個人資料的跨境傳輸是許多美國跨國企業的命脈，這些跨國企業從位於美國的總部集中管理全球員工的職位、薪資與福利，也管理員工使用企業網路系統的權限，倘若不允許個人資料跨境傳輸，則跨國企業的運作或管理上，均會遭遇相當大的困難。在歐盟嚴格的個人資料保護法規下，美國跨國企業長期仰賴特殊的隱私保護協議進行資料跨境傳輸。

在早期，美國與歐盟間建立了安全港協議（Safe Harbor），跨國企業遵守安全港協議，承諾保障個人隱私安全，便得進行跨境傳輸個人資料；然而於2013年，愛爾蘭高等法院因處理奧地利公民Schrems 與Facebook間，關於Facebook將歐盟公民個人資料傳輸至美國一事之訴訟，而請求歐盟法院確認安全港協議之效力；2015年10月6日，歐盟法院認定安全港協議無效。而後，美國與歐盟就新的隱私保護架構展開談判，歐盟於2016年7月12日通過了新的2016/1250號決定（Commission Implementing Decision (EU) 2016/1250），即隱私盾協議 （EU-U.S. Privacy Shield）。

然而，前述Schrems訴訟也尚未終結。Facebook主張依據歐盟執委會2010/87號決定（Commission Decision 2010/87/EU）內的「標準契約條款」（Standard Contractual Clauses, SCC），跨境傳輸歐盟個人資料到美國。SCC是基於企業與使用者間合意的標準化契約條款，用以確保個人資料符合歐盟個資保護規範，進而將個資傳輸至第三方國家。Schrems於2015年12月1日修改訴訟主張，認為不能以SCC作為主張個人資料跨境傳輸的正當性。愛爾蘭高等法院於2018年5月4日將本案提交至歐盟法院，確認SCC和隱私盾協議的有效性。

歐盟法院於2020年7月16日判決隱私盾協議無效，SCC仍保持有效。歐盟法院認為，首先，美國有關情報監控的規範，在實施個人資料監控時，不符合比例原則以及必要性原則；其次，雖然依據隱私盾協議，美國政府實施個人資料監控時，必須遵守其要求，但並未賦予資料主體於權益受侵害時，可提起訴訟保障自身權益的訴訟權保障。故基於上述理由，隱私盾協議不符合歐盟隱私規範要求，故判決隱私盾協議無效。

此一裁決對美國的網路企業帶來巨大挑戰，這些企業可能必須被迫改變其個人資料處理策略，美國企業需要了解他們如何受到美國相關監控法律的約束，以及他們的資料保護是否符合歐盟要求。長遠來看，可能必須考慮將涉及歐盟的部份業務移出美國，或等待美國與歐盟重新制定新的協議。

（本則資訊由電信技術中心提供，連絡電話：02-89535016）