美國總統拜登在今(2022)年10月7日簽署一項行政命令,用以落實美國與歐盟3月簽訂的《歐美資料隱私框架》(European Union-U.S. Data Privacy Framework)強化保護歐盟公民隱私的承諾。
在2020年以前,美國和歐盟原以「美歐隱私盾框架」(EU-U.S. Privacy Shield Framework)做為兩邊保障跨境資料傳輸的法令基礎。然而隨著《一般資料保護規則》(General Data Protection Regulation, GDPR)於2018年全面施行,歐盟對個資和隱私保護體系之要求日趨嚴格,同時歐洲聯盟法院(The Court of Justice of the European Union, CJEU)於2020年一項判決指出「美歐隱私盾框架」無法達到GDPR規定的保護程度,故此協議應作廢。今年3月美國和歐盟為此新訂《歐美資料隱私框架》,當中關注重點即在於美國應採行措施規範美國情報單位的情報蒐集活動,要求其應強化對歐盟公民個資與隱私之保障。拜登於10月7日簽署的行政命令即是對此進一步指示美國情報單位應遵循之措施。
此行政命令共五項重點。首先指示情報單位應為訊號情報活動(signals intelligence activities)增加額外保護措施,包括此類活動僅能於追求明確國安目的以及於必要時實施,且無論國籍和居住國,應將蒐集對象的隱私和公民自由權利納入考量;其次,情報單位應確保訊號情報活動的個資蒐集處理利用行為符合規定,同時擴大相應官員責任以利採取適當行動對違法事件加以糾正;再者,情報單位應更新隱私政策和行政程序,以符合該命令包含的隱私保障要求及公民自由權利;該命令也在美國情報單位創建一項多層審查機制,以確保相關單位的審查和補救措施能獨立實施且具約束力;最後,該命令呼籲隱私及公民自由監督委員會(Privacy and Civil Liberties Oversight Board)加強審查前述情報單位之政策、行政程序及補救措施。
進一步來看,此行政命令創建的多層審查機制分為兩級。第一級由國家情報總監辦公室的公民自由保護官(Civil Liberties Protection Officer)就收到個資申訴案件,依據此行政命令與現行美國法律做初步審查,以及決定合適補救措施。第二級則由本行政命令授權司法部長建立資料保護審查法院(Data Protection Review Court),根據個人或情報人員的申請,對公民自由保護官的審查行為進行獨立且具拘束力的複審。資料保護審查法院的法官將不是美國政府之雇員,亦不擔任任何政府職務,需具備資料隱私和國安領域相關經驗,以及受獨立審判與任職保障。
由於此項協議由美國商務部代表簽訂,故美國商務部長雷蒙多(Gina Raimondo)後續將致函歐盟,請歐盟綜合其境內各方利害關係人的意見後,評估將該行政命令規定轉化為符合歐盟要求的文本。歐盟執委會表示新的隱私框架相較原有隱私盾協議已有明顯改善,歐盟執委會後續將致力通過最終決議,以確保美國和歐盟的企業能取得歐盟認證進而能繼續自由傳輸資料。若一切順利,美國和歐盟將於2023年3月共同發布最終的協議。
另外,美國和歐盟民間團體對拜登的新命令則有不同反應。歐洲消費者組織(Bureau Européen des Unions de Consommateurs, BEUC)認為新命令雖然增加額外保護措施,然而美國和歐洲的隱私和資料保護標準的根本差異太大因而無法彌合彼此的落差。引發歐盟及西方國家加重關注科技業侵犯隱私的重要人士施倫斯(Max Schrems)在初步檢視該命令後,也認為該命令仍未符合歐盟法院判決彰顯的若干基本權利保障要求。相對於此,美國公民團體「公民自由聯盟」(American Civil Liberties Union, ACLU)則認為新命令為往正確方向邁進,但同時也指出該命令仍允許美國政府實施大量與普遍的資料蒐集行為。
【由黃禾田綜合報導,取材自Associated Press News,2022年10月8日;White House、Politico,2022年10月7日】