歐盟佐審官建議修正與加拿大之「航空乘客個人資料共享協議(草案)」,以維護人權
歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見,認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案,檢視與歐盟憲章有關規範之一致性。
[背景]
PNR協議草案於2010年5月開始協商,2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外,歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題,歐盟議會將PNR協議提至歐洲聯盟法院審議。
[法律意見]
佐審官認為,協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊,未違反歐盟憲章;然PNR協議草案仍有部分內容違反歐盟憲章:即草案允許歐盟、加拿大主管機關使用乘客姓名等數據,已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。
因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案,隨後雖起草隱私保護協議(Privacy Shield),但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出,可窺歐盟關於隱私保護之立場。
- Agreement between the United States of America and the European Union on the use and transfer of passenger name records to the United States Department of Homeland Security, OJ L 215, 11.8.2012, p. 5–14
- OPINION OF ADVOCATE GENERAL MENGOZZI, Request for an opinion — Admissibility — Draft agreement between Canada and the European Union on the transfer and processing of Passenger Name Record data — ‘Passenger Name Record (PNR)’ data — Compatibility of the draft agreement with Article 16 TFEU and Articles 7 and 8 and Article 52(1) of the Charter of Fundamental Rights of the European Union — Legal basis (2016)
- Advocate General Advises Revision of PNR Agreement between EU and Canada, PRIVACY & INFORMATION SECURITY LAW BLOG, Sept. 9, 2016
林其樺
專案經理 編譯整理
Agreement between the United States of America and the European Union on the use and transfer of passenger name records to the United States Department of Homeland Security, OJ L 215, 11.8.2012, p. 5–14, http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1416915581157&uri=CELEX:22012A0811(01) (last vi1sited Sept. 30, 2016).
OPINION OF ADVOCATE GENERAL MENGOZZI, Request for an opinion — Admissibility — Draft agreement between Canada and the European Union on the transfer and processing of Passenger Name Record data — ‘Passenger Name Record (PNR)’ data — Compatibility of the draft agreement with Article 16 TFEU and Articles 7 and 8 and Article 52(1) of the Charter of Fundamental Rights of the European Union — Legal basis (2016), http://curia.europa.eu/juris/document/document.jsf?text=&docid=183140&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=783683 (last visited Sept. 30, 2016).
Advocate General Advises Revision of PNR Agreement between EU and Canada, PRIVACY & INFORMATION SECURITY LAW BLOG, Sept. 9, 2016, https://www.huntonprivacyblog.com/2016/09/09/advocate-general-advises-revision-pnr-agreement-eu-canada/ (last visited Sept. 30, 2016).
美國聯那通訊委員會 (Federal Communications Commission, FCC)在本月十四日公佈了一份有關「商業頻譜加強法案(Commercial Spectrum Enhancement Act, CSEA)」的執行命令與法規預訂修正通知(Declaratory Ruling and Notice of Proposed Rule Making)。希冀能制訂一定的行政規則而確切地遵照CSEA的規範;同時,FCC也在文件報告中也提出了一些對於目前競價拍賣規則的相關修正意見。 最初在 CSEA法案中設計了頻譜的拍賣收益機制,主要係補償聯邦機構在一些特定頻率(216-220 MHz, 1432-1435 MHz, 1710-1755 MHz, and 2385-2390 MHz)中,以及一些從聯邦專屬使用區重新定頻到非專用區的頻率,因移頻所支應出的必要成本。而在FCC的公佈報告中,委員會認為惟有定義清楚,方能有效地落實該法的執行。因此FCC詳細解釋說明了CSEA中對於「總體現金收益(total cash proceeds)」的意義,FCC認為所謂的總體現金收益應該是原始獲標的價格扣除掉任何有可能的折扣或扣損;同時,FCC也在預定修正公告中,認為應改變委員會的拍賣價格規定以配合CSEA的規定。另外,也修正了部落地的拍賣信用補償制度(Tribal Land Bidding Credit Rule)等規定。
歐洲資料保護委員會於2020年2月18日發布GDPR實施情形的報告「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2020年2月18日發布GDPR實施情形的報告。報告內容主要聚焦於資料跨境傳輸機制、歐盟會員國間合作機制(含EDPB工作情形)以及中小企業法遵等其他議題。 在資料跨境傳輸機制方面,EDPB歡迎各國提出適足性認定的申請,並表達其在評估是否具有適足性時,將著重於相對方是否能使權利確實執行、矯正措施是否有效執行以及對於持續性的轉移是否有足夠保護措施等。EDPB特別建議執委會,應保守看待G20或G7等會議所進行的「資料自由流通」概念,並確保個資保護水準不會因此受到影響。 而在其他跨境傳輸機制上,EDPB建議歐盟執委會應儘速更新標準契約條款,使其能與GDPR規定相符;同時其公佈目前正在審查40個「拘束性企業規則」(Binding Cooperation Rules, BCR),預期至少半數將於2020年審結;而在驗證及行為準則方面,EDPB預期將於2020年底完成相關指引的公告。 在歐盟會員國間合作機制上,EDPB強調其將著重於探討新興技術發展如何兼顧個資保護,以使GDPR作為技術中立的架構,能在保護個資同時兼顧創新。此外,EDPB承認由於各國程序規範上的差異,使得合作面臨挑戰,其建議歐盟執委會持續觀察程序差異對於GDPR執行成效上的影響。EDPB同時認為目前各國監管機構所獲得的資源仍然不足,建議各會員國應提供監管機構更充足的資源。 在中小企業議題上,EDPB承認GDPR對中小企業帶來挑戰。對此,除已由各國監管機構提供相關支援外,EDPB也將持續投入相關支援工具的開發,以減輕中小企業的負擔。 整體而言,EDPB認為GDPR實施大體上是成功的,並能提高歐盟法律體系在全球的知名度,目前並無修改GDPR的需求。 根據GDPR第97條規定,歐盟執委會應於本年5月25日前針對跨境資料移轉、歐盟會員國間合作機制等GDPR落實情形向歐洲議會及歐盟理事會提交評估報告;並於此後每4年提交一次。EDPB此一報告係為提供執委會完成前述報告參考而做。
澳洲隱私專員主張應從嚴認定個人資料去識別化澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為,在符合特定條件之情形下,亦即,去識別化過程符合OAIC認定之最高標準時,去識別化後之資料不適用「1988隱私法案」(Privacy Act);澳洲企業組織目前所進行之個人資料去識別化,是否已符合「1988隱私法案」之規範要求,OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。 澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs),就非公務機關蒐集、利用、揭露與保存設有規定,APPs第6條更明文限制非公務機關揭露個人資料,於特定情況下,APPs允許個人資料經去識別化後揭露。例如,APPs第11.2條規定,若非公務機關當初之蒐集、利用目的已消失,須以合理方式將個人資料進行銷毀或去識別化。 如非公務機關係合法保有個人資料,即無銷毀或去識別化義務;此外,若所保有個人資料屬健康資料者,因係澳洲政府機關以契約方式委託非公務機關,非公務機關亦無銷毀或去識別化義務。應注意者,APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的,主動蒐集個人健康資料 (APPs第16B(2)條),同時亦禁止基於學術研究、公共衛生或安全目的,就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的,且符合APPs第16B(2)條之要件者,非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。 其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等,均就個人資料去識別化訂有相關規範。 未來以資料為導向之經濟發展,將需堅實的隱私保護作為發展基礎,澳洲去識別化個人資料認定標準之提出,以及標準之認定門檻,殊值持續關注。