簡言之,這是一則市值破2500億美元的美國超級商業巨擘,敗給一個歐洲無名小卒的故事。今年才28歲的維也納大學法學博士Schrems,幾年前登錄為FB用戶,就如同其他上億的歐盟用戶一樣,他在FB活動的所有資料,無論是個資、留言或照片,都先被蒐集、儲存在愛爾蘭的歐洲FB公司後,轉傳至美國FB總公司的伺服器儲存。此舉讓美國情治機構(尤其是NSA)得以「繞過」歐盟隱私保護法規,直接在美國就監控所有歐盟公民的FB資訊。為此,Schrems槓上FB及袒護FB的愛爾蘭資訊保護官,救濟未果後,案件提交歐盟法院審理。
本案焦點在於,為何歐盟境內公司有權將用戶資料傳輸到美國呢?本來,依照歐盟資料保護指令,除非第3國的資料保護達到歐盟法水準,否則禁止將隱私資料傳輸至歐盟境外的第3國,稱為「歐盟法的境外效力」。
這種隱私保障看起來滴水不漏,但早在2000年時,歐盟執委會便與美國政府達成《安全港(Safe Harbor)協議》,概括認定美國是合乎歐盟法要求的第3國。據此,向美國商業部登記在案的公司皆可援引「安全港原則」,開啟了跨國企業將歐洲用戶資料合法輸美的大門。除了FB之外,包含Google、Apple、Microsoft、IBM、amazon及Dropbox在內的4千多家美系跨國企業,都被納入安全港的保護傘。反過來說,和這4千多家公司打交道的歐洲用戶之隱私資料,也都因此落入NSA的監控範圍。原告Schrems主打的就是這點。
儘管《安全港協議》在歐盟境內備受爭議,但多年來批評聲浪一直無法和政治現實及企業利益抗衡。直到2013年史諾登(Edward Snowden)事件及其揭露的「稜鏡計劃」(PRISM)之後,大多數歐洲人才驚覺安全港有多危險:這些企業左手蒐集歐洲用戶資料創造其商業利潤,右手又私下轉給美國情治機關供其監控。儘管歐盟行政及立法部門試圖亡羊補牢,從史案爆發後便和美國商討新傳輸協議,但這些歐盟部門本來就糾結各種政治角力和巨大商業利益(如福斯醜聞所揭示的歐盟柴油車管制漏洞,即是一例);沒想到遲無具體成果之際,歐盟法院就先舉了紅牌。
歐盟法院的FB判決,簡單地說,就是以獨立的司法判決,正式確認「安全港根本不安全」,宣告其違反歐盟資料保護法,進而撤銷跨國企業概括傳輸資料的保護傘。令美國坐立難安的,不只是FB判決的間接隱喻(美國資訊保護未達歐盟要求),其跨國企業的經營型態也將被迫改變。如歐盟法院2014年的「被Google遺忘權」判決之後,Google被強制執行歐洲網域的「被遺忘權」,去年以來已有超過30萬人申請移除資料,4成移除成功。
但Google判決只衝擊到搜尋引擎而已,FB判決則是除震央所在的社群網外,強烈震波直達所有依賴互聯網的跨國企業,連大家想不到的信用卡公司如Master Card都被波及!
總言之,FB判決既是全球隱私權保障的里程碑,也是歐洲司法獨立性的驕傲。在隱私保障及司法信賴兩項指標皆遠遠落後的台灣,能否從中學到啟示呢?
台灣大學法律學院教授、刑事法研究會執行長
