เกราะคุ้มครองความเป็นส่วนตัวระหว่างสหภาพยุโรปและสหรัฐอเมริกา
EU –US Privacy Shieldเป็นกรอบกฎหมายสำหรับการควบคุมการแลกเปลี่ยนข้อมูลส่วนบุคคลข้ามมหาสมุทรแอตแลนติกเพื่อวัตถุประสงค์ทางการค้า ระหว่างสหภาพยุโรปและสหรัฐอเมริกา[ 1 ] หนึ่งในวัตถุประสงค์คือเพื่อให้บริษัทในสหรัฐอเมริกาสามารถรับข้อมูลส่วนบุคคลจากหน่วยงานในสหภาพยุโรปได้ง่ายขึ้น ภายใต้กฎหมายความเป็น ส่วนตัวของสหภาพยุโรปที่ มุ่งปกป้องพลเมืองของสหภาพยุโรป[ 2 ] EU–US Privacy Shield มีผลบังคับใช้เมื่อวันที่ 12 กรกฎาคม 2559 หลังจากการอนุมัติโดยคณะกรรมาธิการยุโรป โดย ถูกนำมาใช้แทนหลักการความเป็นส่วนตัว Safe Harbor ระหว่างประเทศ ซึ่ง ศาลยุติธรรมแห่งยุโรปประกาศให้เป็นโมฆะในเดือนตุลาคม 2558 [ 3 ]ศาลยุติธรรมแห่งยุโรปประกาศให้ EU–US Privacy Shield เป็นโมฆะเมื่อวันที่ 16 กรกฎาคม 2563 ในคดีที่รู้จักกันในชื่อSchrems II [ 4 ] ในปี 2565 ผู้นำของสหรัฐอเมริกาและสหภาพยุโรปได้ประกาศว่ากรอบการถ่ายโอนข้อมูลใหม่ที่เรียกว่าTrans-Atlantic Data Privacy Frameworkได้รับการตกลงกันในหลักการแล้ว โดยจะมาแทนที่ Privacy Shield [ 5 ]อย่างไรก็ตาม ยังไม่แน่ชัดว่าการเปลี่ยนแปลงใดจะจำเป็นหรือเพียงพอเพื่อให้สิ่งนี้ประสบความสำเร็จโดยไม่ต้องเผชิญกับความท้าทายทางกฎหมายเพิ่มเติม
ประวัติศาสตร์
ในเดือนตุลาคม พ.ศ. 2558 ศาลยุติธรรมแห่งยุโรปประกาศว่ากรอบการทำงานก่อนหน้านี้ที่เรียกว่าหลักการคุ้มครองความเป็นส่วนตัวระหว่างประเทศ (International Safe Harbor Privacy Principles)เป็นโมฆะในคำตัดสินที่ต่อมาเป็นที่รู้จักในชื่อ "Schrems I" [ 3 ] ไม่ นานหลังจากคำตัดสินนี้คณะกรรมาธิการยุโรปและรัฐบาลสหรัฐฯได้เริ่มเจรจาเกี่ยวกับกรอบการทำงานใหม่ และในวันที่ 2 กุมภาพันธ์ พ.ศ. 2559 พวกเขาก็บรรลุข้อตกลงทางการเมือง[ 1 ]คณะกรรมาธิการยุโรปได้เผยแพร่ร่าง "การตัดสินใจเรื่องความเพียงพอ" โดยประกาศว่าหลักการดังกล่าวเทียบเท่ากับการคุ้มครองที่กฎหมายของสหภาพยุโรปมอบให้[ 6 ]
คณะทำงานด้านการคุ้มครองข้อมูลตามมาตรา 29ได้ออกความเห็นเมื่อวันที่ 13 เมษายน 2559 โดยระบุว่า Privacy Shield มีการปรับปรุงที่สำคัญเมื่อเทียบกับการตัดสินใจ Safe Harbor แต่ยังคงมีประเด็นที่น่ากังวลหลักๆ สามประการ ได้แก่ การลบข้อมูล การรวบรวมข้อมูลจำนวนมหาศาล และการชี้แจงกลไกผู้ตรวจการแผ่นดินคนใหม่[ 7 ]ผู้กำกับดูแลด้านการคุ้มครองข้อมูลของยุโรปได้ออกความเห็นเมื่อวันที่ 30 พฤษภาคม 2559 โดยระบุว่า "Privacy Shield ในปัจจุบันยังไม่แข็งแกร่งพอที่จะทนต่อการตรวจสอบทางกฎหมายในอนาคตต่อหน้าศาล [ยุโรป] ได้" [ 8 ]
เมื่อวันที่ 8 กรกฎาคม 2559 ตัวแทนของประเทศสมาชิกสหภาพยุโรป (คณะกรรมการมาตรา 31) ได้อนุมัติร่างสุดท้ายของ EU-US Privacy Shield ซึ่งปูทางไปสู่การนำการตัดสินใจของคณะกรรมาธิการมาใช้[ 9 ]คณะกรรมาธิการยุโรปได้นำกรอบการทำงานมาใช้เมื่อวันที่ 12 กรกฎาคม 2559 และมีผลบังคับใช้ในวันเดียวกัน[ 10 ] [ 11 ]
เมื่อวันที่ 25 มกราคม 2560 ประธานาธิบดีโดนัลด์ ทรัมป์ แห่งสหรัฐอเมริกา ได้ลงนามในคำสั่งบริหารชื่อ " การเสริมสร้างความปลอดภัยสาธารณะ " ซึ่งระบุว่า การคุ้มครองความเป็นส่วนตัวของสหรัฐฯ จะไม่ขยายไปถึงบุคคลภายนอกที่ไม่ใช่พลเมืองหรือผู้พำนักอาศัยในสหรัฐฯ
หน่วยงานต่างๆ จะต้องดำเนินการให้เป็นไปตามขอบเขตที่สอดคล้องกับกฎหมายที่บังคับใช้ เพื่อให้มั่นใจว่านโยบายความเป็นส่วนตัวของตนจะไม่รวมถึงบุคคลที่ไม่ใช่พลเมืองสหรัฐฯ หรือผู้มีถิ่นพำนักถาวรตามกฎหมายจากการคุ้มครองตามพระราชบัญญัติความเป็นส่วนตัวเกี่ยวกับข้อมูลส่วนบุคคล[ 12 ]
คำสั่งบริหารนี้ถูกยกเลิกโดยประธานาธิบดีโจ ไบเดนเมื่อวันที่ 20 มกราคม พ.ศ. 2564 [ 13 ]
คณะกรรมาธิการยุโรปได้แถลงว่า:
กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐฯ ไม่เคยให้สิทธิในการคุ้มครองข้อมูลแก่พลเมืองยุโรป คณะกรรมาธิการยุโรปจึงได้เจรจาจัดทำเครื่องมือเพิ่มเติมอีกสองฉบับเพื่อให้แน่ใจว่าข้อมูลของพลเมืองสหภาพยุโรปได้รับการคุ้มครองอย่างเหมาะสมเมื่อมีการถ่ายโอนไปยังสหรัฐฯ:
- ข้อตกลงคุ้มครองความเป็นส่วนตัวระหว่างสหภาพยุโรปและสหรัฐอเมริกา (EU–US Privacy Shield) ไม่ได้อาศัยการคุ้มครองภายใต้กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกา (US Privacy Act)
- ข้อตกลงร่มระหว่างสหภาพยุโรปและสหรัฐอเมริกา ซึ่งมีผลบังคับใช้ในวันที่ 1 กุมภาพันธ์ (2017) เพื่อให้ข้อตกลงนี้เสร็จสมบูรณ์รัฐสภาสหรัฐอเมริกาได้ออกกฎหมายใหม่ในปี 2017 คือ พระราชบัญญัติการเยียวยาทางตุลาการของสหรัฐอเมริกา[ 14 ]ซึ่งขยายสิทธิประโยชน์ของพระราชบัญญัติความเป็นส่วนตัวของสหรัฐอเมริกาไปยังชาวยุโรปและให้พวกเขาสามารถเข้าถึงศาลของสหรัฐอเมริกาได้[ 15 ]
คณะกรรมาธิการกล่าวว่าจะ "ติดตามการดำเนินการตามเครื่องมือทั้งสองต่อไป" [ 15 ]
หลักการของ Privacy Shield
โดยทั่วไป องค์กรได้พัฒนาหลักการสำคัญเจ็ดประการ ซึ่งระบุไว้ในย่อหน้าต่อไปนี้: [ 16 ]
- ประกาศ – บุคคลต้องได้รับแจ้งว่าข้อมูลของพวกเขากำลังถูกเก็บรวบรวมและจะนำไปใช้อย่างไร องค์กรต้องให้ข้อมูลเกี่ยวกับวิธีการที่บุคคลสามารถติดต่อองค์กรเพื่อสอบถามหรือร้องเรียนได้
- สิทธิในการเลือก – บุคคลต้องมีสิทธิ์ที่จะปฏิเสธการเก็บรวบรวมและการส่งต่อข้อมูลไปยังบุคคลที่สาม
- ความรับผิดชอบในการส่งต่อข้อมูล – การส่งต่อข้อมูลไปยังบุคคลที่สามจะเกิดขึ้นได้เฉพาะกับองค์กรที่ปฏิบัติตามหลักการคุ้มครองข้อมูลที่เหมาะสมเท่านั้น
- ความปลอดภัย – ต้องใช้ความพยายามอย่างเหมาะสมเพื่อป้องกันการสูญหายของข้อมูลที่รวบรวมไว้
- ความสมบูรณ์ของข้อมูลและการจำกัดวัตถุประสงค์ – ข้อมูลต้องมีความเกี่ยวข้องและน่าเชื่อถือสำหรับวัตถุประสงค์ที่เก็บรวบรวมมา
- การเข้าถึง – บุคคลต้องสามารถเข้าถึงข้อมูลที่จัดเก็บไว้เกี่ยวกับตนเอง และแก้ไขหรือลบข้อมูลนั้นได้ หากข้อมูลนั้นไม่ถูกต้อง
- ทรัพยากร การบังคับใช้ และความรับผิดชอบ – ต้องมีวิธีการที่มีประสิทธิภาพในการบังคับใช้กฎเหล่านี้
การตอบสนอง
Jan Philipp Albrecht สมาชิกสภา ผู้แทนราษฎร ยุโรปชาวเยอรมันและMax Schrems นักรณรงค์ชาวออสเตรีย วิพากษ์วิจารณ์คำตัดสินใหม่ โดย Schrems คาดการณ์ว่าคณะกรรมาธิการอาจจะ "เดินทางไปกลับลักเซมเบิร์ก " (ซึ่ง เป็นที่ตั้ง ของศาลยุติธรรมแห่งยุโรป (CJEU)) [ 17 ]ชาวยุโรปจำนวนมากเรียกร้องให้มีกลไกสำหรับพลเมืองยุโรปแต่ละคนในการยื่นเรื่องร้องเรียนเกี่ยวกับการใช้ข้อมูลของตน รวมถึงโครงการความโปร่งใสเพื่อให้แน่ใจว่าข้อมูลของพลเมืองยุโรปจะไม่ตกไปอยู่ในมือของหน่วยงานข่าวกรองของสหรัฐฯ[ 18 ]
การท้าทายทางกฎหมาย
Privacy Shield ถูกท้าทายทางกฎหมายโดยกลุ่มที่ให้ความสำคัญกับความเป็นส่วนตัว[ 19 ] [ 20 ]ในตอนแรก ยังไม่ชัดเจนว่าคดีเหล่านี้จะได้รับการพิจารณาหรือไม่[ 21 ] [ 22 ]อย่างไรก็ตาม ภายในเดือนกุมภาพันธ์ 2017 อนาคตของ Privacy Shield ก็ถูกโต้แย้ง ที่ปรึกษาคนหนึ่งชื่อ Matt Allison คาดการณ์ว่า "รูปแบบการกำกับดูแลโดยพลเมืองของสหภาพยุโรปจะขัดแย้งกับกลไกตลาดของสหรัฐอเมริกาและสหราชอาณาจักรอย่างรวดเร็ว" [ 23 ] Allison สรุปเอกสารฉบับใหม่ที่คณะกรรมาธิการยุโรปได้วางแผนสำหรับการตัดสินใจเรื่องความเหมาะสมและกลยุทธ์ระดับโลก[ 24 ]
ในเดือนธันวาคม พ.ศ. 2562 ศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ได้ออกความเห็นเบื้องต้นใน คดี Data Protection Commissioner v Facebook Ireland (หรือที่รู้จักกันในชื่อSchrems II ) โดยได้สรุปสถานการณ์ต่างๆ ที่อาจเกิดขึ้นจากความขัดแย้งในระบอบการปกครอง ทนายความคนหนึ่งสรุปว่าความเห็นดังกล่าว "น่าจะสร้างความโล่งใจและความกังวลใจในระดับที่เท่าเทียมกันสำหรับรัฐบาลสหรัฐฯ และสำหรับบริษัทต่างๆ ที่พึ่งพาการถ่ายโอนข้อมูล" [ 25 ]
คำตัดสินขั้นสุดท้ายของ CJEU ได้รับการเผยแพร่เมื่อวันที่ 16 กรกฎาคม 2020 ในSchrems II [ 26 ] [ 27 ]ข้อตกลง EU–US Privacy Shield สำหรับการแบ่งปันข้อมูลถูกศาลยุติธรรมแห่งยุโรปเพิกถอนเนื่องจากไม่ให้การคุ้มครองที่เพียงพอแก่พลเมืองของสหภาพยุโรปจากการสอดแนมของรัฐบาล[ 4 ]คณะกรรมการคุ้มครองข้อมูลแห่งยุโรป (EDPB) ซึ่งเป็นองค์กรของสหภาพยุโรปที่มีคำตัดสินผูกพันกับหน่วยงานกำกับดูแลความเป็นส่วนตัวระดับชาติ ได้ประกาศว่า "การถ่ายโอนข้อมูลบนพื้นฐานของกรอบกฎหมายนี้ผิดกฎหมาย" [ 28 ]คำตัดสินนี้ไม่ได้หยุดการถ่ายโอนข้อมูลระหว่างสหภาพยุโรปและประเทศต่าง ๆ อย่างสิ้นเชิง เนื่องจากศาลยังคงสนับสนุนการใช้ "ข้อกำหนดสัญญามาตรฐาน" (SCCs) แต่ SCCs ไม่จำเป็นต้องคุ้มครองข้อมูลในประเทศที่กฎหมายไม่สอดคล้องกับกฎบัตรสิทธิพื้นฐานของสหภาพยุโรปและระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) เช่น สหรัฐอเมริกา ความขัดแย้งที่มีอยู่เป็นหัวข้อของข้อเสนอทางวิชาการและการวิจัยที่กำลังดำเนินอยู่[ 29 ]
เมื่อวันที่ 25 มีนาคม 2022 สหรัฐอเมริกาและสหภาพยุโรปได้ประกาศว่าได้บรรลุข้อตกลงการถ่ายโอนข้อมูลฉบับใหม่แล้ว[ 5 ]กรอบการทำงานใหม่นี้เรียกว่าTrans-Atlantic Data Privacy Frameworkซึ่งจะอนุญาตให้พลเมืองของสหภาพยุโรปสามารถดำเนินคดีเกี่ยวกับการละเมิดความเป็นส่วนตัวของข้อมูลผ่าน "ศาลตรวจสอบการคุ้มครองข้อมูล" แห่งใหม่[ 5 ] [ 30 ]เมื่อวันที่ 7 ตุลาคม 2022 ประธานาธิบดีไบเดนได้ลงนามในคำสั่งบริหารเพื่อนำกรอบการถ่ายโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกาไปใช้ ซึ่งได้นำมาตรการคุ้มครองความเป็นส่วนตัวในการรวบรวมข่าวกรองของอเมริกามาใช้[ 31 ] [ 32 ]
คาดว่าจะ มีการตัดสินใจเกี่ยวกับผลกระทบของBrexitต่อ Privacy Shield ภายในวันที่ 31 ธันวาคม 2020 แต่การตัดสินใจดังกล่าวอาจไม่มีผลอีกต่อไปเนื่องจากการตัดสินของศาลยุติธรรมแห่งสหภาพยุโรป[ 33 ]
เวอร์ชันใหม่นี้ถูกวิพากษ์วิจารณ์[ 34 ]
เกราะคุ้มครองความเป็นส่วนตัวระหว่างสวิตเซอร์แลนด์และสหรัฐอเมริกา
สวิตเซอร์แลนด์ไม่ได้เป็นสมาชิกสหภาพยุโรป แต่ปฏิบัติตามนโยบายของสหภาพยุโรปหลายประการผ่านการดำเนินการตามสนธิสัญญา ดังนั้นจึงได้นำกรอบงาน Privacy Shield เวอร์ชันของตนเองมาใช้ผ่าน Privacy Shield ระหว่างสวิตเซอร์แลนด์และสหรัฐอเมริกา ซึ่งคล้ายคลึงกับกรอบงาน Privacy Shield ระหว่างสหภาพยุโรปและสหรัฐอเมริกาเป็นอย่างมาก แต่ใช้ DPA ของตนเองแทนที่จะใช้ DPA ต่างๆ ของสหภาพยุโรป นอกจากนี้ยังไม่มีระยะเวลาผ่อนผันและมีความแตกต่างที่สำคัญอื่นๆ อีกหลายประการเกี่ยวกับคำจำกัดความของ "ข้อมูลที่ละเอียดอ่อน" การอนุญาโตตุลาการที่มีผลผูกพัน และการเปลี่ยนแปลงนโยบายความเป็นส่วนตัว[ 35 ] โครงการระหว่างสหภาพยุโรปและสหรัฐอเมริกา และสวิตเซอร์แลนด์และสหรัฐอเมริกา มีความคล้ายคลึงกันมากพอที่จะ ได้รับการบริหารจัดการร่วมกันโดยสหรัฐอเมริกา[ 36 ]
ดูเพิ่มเติม
- กฎระเบียบขององค์กรที่มีผลผูกพัน
- พระราชบัญญัติคุ้มครองความเป็นส่วนตัวในการสื่อสารทางอิเล็กทรอนิกส์
- หลักปฏิบัติที่เป็นธรรมด้านข้อมูล (FIPP) ของ FTCสหรัฐอเมริกา
- ความเสี่ยงด้านไอที
- ความเป็นส่วนตัว
- กฎหมายคุ้มครอง (Safe harbor)
- พระราชบัญญัติการสื่อสารที่จัดเก็บไว้
ลิงก์ภายนอก
- คำตัดสินการดำเนินการของคณะกรรมาธิการ (EU) 2016/1250 ลงวันที่ 12 กรกฎาคม 2016ว่าด้วยความเพียงพอของการคุ้มครองที่ได้รับจาก EU–US Privacy Shield ซึ่งปัจจุบันเป็นโมฆะเนื่องจากคำตัดสินของศาลในคดีSchrems II
- เอกสารข้อมูลเกี่ยวกับ EU–US Privacy Shield ที่สหภาพยุโรป
- เอกสารข้อเท็จจริงเกี่ยวกับ EU–US Privacy Shield จากกระทรวงพาณิชย์สหรัฐฯเก็บถาวรเมื่อวันที่ 26 มีนาคม 2016 ที่Wayback Machine