2020年7月16日,歐洲聯盟法院(下稱「歐盟法院」)(在Data Protection Commissioner v Facebook Ireland Ltd, Maximilian Schrems and intervening parties, Case C-311/18 一案中)推翻了歐盟-美國「私隱保護盾」(下稱「私隱保護盾」)的框架(常稱為「Schrems II判決」),同時重申歐盟委員會(下稱「委員會」)在《歐盟通用數據保障條例》(EU General Data Protection Regulation: 下稱《GDPR》)生效前發布的《標準合約條款》(Standard Contractual Clauses: 下稱《SCC》)仍然有效,允許在歐盟設立的資料控制者在《SCC》的基礎上向歐盟以外的資料控制者及處理者轉移個人資料。
跨境/跨界資料轉移
根據《GDPR》規定,原則上,只有在目的地國家確保有如《GDPR》提供的足夠保護水平的情況下,才可以將個人資料轉移到該第三國。這個機制與《個人資料(私隱)條例》(《私隱條例》)中尚未生效的第33條内所述的大致相同。委員會可以通過有關「足夠保護程度」的決定(例如有關私隱保護盾的決定)來認定該第三國的法律能確保提供足夠程度的保護予資料當事人(《GDPR》第45條)。或者,如果在歐盟設立的轉移方提供了適當的保障措施,例如通過採納委員會頒布的《SCC》,再加上資料當事人在該第三國擁有可執行的權利和可尋求有效的法律補救措施(《GDPR》第46(1)條及第46(2)(c)條),亦可以進行這樣的轉移。
私隱保護盾被裁定失效
在2015年10月,歐盟法院宣布美國-歐盟安全港框架(C362-14案,常稱為「Schrems I判決」)無效之後,爲了便利個人資料從歐盟跨大西洋轉移至美國,有關當局制定了私隱保護盾。
在本判決中,歐盟法院宣布(2016/1250決定中的)私隱保護盾無效,因爲歐盟法院認爲,參照歐盟《基本權利憲章》(《憲章》)内關於尊重私人和家庭生活、個人資料保障和獲得有效司法保障的權利方面的規定,私隱保護盾不能向歐盟公民提供基本上等同於《GDPR》所要求的保護。歐盟法院在這方面的兩個主要結論是:(i)美國監察當局在獲取從歐盟轉移過來的個人資料方面沒有明確的限制;以及(ii)歐盟公民沒有尋求司法補救的途徑。 歐盟法院注意到,關於美國監察計劃的法定條文及規例沒有明確限制其爲實施這些計劃而賦予的權力,也沒有明確列出針對非美國人所設的保障措施,因此違反了與侵擾基本權利相關的相稱性原則。 歐盟法院進一步指出,歐盟公民缺乏在法院向美國當局追討的訴訟權利。由於私隱保護盾缺乏對歐盟資料當事人提供有效的司法保護,這進一步導致歐盟法院宣布其框架無效。
《SCC》的有效性
歐盟法院認爲,從《GDPR》關於適當保障、可執行的權利及有效的法律補救措施的角度來看,以及特別考慮到《憲章》的規定,委員會在《GDPR》生效前的時代(在2010/87決定中)所制定的《SCC》,仍然爲個人提供了《GDPR》所要求的充分保障。
歐盟法院在得出此結論時强調,評估適當的保護水平需要考慮:-(i)在歐盟的資料輸出者與第三國的個人資料接收者之間協定的合約條款;以及(ii)第三國的政府當局獲取所轉移的資料的可能性,包括該第三國法律制度的相關方面。
與其對私隱保護盾的分析相反,歐盟法院認爲《SCC》實際上已經納入了有效的機制,即使《SCC》對第三國當局沒有約束力,也不會影響委員會所作有關《SCC》的決定之有效性。 歐盟法院還認爲,《SCC》提供了一種機制讓歐盟的監管當局可以在未能確保《SCC》被遵守或歐盟法律所要求的保護的情況下暫停或禁止相關轉移;《SCC》在原則上仍是一個有效的資料轉移機制。 相反,即使在相信個人資料的保障可能會被美國的監察活動削弱的情況下,該機制在私隱保護盾的框架中亦不可行,因此私隱保護盾被視爲未能爲歐盟公民提供足夠的保障。
未來的路向
在Schrems II的判決中,歐盟法院宣布私隱保護盾無效,似乎未來從歐盟到美國的任何資料轉移都只能根據其他安排進行,例如《SCC》及企業約束規則。在這種情況下,資料控制者有責任審慎地評估其轉移的情況,包括資料將被轉移到的第三國是否有足夠的保障提供予資料當事人及牽涉處理資料的各方。大家都知悉美國商務部及歐盟委員會已於八月中旬展開討論,以遵從Schrems II判決為前題,評估建立一個强化的私隱保護盾框架之可能性。我們將拭目以待,觀察歐盟及美國在未來便利跨越大西洋的個人資料轉移時將如何應對。
另一方面,我們留意到合約條款通常被採用於由香港的公司跨境/跨界轉移資料至香港以外的司法管轄區。雖然《私隱條例》第33條尚未生效,我們現正檢視《保障個人資料:跨境資料轉移指引》,以期更新該指引。