歐盟法院Schrems II案與常見問答

歐盟法院（Court of Justice of the European Union, CJEU）於今（2020）年7月16日針對 Schrems II case （case C-311/18）作出先行裁決（preliminary ruling），該裁決認定歐盟-美國隱私盾框架（EU-U.S. Privacy Shield framework）因違反歐盟一般資料保護規則（GDPR）而無效，影響成千上萬依賴歐美隱私盾框架的組織。

同時該裁決雖然並未否定歐盟執委會（European Commission）所發布的標準契約條款（Standard Contractual Clauses, SCC）的效力，然而歐盟法院認為，組織在依賴SCC進行個人資料傳輸到第三國前，應確保符合充分的資料保護程度，例如適當安全措施（appropriate safeguards）、資料主體可主張的權利（enforceable rights）與有效的法律救濟途徑（effective legal remedies），否則即應暫停或終止資料的傳輸。

在 Schrems II case出來後，歐盟資料保護委員會（European Data Protection Board, EDPB）與美國商務部（The U.S. Department of Commerce）也分別針對該案發布常見問答，本文整理前述常見問答重點如下。

歐盟EDPB

• 在歐盟法院 Schrems II case 裁決出來後，由於法院評估美國法律並未提供與歐盟本質上相同（essentially equivalent）的個資保護水準，因此不得再基於歐美隱私盾框架傳輸個人資料至美國，同時沒有任何寬限期（grace period）。
• EDPB將評估 Schrems II case 對GDPR第46條其他機制的影響（包含行為準則與認證機制），該裁決明確指出GDPR第46條所謂適當安全措施（appropriate safeguards）是採取「本質上相同（essential equivalence）」標準，同時GDPR第46條所列的機制，依據GDPR第44條規定，必須確保GDPR對當事人保護程度不受減損。
• 組織仍然可以依據GDPR第49條第1項規定將個人資料移轉到歐盟境外，但仍應注意以下事項：
  1. 基於資料主體同意傳輸時
     • 明確的；
     • 限於特定的、一組的資料傳輸；
     • 被告知，尤其是關於傳輸的潛在風險。
  2. 基於履行契約必要
     該例外僅限於因履行契約而「客觀上有必要（objectively necessary）」，且為「非常態的（occasional）」資料傳輸的情形。
  3. 基於公共利益重要原因的必要傳輸
     儘管該例外並未限於「非常態的」資料傳輸，但EDPB強調例外情形不應成為原則，資料傳輸者應確保資料傳輸符合嚴格必要的檢驗（strict necessity test）。
• 組織仍然可以依據SCC與拘束性企業守則（Binding corporate rules, BCR）將個人資料傳輸到歐盟境外，但仍應遵循歐盟法院於Schrems II case 所作成的標準，同時並應注意：
  1. 依具體個案判斷資料傳輸情況與歐盟境外法律，確認該國是否具有充分的資料保護程度，以及視情況採取相應補充措施。
  2. 歐盟法院強調，進行此項評估是資料傳輸者（data exporter）與資料接收者（data importer）的義務。
• 組織基於資料控制者（controller）的地位，透過資料處理者（processor）處理個人資料時，依GDPR第28條第3項，應確保處理者關於資料傳輸到歐盟境外的行為已取得控制者的授權（須注意，即使基於管理目的從歐盟境外存取資料，仍然構成傳輸至歐盟境外）。
• 倘依GDPR第28條第3項所作成的契約約定個人資料將傳輸到美國，然而沒有其他補充措施可以確保符合與歐盟法律本質相同的資料保護程度，同時也沒有GDPR第49條所列例外情形，則唯一的解決方式就是談判與修改契約內容，禁止資料傳輸至美國，資料應在美國之外的地區儲存與管理。如組織將資料傳輸到美國以外的第三國，則應評估該國家的法律，以檢視是否符合歐盟法院的要求與預期的個人資料保護水準，倘沒有適當傳輸到第三國的理由，則不應進行傳輸，僅能在歐盟境內處理個人資料。

美國商務部

• 根據歐盟法院2020年7月16日 Schrems II case 的裁決，當組織將個人資料從歐盟傳輸到美國時，歐美隱私盾框架不再是遵守歐盟GDPR的有效機制。然而現行歐美隱私盾框架參與者仍應遵守隱私盾框架內的相關義務。
• 美國商務部將繼續管理「隱私盾計畫」，包含處理自我認證的申請、更新認證與維護隱私盾列表。
• 組織倘希望繼續留在隱私盾列表中，每年仍然須要進行更新認證。
• 組織繼續參與歐美隱私盾，係表明了根據一系列隱私原則保護個人資料的承諾，對於歐盟的個人提供了有意義的隱私保護與資源。
• 另外美國商務部同時也指出，瑞士-美國隱私盾框架（Swiss-U.S. Privacy Shield Framework）不受歐盟法院 Schrems II case 裁決拘束。

結論

歐盟法院 Schrems II case 的裁決，影響的不僅是歐美隱私盾框架的效力，從歐盟EDPB的常見問答中可以知悉，歐盟法院對於SCC的要求與標準，將影響GDPR第46條所列的行為守則與BCR等機制，甚至影響其他國家同樣仰賴前述機制進行資料傳輸的組織。未來歐盟組織資料傳輸時，資料傳輸者與資料接收者都有義務評估該歐盟境外國家的法律對於歐盟資料主體的資料保護程度是否與歐盟法律本質上相同，如果答案是否定的，且沒有其他可行的補充措施或例外情形，則組織不應進行資料傳輸，該等資料的處理僅能於歐盟境內為之。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享！

※你可能會對這些文章有興趣
1.個資外洩，該怎麼辦？
2.當個資外洩發生時，企業是否可以向系統商求償？
3.投資個資保護的價值？
4.挪威資料保護主管機關推出監理沙盒，協助人工智慧的開發