
作者:林鈺雄;台灣大學法律學院教授、刑事法研究會執行長
在國內媒體追逐「換柱」傳聞之際,近日國際媒體聚焦在一則「小蝦米扳倒大鯨魚」的石破天驚歐盟法院(CJEU)判決:未來,位於愛爾蘭的歐洲臉書公司(Facebook Ireland Ltd.)可能無法再將用戶資料悉數傳輸到美國總公司,其對 FB 及其他跨國互聯網企業的衝擊,難以估計。
簡言之,這是一則市值破 2500 億美元的美國超級商業巨擘,敗給一個歐洲無名小卒的故事。今年才 28 歲的維也納大學法學博士 Schrems,幾年前登錄為 FB 用戶,就如同其他上億的歐盟用戶一樣,他在 FB 活動的所有資料,無論是個資、留言或照片,都先被蒐集、儲存在愛爾蘭的歐洲 FB 公司後,轉傳至美國 FB 總公司的伺服器儲存。此舉讓美國情治機構(尤其是 NSA)得以「繞過」歐盟隱私保護法規,直接在美國就監控所有歐盟公民的 FB 資訊。為此,Schrems 槓上 FB 及袒護 FB 的愛爾蘭資訊保護官,救濟未果後,案件提交歐盟法院審理。
本案焦點在於,為何歐盟境內公司有權將用戶資料傳輸到美國呢?本來,依照歐盟資料保護指令,除非第 3 國的資料保護達到歐盟法水準,否則禁止將隱私資料傳輸至歐盟境外的第 3 國,稱為「歐盟法的境外效力」。
- 安全港協議洩個資
這種隱私保障看起來滴水不漏,但早在 2000 年時,歐盟執委會便與美國政府達成《安全港(Safe Harbor)協議》,概括認定美國是合乎歐盟法要求的第 3 國。據此,向美國商業部登記在案的公司皆可援引「安全港原則」,開啟了跨國企業將歐洲用戶資料合法輸美的大門。除了 FB 之外,包含 Google、Apple、Microsoft、IBM、amazon 及 Dropbox 在內的 4 千多家美系跨國企業,都被納入安全港的保護傘。反過來說,和這 4 千多家公司打交道的歐洲用戶之隱私資料,也都因此落入 NSA 的監控範圍。原告 Schrems 主打的就是這點。
儘管《安全港協議》在歐盟境內備受爭議,但多年來批評聲浪一直無法和政治現實及企業利益抗衡。直到 2013 年史諾登(Edward Snowden)事件及其揭露的「稜鏡計劃」(PRISM)之後,大多數歐洲人才驚覺安全港有多危險:這些企業左手蒐集歐洲用戶資料創造其商業利潤,右手又私下轉給美國情治機關供其監控。
儘管歐盟行政及立法部門試圖亡羊補牢,從史案爆發後便和美國商討新傳輸協議,但這些歐盟部門本來就糾結各種政治角力和巨大商業利益(如福斯醜聞所揭示的歐盟柴油車管制漏洞,即是一例);沒想到遲無具體成果之際,歐盟法院就先舉了紅牌。
- 信用卡公司被波及
歐盟法院的 FB 判決,簡單地說,就是以獨立的司法判決,正式確認「安全港根本不安全」,宣告其違反歐盟資料保護法,進而撤銷跨國企業概括傳輸資料的保護傘。令美國坐立難安的,不只是 FB 判決的間接隱喻(美國資訊保護未達歐盟要求),其跨國企業的經營型態也將被迫改變。如歐盟法院 2014 年的「被 Google 遺忘權」判決之後,Google 被強制執行歐洲網域的「被遺忘權」,去年以來已有超過 30 萬人申請移除資料,4 成移除成功。
但 Google 判決只衝擊到搜尋引擎而已,FB 判決則是除震央所在的社群網外,強烈震波直達所有依賴互聯網的跨國企業,連大家想不到的信用卡公司如 Master Card 都被波及!
總言之,FB 判決既是全球隱私權保障的里程碑,也是歐洲司法獨立性的驕傲。在隱私保障及司法信賴兩項指標皆遠遠落後的台灣,能否從中學到啟示呢?
(本文獲得作者授權,未經允許不得轉載;圖片來源:melenita2012,CC Licensed)



