為因應Schrems II案判決帶來之衝擊,歐盟資料保護委員會(European Data Protection Board, EDPB)於2020年11月公布了《確保資料傳輸符合歐盟個人資料保護標準要求之配套措施建議》(下稱「《配套措施建議》)(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data);對於個人資料傳輸方(包括控管者或處理者)如何遵守GDPR跨境傳輸規定,提出初步建議,確保控管者或處理者日後跨境傳輸個人資料至第三國(個人資料接收方)時,得以評估第三國是否已具備歐盟水平之個資保護,並辨識出適宜之法遵配套措施。
對此,微軟於同年11月19日率先公告回應EDPB之《配套措施建議》,宣示其保障用戶資料之決心。微軟表示,除了原本已採行之資料保護措施外,本次針對《配套措施建議》提出之承諾實已遠超過EDPB建議之範圍。微軟承諾,當任何第三方(非歐盟/非歐洲經濟區政府或執法機關等)要求微軟向其公開依據標準契約條款(Standard Contractual Clauses, SCC)所傳輸之用戶資料時,微軟將挑戰該第三方之要求,具體方式為:
1.挑戰第三方之要求
-
以任何合理之方式請第三方直接向其用戶請求資料
-
除非法律禁止,否則將立即通知其用戶
-
以任何合法手段(例如:主張該第三方要求公開用戶資料缺乏法規依據或與歐盟法規有衝突)挑戰第三方要求公開用戶資料之請求。
2. 賠償資料主體
當微軟因第三方要求公開用戶資料,進而違反GDPR,並造成其用戶損害時,微軟承諾將賠償該用戶之損害。
微軟除多次於公告中強調隱私保護為其核心價值外,亦於公告中重申目前已採取之資料保護措施,包含高標準加密、公開全球執法單位向微軟要求用戶個資之統計等,並已計劃將上述因應《配套措施建議》之保護措施加入原本與用戶之間之合約,確保用戶之權益受到保障。
註解:
-
歐盟法院(CJEU)2020年7月16日針對Schrems II案(Case C‑311/18)作出判決,該判決認為歐盟與第三國間之個資傳輸標準契約條款(Standard Contractual Clauses, SCC)仍然有效;惟認定美國國內法無法有效保障從歐盟傳輸至美國之個人資料,亦未提供適當救濟途徑,使權利受侵害之資料主體無法請求救濟。因此,認定歐盟-美國之隱私盾協議(EU-U.S. Privacy Shield)無效。
-
包含四大步驟:1.辨識所有傳輸至非歐洲經濟區(non-EEA)國家之跨境個人資料傳輸 2.辨識跨境傳輸之依據 (GDPR 第46條)3. 評估接受資料之第三國相關法令 4.採取配套措施(包含技術上措施、契約上措施、組織內措施等)。