明毓律師事務所HSU & Associates
2021/3/2 / 時事探討

微軟承諾:保障跨境傳輸的用戶資料

為因應Schrems II案判決帶來之衝擊,歐盟資料保護委員會(European Data Protection Board, EDPB)於2020年11月公布了《確保資料傳輸符合歐盟個人資料保護標準要求之配套措施建議》(下稱「《配套措施建議》)(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data);對於個人資料傳輸方(包括控管者或處理者)如何遵守GDPR跨境傳輸規定,提出初步建議,確保控管者或處理者日後跨境傳輸個人資料至第三國(個人資料接收方)時,得以評估第三國是否已具備歐盟水平之個資保護,並辨識出適宜之法遵配套措施。


對此,微軟於同年11月19日率先公告回應EDPB之《配套措施建議》,宣示其保障用戶資料之決心。微軟表示,除了原本已採行之資料保護措施外,本次針對《配套措施建議》提出之承諾實已遠超過EDPB建議之範圍。微軟承諾,當任何第三方(非歐盟/非歐洲經濟區政府或執法機關等)要求微軟向其公開依據標準契約條款(Standard Contractual Clauses, SCC)所傳輸之用戶資料時,微軟將挑戰該第三方之要求,具體方式為:

1.挑戰第三方之要求

  • 以任何合理之方式請第三方直接向其用戶請求資料

  • 除非法律禁止,否則將立即通知其用戶

  • 以任何合法手段(例如:主張該第三方要求公開用戶資料缺乏法規依據或與歐盟法規有衝突)挑戰第三方要求公開用戶資料之請求。

 

2. 賠償資料主體

當微軟因第三方要求公開用戶資料,進而違反GDPR,並造成其用戶損害時,微軟承諾將賠償該用戶之損害。

 

微軟除多次於公告中強調隱私保護為其核心價值外,亦於公告中重申目前已採取之資料保護措施,包含高標準加密、公開全球執法單位向微軟要求用戶個資之統計等,並已計劃將上述因應《配套措施建議》之保護措施加入原本與用戶之間之合約,確保用戶之權益受到保障。


註解:

  1. 歐盟法院(CJEU)2020年7月16日針對Schrems II案(Case C‑311/18)作出判決,該判決認為歐盟與第三國間之個資傳輸標準契約條款(Standard Contractual Clauses, SCC)仍然有效;惟認定美國國內法無法有效保障從歐盟傳輸至美國之個人資料,亦未提供適當救濟途徑,使權利受侵害之資料主體無法請求救濟。因此,認定歐盟-美國之隱私盾協議(EU-U.S. Privacy Shield)無效。

  2. 包含四大步驟:1.辨識所有傳輸至非歐洲經濟區(non-EEA)國家之跨境個人資料傳輸 2.辨識跨境傳輸之依據 (GDPR 第46條)3. 評估接受資料之第三國相關法令 4.採取配套措施(包含技術上措施、契約上措施、組織內措施等)。


 
Articles
Latest
posts
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知