「歐美隱私盾」召開第二次年度審查會議
- 王韻潔
- 2018/11/01
- 已被閱讀 618次
- WTOepaper624
歐盟及美國於今(2018)年10月18、19日在比利時布魯塞爾針對「歐盟-美國隱私盾」(EU-U.S. Privacy Shield),召開第二次年度審查會議。本次會議除評估雙邊隱私盾架構目前的成效之外,並就商業交換資訊、美國政府機關為國安目的蒐集資訊等議題進行討論。
在隱私盾架構設立之前,歐美雙方過去係以《安全港協議》(Safe Harbor Agreement)作為個人資訊跨境傳輸保護之基本架構,惟該協議因未能達到歐盟隱私權法律的「充分保護」要求,已在2015年10月遭歐盟法院撤銷。歐美雙方因此進一步在2016年建立隱私盾架構,取代《安全港協議》作為雙方進行資料傳輸的保護機制。
基本上,歐美雙方對於資訊傳輸的規範方式存在相當差距,歐盟傾向對個資隱私提供嚴密保護,然美國則維持對個別產業進行規範,且希望保障跨境資訊的自由流通,故「歐美隱私盾」可視為連結兩國法規的橋樑,保護個體用戶的隱私權,也提供企業在資料使用上的法律明確性。根據「歐美隱私盾」之規定,美國企業可向美國商務部「自我驗證」(self-certify)其資訊保護水準已符合隱私盾所規定之標準,經審核通過者,即可合法進行跨境資訊傳輸活動。
「歐美隱私盾」運作迄今已滿兩年。按規定雙方須自協議生效起,每年召開審查會議,以便監控協議之實施狀況。在去(2017)年9月舉行之首次年度審查會議中,歐盟即曾就美國方面驗證的不一致性及再驗證等問題提出關切。此後,歐盟「一般資料保護規章」(General Data Protection Regulation, GDPR)亦於2018年5月起正式上路。不僅歐盟本身對個資隱私保護規範更趨嚴謹,歐盟也持續關注美國是否確實遵守「歐美隱私盾」之安全規範。
不過,歐洲資料保護局局長布塔瑞里(Giovanni Buttarelli)指出,為因應歐盟GDPR之新制規定,有必要對於在GDPR制定之前的「歐美隱私盾」進行全面檢視,評估過去該協議的保護水準是否仍合於現時GDPR的規範目的。對此,歐洲議會甚至於今年7月通過一項決議,要求美國在9月1日前必須採取相關措施,確認符合歐盟GDPR有關適足性認定(adequacy decision)的要件,否則歐盟將考慮中止「歐美隱私盾」的合作。
針對歐盟的質疑,美國商務部長羅斯(Wilbur Ross)在2018年審查會議上表示,美國政府從2017年即致力於提升隱私盾的功能與管理,除提升民眾對個資隱私保護的認知之外,並積極擴大隱私盾的適用範圍,以及協助企業合法取得資訊。同時,美國方面也已著手處理政府機關經由不正當管道取得個人資料的情形,且不符合隱私盾安全規範之企業的驗證申請也將遭撤銷。美國承諾未來將加強個人在數位經濟中的隱私權保護,以確保隱私盾的有效執行。
【由王韻潔報導,取材自ICTSD,2018年10月25日】