2020年7月16日,欧洲联盟法院(下称「欧盟法院」)(在Data Protection Commissioner v Facebook Ireland Ltd, Maximilian Schrems and intervening parties, Case C-311/18 一案中)推翻了欧盟-美国「私隐保护盾」(下称「私隐保护盾」)的框架(常称为「Schrems II判决」),同时重申欧盟委员会(下称「委员会」)在《欧盟通用数据保障条例》(EU General Data Protection Regulation: 下称《GDPR》)生效前发布的《标准合约条款》(Standard Contractual Clauses: 下称《SCC》)仍然有效,允许在欧盟设立的资料控制者在《SCC》的基础上向欧盟以外的资料控制者及处理者转移个人资料。
跨境/跨界资料转移
根据《GDPR》规定,原则上,只有在目的地国家确保有如《GDPR》提供的足够保护水平的情况下,才可以将个人资料转移到该第三国。这个机制与《个人资料(私隐)条例》(《私隐条例》)中尚未生效的第33条内所述的大致相同。委员会可以通过有关「足够保护程度」的决定(例如有关私隐保护盾的决定)来认定该第三国的法律能确保提供足够程度的保护予资料当事人(《GDPR》第45条)。或者,如果在欧盟设立的转移方提供了适当的保障措施,例如通过采纳委员会颁布的《SCC》,再加上资料当事人在该第三国拥有可执行的权利和可寻求有效的法律补救措施(《GDPR》第46(1)条及第46(2)(c)条),亦可以进行这样的转移。
私隐保护盾被裁定失效
在2015年10月,欧盟法院宣布美国-欧盟安全港框架(C362-14案,常称为「Schrems I判决」)无效之后,为了便利个人资料从欧盟跨大西洋转移至美国,有关当局制定了私隐保护盾。
在本判决中,欧盟法院宣布(2016/1250决定中的)私隐保护盾无效,因为欧盟法院认为,参照欧盟《基本权利宪章》(《宪章》)内关于尊重私人和家庭生活、个人资料保障和获得有效司法保障的权利方面的规定,私隐保护盾不能向欧盟公民提供基本上等同于《GDPR》所要求的保护。欧盟法院在这方面的两个主要结论是:(i)美国监察当局在获取从欧盟转移过来的个人资料方面没有明确的限制;以及(ii)欧盟公民没有寻求司法补救的途径。 欧盟法院注意到,关于美国监察计划的法定条文及规例没有明确限制其为实施这些计划而赋予的权力,也没有明确列出针对非美国人所设的保障措施,因此违反了与侵扰基本权利相关的相称性原则。 欧盟法院进一步指出,欧盟公民缺乏在法院向美国当局追讨的诉讼权利。由于私隐保护盾缺乏对欧盟资料当事人提供有效的司法保护,这进一步导致欧盟法院宣布其框架无效。
《SCC》的有效性
欧盟法院认为,从《GDPR》关于适当保障、可执行的权利及有效的法律补救措施的角度来看,以及特别考虑到《宪章》的规定,委员会在《GDPR》生效前的时代(在2010/87决定中)所制定的《SCC》,仍然为个人提供了《GDPR》所要求的充分保障。
欧盟法院在得出此结论时强调,评估适当的保护水平需要考虑:-(i)在欧盟的资料输出者与第三国的个人资料接收者之间协定的合约条款;以及(ii)第三国的政府当局获取所转移的资料的可能性,包括该第三国法律制度的相关方面。
与其对私隐保护盾的分析相反,欧盟法院认为《SCC》实际上已经纳入了有效的机制,即使《SCC》对第三国当局没有约束力,也不会影响委员会所作有关《SCC》的决定之有效性。 欧盟法院还认为,《SCC》提供了一种机制让欧盟的监管当局可以在未能确保《SCC》被遵守或欧盟法律所要求的保护的情况下暂停或禁止相关转移;《SCC》在原则上仍是一个有效的资料转移机制。 相反,即使在相信个人资料的保障可能会被美国的监察活动削弱的情况下,该机制在私隐保护盾的框架中亦不可行,因此私隐保护盾被视为未能为欧盟公民提供足够的保障。
未来的路向
在Schrems II的判决中,欧盟法院宣布私隐保护盾无效,似乎未来从欧盟到美国的任何资料转移都只能根据其他安排进行,例如《SCC》及企业约束规则。在这种情况下,资料控制者有责任审慎地评估其转移的情况,包括资料将被转移到的第三国是否有足够的保障提供予资料当事人及牵涉处理资料的各方。大家都知悉美国商务部及欧盟委员会已于八月中旬展开讨论,以遵从Schrems II判决为前题,评估建立一个强化的私隐保护盾框架之可能性。我们将拭目以待,观察欧盟及美国在未来便利跨越大西洋的个人资料转移时将如何应对。
另一方面,我们留意到合约条款通常被采用于由香港的公司跨境/跨界转移资料至香港以外的司法管辖区。虽然《私隐条例》第33条尚未生效,我们现正检视《保障个人资料:跨境资料转移指引》,以期更新该指引。