【個資週報9】當漏風的隱私盾遇上較真的歐盟法院|2020/07/10~2020/07/17
達文西個資週報 盤點全球最新焦點
全文約2900字,閱讀約需10分鐘
❝ 達文西短評 ❞
大家好,我是葉奇鑫律師。
本週全球最熱議的個資話題,應該就是歐盟法院(CJEU)的Schrems II案判決了。該案確認了SCC標準契約條款可作為跨境傳輸適足性保護之決定,並不令人意外,比較令人訝異的是,該案亦同時宣告美國與歐盟間的隱私盾協定無效。
關心個資法的朋友都知道,美國目前並沒有聯邦層級的個資法,這使得美國幾乎不可能通過歐盟跨境傳輸之適足性認定,但美國與歐盟之間的貿易關係如此緊密,貿易金額又如此巨大,一旦個資無法在美國與歐盟之間「流動」,將對二國之貿易產生重大影響。
為了克服個資法造成之貿易障礙,美國與歐盟執委會之前透過安全港協定,以美國企業「自律」之方式,「繞過」歐盟適足性認定之要求,但安全港協定在Schrems I案中被宣告無效。於是美國與歐盟執委會立刻再透過改良版的隱私盾協定,繼續「偷渡」歐盟適足性認定之要求,但這次再度被CJEU宣告無效,引發了很大的爭議,而本事務所亦於7月16日第一時間發出了快訊,提醒大家關注本事件之發展。
本案決定將直接衝擊美國5385家已加入隱私盾協定之企業,並使「這些企業未來能否繼續跨境傳輸歐盟個資至美國企業?」成為不確定之法律風險,別忘了,違反適足性認定可能面臨的罰則,最高可達企業全球4%營業額,未來是否有哪一家美國企業因此而遭歐盟個資主管機關「祭旗」,仍未可知。
美國是貿易巨人,卻仍無法受到歐盟法院之「禮遇」,由此可見,台灣現正爭取通過歐盟適足性認定之重要性,為通過該認定,台灣個資法勢必進行相當程度之修法,而未來之修法方向,也值得我們特別關注。
祝 夏安
葉奇鑫
筆耕於衡陽
2020.07.21
▶ 法規動態 ◀
- 7月16日,歐盟法院(Court of Justice of the European Union, CJEU)對Schrems II 案(case C-311/18)作出判決,認定標準契約條款(standard contractual clause, SCC)可為個資跨境傳輸提供適足保護,但宣告歐盟執委會實施歐盟-美國隱私盾協定(EU-U.S. Privacy Shield Framework)的第2016/1250號決定無效。在2015年Schrems I案中,CJEU已宣告歐盟-美國資料傳輸安全港框架協定(EU-U.S. Safe Harbor Framework)未能提供適足保護。
- 本事務所相關快訊請見:https://www.davinci.idv.tw/news/803。
- 延伸閱讀:
- 歐盟法院即將裁判Schrems II案:https://www.davinci.idv.tw/news/763。
- 本事務所關於Schrems I案判決翻譯與評析,請見國家發展委員會委託研究報告《歐盟GDPR適足性相關文件與判決之對外說明資料委託研究計畫結案報告》:https://www.davinci.idv.tw/download。
- APEC CBPR列入新加坡資料跨境傳輸資格名單:https://www.davinci.idv.tw/news/781。
- 7月10日,歐洲個人資料保護委員會(European Data Protection Board, EDPB)發布搜尋引擎被遺忘權指引最終版本。
- 本事務所相關快訊請見:https://www.davinci.idv.tw/news/806。
- 7月7日,哈薩克2020年6月25日第347-VI號法律(Қазақстан Республикасының Заңы 2020 жылғы 25 маусымдағы № 347-VI ҚРЗ)生效。該法要求設置個人資料保護專責機構。
- 7月13日,美國馬薩諸塞州通過「警察改革法」(Police Reform Act)。該法旨在防範警方對有色人種之不公平對待,要求暫停警方使用人臉辨識技術,並禁止種族剖析行為。
- 該法原文請見:https://malegislature.gov/Bills/191/S2800。
- 延伸閱讀:
- 個資週報4|人臉辨識:技術與隱私的較量:https://www.davinci.idv.tw/news/784。
▶ 監理動態 ◀
- 7月16日,CJEU Schrems II案原告愛爾蘭資料保護委員會(Data Protection Commission, DPC)就該案判決發表聲明,表示歡迎CJEU的判決,並將與歐盟其他國家的個資保護主管機關合作,根據該案判決調整監理策略。
- 7月16日,歐盟執委會副主席和司法執委(Commissioner for justice)分別就CJEU Schrems II案判決發表意見,強調企業仍可透過SCC等其他工具實現個資跨境傳輸,並表示將與歐盟「各會員國」的個資保護主管機關共同研究如何因應該案判決。
- 7月17日,歐洲個人資料保護監察人(European Data Protection Supervisor, EDPS)就CJEU Schrems II案判決發表聲明,表示將依該案判決監督歐盟機構實施的個資跨境傳輸活動。
- 7月17日,歐洲個人資料保護委員會(European Data Protection Board, EDPB)就CJEU Schrems II案判決發表聲明,強調組織在透過SCC實施個資跨境傳輸時,仍須評估具體個案中的個資保護水平。
- 7月16日,美國商務部(Department of Commerce)就CJEU Schrems II案判決發表意見,表示對該案判決十分失望,且其將繼續實施隱私盾計畫。
- 7月9日,美國聯邦貿易委員會(Federal Trade Commission, FTC)就NTT Global Data Centers Americas, Inc.參與歐盟-美國隱私盾不實聲明一案提出和解決定草案,要求該企業在參與歐盟-美國隱私盾期間,每年由獨立第三方實施符合性評估。
- 該決定草案原文請見:https://www.govinfo.gov/content/pkg/FR-2020-07-09/pdf/2020-14782.pdf。
- 延伸閱讀:
- 安全港早已潰堤,隱私盾竟也遭歐盟法院擊破! —歐盟法院判決Schrems II案:https://www.davinci.idv.tw/news/803。
- 7月15日,TikTok因違法蒐集兒童個資,且未經使用者同意即向境外傳輸個資,被韓國廣播通訊委員會(방송통신위원회)處以1.86億韓元(約合新台幣460萬元)罰鍰。
- 該裁罰決定原文請見:https://kcc.go.kr/user.do?mode=view&page=A05030000&dc=K05030000&boardId=1113&cp=1&boardSeq=49724。
- 延伸閱讀:
- 其他個資保護主管機關針對TikTok啟動調查的相關報導請見:個資週報8|這是個開放的年代,也是個分享的年代:https://www.davinci.idv.tw/news/801。
- 7月10日,一名LinkedIn使用者向美國加州北區聯邦地方法院(United States District Court for the Central District of California)起訴LinkedIn公司,指控LinkedIn透過共用剪貼簿(universal clipboard)竊取使用者隱私資訊,違反聯邦反監聽法(Federal Wiretap Act)與加州憲法。
- 本事務所相關快訊請見:https://www.davinci.idv.tw/news/807。
- 7月14日,兩名美國公民在美國聯邦地區法院針對Amazon、Google和Microsoft三家公司提起集體訴訟,認為此三家公司未經當事人同意即利用IBM臉部圖像資料庫Diversity in Faces訓練人臉辨識AI的行為,違反伊利諾伊州生物特徵辨識資訊隱私法(Biometric Information Privacy Act)。
- 對Amazon的起訴狀原文請見:https://www.courtlistener.com/recap/gov.uscourts.wawd.287404/gov.uscourts.wawd.287404.1.0.pdf。
- 對Google的起訴狀原文請見:https://www.courtlistener.com/recap/gov.uscourts.cand.362392/gov.uscourts.cand.362392.1.0.pdf。
- 對Microsoft的起訴狀原文請見:https://www.courtlistener.com/recap/gov.uscourts.wawd.287400/gov.uscourts.wawd.287400.1.0.pdf。
- 延伸閱讀:
- 個資週報4|人臉辨識:技術與隱私的較量:https://www.davinci.idv.tw/news/784。
- 7月14日,兩名美國公民在美國加州北區聯邦地方法院(United States District Court for the Central District of California)向Google提起集體訴訟,指控Google在Android系統使用者關閉「網路和應用程式活動」(Web & App Activity)設定後,依然追蹤並記錄使用者相關活動資訊,違反聯邦反監聽法、加州隱私侵害保護法(California Invasion of Privacy Act,CIPA)及加州憲法。
- 該案起訴狀原文請見:https://www.courtlistener.com/recap/gov.uscourts.cand.362381/gov.uscourts.cand.362381.1.0.pdf。
- 延伸閱讀:
- 「私密瀏覽」也會被追蹤記錄?—Google面臨集體訴訟,索賠額超50億美元:https://www.davinci.idv.tw/news/777。
- 7月10日,沃爾瑪公司因顧客個資外洩事件,被訴違反加州消費者隱私法(California Consumer Privacy Act,CCPA)等法律。
- 7月15日,歐盟執委會通過促進接觸史追蹤應用程式互通性(interoperability)的實施決定(implementing decision)。
- 該決定原文請見:https://ec.europa.eu/newsroom/sante/item-detail.cfm?item_id=683319。
- 延伸閱讀:
- 不同接觸史追蹤應用程式間如何安全實現「互通有無」?:https://www.davinci.idv.tw/news/788。
- 7月10日,法國個資保護主管機關「國家資訊自由委員會」(Commission Nationale de l'Informatique et des Libertés, CNIL)發布對有權第三方(authorized third party)資料傳輸指引。
- 7月13日,英國個資保護主管機關「資訊委員辦公室」(Information Commissioner’s Office, ICO)發布新冠肺炎接觸史追蹤指引,並在新冠肺炎疫情期間調整其監理政策。
- 該指引原文請見:https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/coronavirus-recovery-data-protection-advice-for-organisations/collecting-customer-and-visitor-details-for-contact-tracing/。
- 監理政策調整相關新聞稿原文請見:https://ico.org.uk/media/about-the-ico/policies-and-procedures/2617613/ico-regulatory-approach-during-coronavirus.pdf。
- 7月15日,紐西蘭隱私委員辦公室(Office of the Privacy Commissioner, OPC)宣布將依新制定的「2020年隱私法」(Privacy Act 2020)更新現有六部隱私指引(code of practice),並公開徵求有關提案。2020年隱私法於2020年6月底通過並獲得御准(royal assent),將於2020年12月1日生效。
- 該公告原文請見:https://privacy.org.nz/news-and-publications/statements-media-releases/public-submission-on-updating-privacy-codes/。
- 延伸閱讀:
- 紐西蘭「2020年隱私法」之相關報導請見:個資週報6|網路巨頭監理:個資保護法與競爭法之互動:https://www.davinci.idv.tw/news/796。
▶ 最佳實務動態 ◀
- 7月14日,美國智庫Future of Privacy Forum發布對歐盟-美國隱私盾的調查結果,指出歐盟公司對隱私盾的參與度較前一年提升30%。
※ 歡迎註明出處後轉載。
不想錯過全球個資法大事嗎?