4月11日,微軟(Microsoft)公司表態支持於今年2月推出後便受到爭議的《歐盟-美國隱私護盾》(EU-US Privacy Shield)協議。該協議旨在取代美國和歐盟於2000年7月達成的《安全港協議》(Safe Harbor Agreement),後者在去年10月被歐盟法院推翻,理由是未達到歐盟隱私權法律的「充分保護」要求。新的《隱私護盾》協議被部分人士認為也將面臨歐盟法院的衝擊。
歐盟於1995年通過的《數據保護指令》規定,第三方國家只有通過國內法或國際承諾,對個人數據提供充分保護(Adequate Level of Protection)時,才允許將歐盟公民個人信息轉移存儲至該國家處理。美國為了滿足歐盟的充分保護要求,於2000年同歐盟達成《安全港協議》:只要美國企業加入安全港,並公開承諾遵守其要求,就可以將歐盟公民的個人信息轉移到美國境內處理。
而在2013年美國監控醜聞曝光後,歐盟成員國數據保護機構紛紛質疑《安全港協議》,隨後歐盟和美國開始磋商新的跨境數據協定。但在2014年8月,奧地利學生 Max Schrems 就 Facebook 未經合法授權就取用及分析歐洲用戶個人資料等違反歐盟法律的問題提出集體訴訟。
歐盟法院最終於2015年10月判定否決了《安全港協議》,理由為美國國家安全部門可以對跨境轉移到美國的歐盟公民個人信息進行監控、攔截、獲取等措施,因此《安全港協議》並未達到《數據保護指令》所要求的充分保護程度。
2016年2月2日,歐洲委員會宣布,與美國方面達成《隱私護盾》協議,最終於2月29日公之於眾。但這項協議並未獲得歐盟數據保護當局的支持,後者將在本周召開會議以最終決定對該協議的立場。
美國雖然承諾不再進行大規模的任意監控,《隱私護盾》協議也提出更嚴格的隱私原則及補充原則,但美國企業在某些情形下仍可以不用遵守這些原則,比如「為了滿足必要的國家利益、公共利益或者執法需求」等,這也受到了一些人的質疑。德國綠黨成員 Jan Albrecht 認為,這個新的協議仍會受到歐盟法院的衝擊,因為此前的《安全港協議》就是這麼被推翻的。
我們相信《隱私護盾》代表了正確的方向……在這項協議獲得採用後,還需採取更多措施來建設這個『隱私護盾』,比如出台更多的國內法、現代化的司法互助條約,以及新的雙邊協議等,並最終達成多邊協議。
微軟歐盟政府事務副總裁 John Frank 於4月11日發文對《隱私護盾》協議表示支持,微軟將根據這項協議尋求批准數據傳輸操作。他還稱,微軟已經承諾針對有關隱私侵犯的個人投訴,於45日內做出回應,還將與當地數據保護部門(Data Protection Agencies)緊密合作解決問題。不過他同時指出,這項協議還不夠充分,美國和歐盟官員仍有許多工作要做。
在美國國家安全局(NSA)「稜鏡門事件」曝光後,微軟被指參加了 NSA 的監聽計劃,涉及到的產品包括 Skype、Outlook 等。但微軟當時回應稱,「我們只有在收到具有法律效力的命令或傳票時才會提供客戶數據,從不會主動提供」,「如果政府有更大範圍收集客戶數據的自願參與計劃,我們不會參與到其中」。
聲音
《歐盟-美國隱私護盾》在大西洋兩岸對隱私、個人和商業來說,都是一個巨大的勝利。
專註於隱私,反映的不僅是我們對基本權利和法律的重視,還在於我們對建立於信任基礎上的業務的理解……人們不會去用他們不信任的技術。合法的規則清晰闡明了個人權利,確保這些權利受到保護所應達到的透明度,並且在人們認為權利受到侵害時提供應循的程序。他們為信任提供了依據,這是驅動新技術創新、人類進步必不可少的。
這不是什麼「隱私護盾」,而是責任護盾(accountability shield)。從沒見過這麼廣受批評的協議。