日前歐盟裁定「美國-歐盟 安全港」協議失效,再掀全球有關個人資料保障與資訊流通的爭議。上回提及,裁決源於一名奧地利私隱學者Maximilian Schrems(Schrems)隻身控告美國的大型監聽計劃嚴重侵犯其個人私隱。這位原訴人其實大有來頭,他更形容裁決是「網絡私隱保護的里程碑」。究竟是甚麼原因使他大費周章,不惜直接打擊美國的商貿發展,與一眾美國商家為敵,也要控告美國?這裁決又是否真如Schrems所言,得以保障網絡用戶的私隱?作為用戶,我們又須為此付上甚麼代價?
斯諾登餘波:現存私隱法例真能保障我們的私隱?
首先介紹這位隻身單挑美國,成功告上歐盟最高法院的奧地利私隱學者Maximilian Schrems。相信我們也不忘2013年,美國中情局成員斯諾登(Edward Snowden) 揭發美國國安局的大型監聽計劃(NSA's PRISM programme)事件;當時一陣網絡監聽疑雲席捲全球,更爆發一連串對網絡保安及私隱的爭議。這風波不因年月平息,反如種子,不知不覺間在世界各地盟芽。
2008年,22歲的Schrems還在奧地利的大學修讀私隱法例;其中一個學期,他到美國交流。上課時,老師邀請了當時Facebook的私隱律師 Ed Palmieri 作分享; 他赫然發現, Ed Palmieri身為代表Facebook——坐擁14億用戶,達全球人口接近四分一的網絡巨頭——的私隱律師,卻竟對歐洲保障個人資料法例的理解異常粗淺。Schrems立即決定以此為論文題目,由研究Facebook對其身處的國土(愛爾蘭,以擁有嚴密的私隱法例聞名)私隱法例的誤解作起點,昂然踏上其成為私隱倡議行動者之旅。
Schrems引用歐洲的私隱法向Facebook索取他由開戶至今,Facebook所存留的資料。結果使他震驚——Facebook送來一隻CD,內附有接近1,200頁的紀錄,包括他曾發佈的所有動態、曾加入的活動、他曾「friend」及「unfriend」的用戶、他的每個「Poke」(Facebook特有的功能,一如打招呼say hi),甚至是已刪除的資料及他從未提供過的電郵地址,都一一存留在Facebook資料庫內。
每個「Poke」都會被Facebook存留成紀錄。
2011年的夏天,Schrems回到奧地利,隨即組成一個行動者組織,名為「Europe v. Facebook」, 並於2015年2月開設同名網站,在奧地利發起一連串保障用戶資料的充權運動。他號召25,000 位網民一同參與「集體訴訟(Class Action)」,並以個人名義,引用愛爾蘭的私隱法——「數據保護法(Data Protection Act 1988-2003)」直接控訴Facebook及美國的稜鏡計劃(大型監聽計劃)嚴重侵害其私隱。他要求Facebook歐洲分公司所在地——愛爾蘭共和國的法院裁決「美國-歐盟 安全港」(US-EU Safe Harbor,下稱「安全港」)法令無效,案件上訴至歐盟最高法院。並於日前裁定協議失效。在此裁決下,企業在歐洲的數據不能自由傳送回美國本部。
Europe v. Facebook網站
許多美國的巨頭企業,如Facebook、Google及Microsoft 等,也在愛爾蘭設立其位於歐洲的總部,藉以避過美國繁重的進口稅。Schrems曾在媒體訪問中表示,正因此,他可以用愛爾蘭嚴密的私隱法例控告美國企業。此訴訟絕對與愛爾蘭用戶的資料保障有直接關係,因愛爾蘭用戶的資料,在「安全港」的許可下,也許會流通並存留在美國。
因此現在的裁決,能否真如Schrems所言,可保網絡私隱仍是未知之數;畢竟如果用戶沒有足夠的網絡保安功夫,又把個人資料胡亂發放;限制資訊流通除了打擊言論自由外,實無其他保障私隱的功效。但這裁決能確實反映的,除了反映歐盟以限制資訊流通作保障私隱的趨勢外,更明顯直接打擊美國企業的賺錢大計。「安全港」失效後,當然不代表美國與歐洲間的資訊流通會中斷(畢竟這是商業行頭的世界),只是,美國企業日後要進行跨境的商業活動,就要付上更昂貴的金錢代價了。
看畢Schrems的經歷,猶如聽到一個現代版「唐吉訶德」式的故事,但又與香港有甚麼關係呢?香港現在有就跨境資訊流通訂立法例嗎?作為香港的用戶,如果我也懷疑有人跨境地取用或儲存我的個人資料(好像Facebook其實會否儲存了我幾千頁的資料?),我可以向誰查詢?
另看:〈歐美私隱大戰正式揭幕(一)——私隱保障 VS 資訊流通〉
圖片:網絡圖片