢視其隱私政策是否符合安全港協議中的七項原則和其他額外要求，若 是符合則得被視為符合資料保護要求，得不限數量和頻率，大量將個人資料從 歐盟傳輸到該公司。此種型態的傳輸途徑更符合雲端運算產業的需求。然而在 2015 年，安全港協議被 CJEU 裁定無效。為了彌補安全港協議無效後對跨大西 洋資料傳輸造成的不確定性，歐盟執委會和美國商務部積極談判新的跨境資料 傳輸協議，並於2016 年發布「歐美隱私屏障協議」。該協議通過後，許多業者 便以此作為跨境資料傳輸的法律基礎。然而有了先前安全港協議的前例，隱私 屏障是否真的能持續且有效的提供企業跨境資料傳輸的依據，並確保資料符合 GDPR 中高標準的保護規範值得討論。故本章將先介紹隱私屏障的內容，分別 就既有原則加強以及全新的義務進行說明；接著分析新的隱私屏障協議是否得 以解決原本安全港協議的問題，以及是否因此得提供跨大西洋傳輸之個人資料 符合歐盟標準的隱私保護，又或是產生新的問題；最後討論隱私屏障是否得以 提供雲端運算業者穩定且有效的傳輸途徑。

第一節 隱私屏障協議原則介紹

歐美隱私屏障協議於2016 年 7 月 12 日通過，並於同年 8 月 1 日生效²³¹。

231 European Commission, Guide to the EU-U.S. Privacy Shield, Aug. 1, 2018,

該框架協議是為了保護所有基於商業目地，從歐盟跨境傳輸到美國之個人資料 的隱私權，同時也提供進行跨大西洋資料傳輸之美國企業明確的法律規範²³²。 根據歐盟執委會，該項協議加強取得歐盟個人資料的公司資料保護的義務；防 止美國政府監控並取得歐盟公民的個人資料；提供有效的法律救濟和保護予個 人；最後也要求歐盟和美國每年都必須要對協議進行共同檢討，以確保並修正 協議內容的適用²³³。

在討論隱私屏障之資料保護原則前，希望使用隱私屏障作為跨境傳輸途徑 的美國公司必須確保遵守下列基本的要求：必須採行符合隱私屏障要求之資料 保護的政策和措施；必須清楚地將其符合規範的隱私政策公開於企業網站；每 年都需要進行自我認證（Self-certify）以確保其隱私政策符合義務；提供歐盟公 民選擇拒絕將資料傳輸給第三方的權利；確保取得歐盟公民個人資料的第三方 也符合隱私屏障之義務；要在45 天內回應歐盟公民對於隱私相關問題的控訴 等。主要都是要求企業要公開隱私政策、對隱私政策進行定期的檢討並且在特 定期限內回應控訴。

隱私屏障框架的7 項基本原則和安全港協議差異不大，但每一項原則下的 規範更為嚴格且具體，以達到和歐盟指令本質上相當（essentially equivalent）

的資料保護水準²³⁴。同時隱私屏障協議為了解決原本安全港協議規範不足的部 份，也新增了全新的義務²³⁵。下述以不同的面相介紹隱私屏障協議的規範內 容：

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en#eu-us-privacy-shield.

232 Id.

233 Id.

234 Id.

235 EU Commission, Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and od the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, 2016, O.J. C(2016) 4176 (L 207/1), at Annex II, III.1-16. 共 有16 項由 DOC 發展出來的輔助原則。[hereinafter Privacy Shield adequacy decision].

1. 加強承諾：美國的公司如果要進行跨大西洋的資料傳輸，必須要遵守更嚴 格的規範，主要包含：

（1） 更嚴格的通知義務，安全港協議中的通知，僅要求企業必須要通 知個人關於蒐集和使用資料的目地、如果個人有疑問應該如何與組織 聯繫、個人資料將會被揭露給哪些第三方，以及其選擇的權利等。但 在新的隱私屏障協議中，關於通知的規範更具體，並訂有13 項具體必 須提供的資訊²³⁶；

（2） 資料保留的限制，安全港協議限制資料使用的目地必須要被限制 在資料主體一開始同意蒐集或是後續授權的目地範圍內，而隱私屏障 進一步規範企業和實體，即使其中止繼續進行自我認證，但在持續保 留個人資料的期間都需要遵守隱私屏障的原則。另外，一旦當初蒐集 資料的目地不再存在，就必須要將個人資料刪除²³⁷；

（3） 對於後續將資料傳遞給第三方遵守更嚴格的義務（stricter controls on onward transfers），並加強可責性，根據隱私屏障，企業必須要和第 三方的資料控制者簽訂契約，要求第三方控制者也必須要提供資料相 同程度的保護水準，且其對資料的處理必須要被限制在特定的目地範 圍內。如果資料的處理必須要透過第三方的機構，則也需要和該機構 簽訂符合歐盟基本資料保護原則的協定。此義務的訂定，是為了確保 第三方取得個人資料後有一定的條約或契約義務要保護個人資料的隱 私，如果第三方違反義務，企業必須對此負責²³⁸；

（4） 企業有義務要保存處理個人資料之紀錄，如果FTC 為了調查要求 相關資料，企業有義務要提供資料²³⁹。

236 Id., at Annex II § II.1.

237 Id., at ¶ 23.

238 Id., at ¶¶ 27-29; see also Id., at Annex II §§ III.3, 7(d).

239 Id., at ¶ 44.

總體而言，以安全港協議7 項必須遵守的基本原則為基礎，加強義務 的範圍和規範的強度。

2. 加強執行：商務部將會加強對於義務執行的監督，包含事前對於隱私政策 的驗證，以及事後依其職權針對隱私屏障清單上的企業進行定期的審查

（ex officio reviews）²⁴⁰。另外，如果有和隱私屏障相關的控訴，將會由 FTC 展開調查，未能履行義務的公司將會面臨制裁或者會失去以隱私屏障 作為跨大西洋資料傳輸依據的權利²⁴¹。

3. 明確的防衛措施與透明化義務：美國司法部（Department of Justice）以及 國家情報局辦公室（Office of the Director of National Intelligence）以書面的 形式作出承諾，將會限制美國政府基於公共利益取得商業資料，和其他美 國公司擁有之資料。同時美國和歐盟每年也會針對隱私屏障協議的執行進 行共同審查，審查內容包含因為國家安全理由取得資料的議題，以及對於 協議運作的定期監督。定期審查除了由歐盟執委會和美國商務部共同執行 外，也會邀請美國國家情報相關專家和歐盟資料保護主管機關參與。

4. 透過幾項救濟管道，有效保護歐盟公民的權力：任何歐盟公民認為其資料 隱私受到損害，得有幾項尋求救濟的管道：（1） 直接要求公司解決，該公 司必須於45 天內回應²⁴²；（2） 向歐盟資料保護當局提起控訴。此外，美 國國務院（Department of State）也承諾會設置行政監察官

（Ombudsperson）給予歐洲人民新的救濟程序，對於和情報活動有關的疑 問或是控訴可以尋求此途徑尋求解答或救濟。

歐美跨境資料傳輸協議──隱私屏障在取得歐盟執委會認定為有效的傳輸途 徑後，目前為跨大西洋跨境資料傳輸的主要途徑，至今共有約3000 多家企業採

240 Id., at ¶¶ 36-37.

241 European Commission, supra note 231.

242 European Commission, supra note 235, at ¶ 44.

用隱私屏障作為跨境傳輸的法律基礎²⁴³。但隱私屏障協議的內容公布後，同樣 受到一些質疑，歐盟WP29 提出關於協議的意見書，在意見書中，工作小組認 同隱私屏障對於修正安全港協議的缺點的努力和進步，但同時也認為仍然有一 些疑慮需要被解決。在隱私屏障施行後一年，歐盟和美國在2017 年 9 月 18 和 19 日針對協議進行第一次的共同審查，WP29、歐盟執委會的委員和其他專家 都參與在華盛頓進行的審查²⁴⁴。審查報告中針對隱私屏障的施行情況進行檢 討，WP29 雖然肯認美國主管機關為建立隱私屏障的行政程序，以使美國企業 得以根據隱私屏障進行自我認證（self-certify），並真正受益於此跨境傳輸機制 所作的努力，然在最終的審查報告中，WP29 仍對現在隱私屏障是否得以真正 提供穩定的傳輸基礎提出幾項質疑。下一節將以第一次共同審查之報告為基 礎，再加上各界對於隱私屏障施行一年來的諸多討論，分析隱私屏障協議實際 的適用是否真的足以解決跨大西洋資料傳輸缺乏有效法律基礎的問題。