您所在的位置:服務貿易 > 國際產業訊息

歐盟執委會公布隱私盾年度審查報告,執行面仍有改善空間WTO&RTA中心

作者:    彭文君


歐盟執委會於今(2017)年10月18日公布其對於歐盟與美國之間隱私盾(Privacy Shield)保護機制之年度審查報告,該份報告指出隱私盾機制正確實運作中,但在執行上尚有改善之空間。美國和歐盟曾於2000年7月達成之《安全港協議》(Safe Harbor Agreement),已於2015年遭歐盟法院宣告未能充分達到歐盟隱私權法律之保障要求而終止,爾後,美歐雙方進一步建立隱私盾機制。隱私盾機制主要在規範歐盟個人資料因商業目的而移轉傳輸至美國時,要求相關企業應遵循隱私盾機制之規定與標準始能傳輸並利用該等資料,以保障歐盟居民之個人資料與隱私。

歐盟執委會就歐美隱私盾機制進行首次年度審查報告,並希望將該報告內容作為美國企業處理歐盟個人資料時之行動指導與程序綱領,已確實達到隱私盾之保障標準;惟目前為止仍未出現任何基於隱私盾規範之控訴,因此尚未確定美國企業在進行個人資料處理之程序時,是否符合隱私盾之要求。根據隱私盾機制,各公司企業必須設立一隱私盾聯繫點作為處理隱私保護相關之控訴與查詢。依照不願具名之歐盟官員透露,有部分美國公司已就隱私保護事項受到相關個人之質疑聯繫,但該等接洽並未啟動任何隱私盾機制中的控訴,而前述公司亦向個人保證將妥善處理其個人資料。

全球性律師事務所貝克‧麥堅時(Baker & McKenzie LLP)芝加哥總部的資料保護合夥人漢格斯柏(Brian Hengesbaugh)指出,當資料持有人漸漸意識到隱私盾所賦予之權利時,單純的查詢質疑就會變成控訴,特別是歐盟《一般資料保護規範》(General Data Protection Regulation, GDPR)將於2018年5月正式實施,屆時大眾對於個人資料與隱私權之保障意識會更加提升。

此外,在本次歐盟執委會的報告中,特別關注有關自動化決策之議題,亦即在處理個人資料時採用人工智能、演算法則或是以其他相關機制對資料進行分類、分享或評估。按GDPR之規定,個人有權拒絕經由自動化決策所作成之決定,例如對於自動化決策作成之信用評定,個人有權拒絕依該等信用評定給予貸款。此外,GDPR要求對個人資料進行控管與收集利用之公司企業,應提供一項簡便措施(simple way),讓資料持有人得以運用其權利拒絕採取自動化決策以及反對該決定。

漢格斯柏提到,執委會的隱私盾報告中,呈現許多詳細的評論與指導,以提供美國企業在運用歐盟個人資料時該如何履行其確保隱私權之義務,故各大企業應注意報告中所強調的內容,並深入了解未來在執法上可能面臨之執行強度;同時,他也預測,歐盟執委會在審查報告中對於自動化決策此一議題之關注,很有可能導致未來隱私盾機制對此進行修正與改變。

另一方面,歐洲「消費者聯盟」(European Consumer Organization, BEUC)高級法律專員雷納(Agustin Reyna)則認為,隱私盾相關查詢之低使用率反映出大部分歐盟居民並不了解他們的個人資料在歐盟以外的地方被利用與處理;對此,歐盟隱私監管機關與執委會官員正致力於促進企業與個人對於跨境資料傳輸之教育與推廣。

【由彭文君報導,取材自International Trade Daily,2017年10月23日】