歐美跨境資料傳輸法制之衝突：歐美資料隱私權框架的前景及美國情報及隱私法制修法建議

Abstract

有鑑於數位貿易之持續發展，跨境資料傳輸議題之影響力也愈發重要。歐洲聯盟（下稱「歐盟」）與美國之間在資料隱私保護上之本質區別自1990年代起即難以調和。歐盟原則禁止、例外允許之資料傳輸規範造成美國機構將資料自歐盟傳輸至美國之障礙，雙方之間嘗試透過建立資料傳輸架構作為例外合法傳輸之管道。此外，雖然歐美資料保護立法與觀念的差異是阻礙雙方合作的重要因素，但是有鑒於歐洲聯盟法院在過去的相關法律程序中，大幅度聚焦於美國的情報法規，故美國主要的改革方向與各方意見多聚焦在歐洲聯盟法院對情報法規立下的標準，以及美國在此方面的改革與回應。美國情報法規在立法之初授權情報機構廣泛之監視權力，以及其並未設立實質有效之救濟管道等問題，均被歐洲聯盟法院認定為不應授予歐美資料傳輸架構適足性認定的重要因素。在安全港協議與隱私盾協議相繼喪失適足性認定，以及雙方再次透過Data Privacy Framework（下稱「DPF」）的過程中，美國相關法制也有長足的發展。本文透過分析過去之失敗經驗，探討若欲維持現行DPF之存續所需進行之改革，其中包括情報法規的修正，以及美國聯邦資料隱私保護法律的立法前景。惟本文分析美國現行政策與川普的行政立場後，認為完整的法規改革難以實際達成，故借鑑情況類似的英國情報法規，以釐清美國與其餘依適足性認定與歐盟進行跨境資料傳輸的國家之間，在情報授權體系上有何區別。本文認為，美國若仍願意進行一定程度之改革，先行改革外國情報監控法院的審查範圍及審查密度應能帶來最大的效益。另一方面，本文亦認為歐洲聯盟法院在潛在的法律程序中，應重新思考其在資料隱私保護上的標準，以期能緩和歐美之間在跨境資料傳輸議題上的衝突。

With the continuous development of digital trade, cross-border data transfer has become increasingly vital. Since the 1990s, the fundamental divergences between the European Union (hereinafter "EU") and the United States of America (hereinafter "the U.S.") regarding data privacy protection have been proven difficult to reconcile. The regulatory approach of the EU is to prohibit cross-border data transfers in principle, which creates persistent obstacles for U.S. entities to transfer data across the Atlantic Ocean. Although the European Commission and the U.S. agreed on several data transfer frameworks, the adequacy decision of the previous frameworks has been declared invalid due to the extensive surveillance powers of U.S. intelligence agencies and the lack of effective remedies. At the same time, the provisions regulating intelligence activities have also evolved accordingly. This thesis examines past shortcomings and identifies the necessary reforms for sustaining the current Data Privacy Framework. However, this thesis also argues that the comprehensive reform in the U.S. remains unlikely under current policy conditions. Referring to the Investigatory Powers Act 2016 of the United Kingdom, this thesis suggests that if the U.S. remains willing to undertake certain reforms, prioritizing reform of the Foreign Intelligence Surveillance Court's scope of review would yield the greatest benefit. Conversely, it contends that the Court of Justice of the European Union should reconsider its standards for data privacy protection with the aim of alleviating transatlantic tensions over cross-border data transfer issues.