Tutanota - Data Privacy Framework 只是先前 Privacy Shield 重新命名版本而且一定會失敗

Tutanota - Data Privacy Framework 只是先前 Privacy Shield 重新命名版本而且一定會失敗

歐盟和美國同意了新的資料共享法案:Data Privacy Framework(資料隱私架構)。然而,美國的監控問題並沒有因此改變。

隨著歐盟與美國議定的數個資訊保護協定失效後,歐盟表示:讓我們再試看看!然而資訊保護協定的根本問題-「美國監控」沒有消失的情況下,Data Privacy Framework 法案注定面臨失敗,這是一件好事!
(譯者註:簡單說他的意思是指,原先美國跟歐盟本來就有一個資料共享的法案,但歐盟法庭多次阻擋這個法案正常運作,所以歐盟與美國打算拿出立可帶把原先的法案 Privacy Shield 更名為 Data Privacy Shield 再次推出,同時被人發現重新推出的期間,原先的法案其實還在偷偷運作著,因此作者的觀點表示這很棒,這很定會爛掉。)

Data Privacy Framework 遭受批評

根據著名的提倡資料隱私安全活動家 Max Schrems 表示,Data Privacy Framework 根本就是先前的 Privacy Shield 的換名,而先前的 Privacy Shield 正是因為歐盟法院擔心歐盟公民隱私遭受侵犯而廢止的一項法律。
理由是美國情報機構可輕易地向美國科技公司索取資料,其中也包含歐盟公民的資料。然而根據歐洲的「一般資料保護規則」俗稱 GDPR,在 GDPR 中表示,使用者資料必須從「過度監控行為」中得到保護。為此將歐盟公民的資料傳送到美國儲存是違法的。

歐盟認為有了 Data Privacy Framework 就足以從美國情報機構中保護歐盟公民的資料安全。

想當然的這舉動遭到嚴厲的批評。

一位曾對 Facebook 持續儲存歐盟公民資料的律師 Max Schrems 對德國週刊《明鏡》表示:

人們常說,所謂瘋狂的定義就是不斷的重複做一件事,卻期望得到不同的結果。(...) 我們現在有了「Harbors」、「Umbrella」、「Shields」和「Frameworks」,但美國的監控法律並沒有實質性的改變。Max Schrems 繼續說,目前關於新推出的法律新聞聲明幾乎是 23 年前的翻版。在法庭之前,僅僅聲稱它是「新的」、「強而有力」或「有效的」是完全不夠的。我們需要的是改變美國的監控法律,但是期待這種改變僅是徒勞。

在 Data Privacy Framework 中唯一出現新的變化只有歐盟對美國監控的定義:歐盟委員會宣布美國的數據保護水平與歐盟相等。這麼做等同於當局替美國公司創造出一條新的法律基礎,能將歐盟公民的資料傳送到美國。

自從歐洲法院在 2020 年宣布歐美數據協議「Privacy Shield」不合法以來,法律狀況一直搖擺不定。現在,兩岸企業通過 Data Privacy Framework 再次獲得了共享資料的法律基礎/途徑,對企業來說是一個重要的進展、突破,而對於人民來說並非如此。

歐洲法院前的訴訟

然而,NOYB (None of Your Business) 已經宣布他們將對 Data Privacy Framework 的質疑提交給歐洲法院。

歐洲委員會第三次嘗試在歐盟和美國之間達成關於資料轉移的穩定協議,幾個月後將再次在提交給歐洲法院 (ECJ)。所謂的「新」跨大西洋資料保護協議在很大程度上是對先前闖關失敗「Privacy Shield」的副本。同時與歐洲委員會聲稱的不一樣,但美國法律或歐盟所採取的方法幾乎沒有改變。美國對於 FISA 702 的根本問題並未得到解決,因為美國仍然認為只有美國人才有資格享有憲法權利。

這正是為何「Privacy Shield」失敗的原因。因此,資料隱私活動家批評這項新法律也不會起到作用。
Data Privacy Framework 對歐洲公民的個人資料帶來了與 Privacy Shield 相同程度的監控隱患。
現在我們必須等待案件提交至法庭後,以獲得更好的歐盟公民資料保護的決定。

為何 Data Privacy Framework 遭人詬病?

Data Privacy Framework 是歐洲聯盟(EU)與美國(US)之間的協議,緊接著臭名昭著的 Privacy Shield(隨後是 Safe Harbor framework),旨在規範從歐盟到美國的個人數據轉移,主要規範對人為 Facebook 和 Google 這樣的美國公司,確保美國公司處理相關資料時能達到某些隱私標準並提供足夠的個人資料保護。
然而,Data Privacy Framework 面臨許多質疑,最終將遭到與 Data Shield 相同的命運。而其中最為人詬病的幾個原因:

  1. 對美國監控的保護不足:問題與 Privacy Shield 相同,美國的監控計畫例如美國國家安全局 (NSA)如此大規模監控活動,與歐盟的隱私標準不一樣。Data Privacy Framework 提供的措施、保護遠遠不足以使他與歐盟法相容。
  2. 歐盟民眾無法自救:面對美國公司侵犯或資料處理不當時,Data Privacy Framework 無法提供歐盟人民救濟或法律救濟途徑。
  3. 監管和執法不足:批評方認為 Data Privacy Framework 缺乏有效的監管和執法機制。確保符合規定的責任主要由美國當局承擔,但被指出缺乏足夠的能力來充分審視參與的數千家公司。
  4. 對美國當局對資料存取的未解之憂:該協議未能解決美國政府出於國家安全目的對個人資料的存取問題。隨著 Privacy Shield 歐洲法院判決強調,美國情報機構的存取資料和監控做法不成比例或有限,引發了對保護歐盟公民隱私權的擔憂,對於新推出的 Data Privacy Framework 也是如此。

對於 Data Privacy Framework 的主要批評是,它未能為轉移到美國的個人資料提供足夠的保護。

使用加密技術保護您的資料

要從大規模監控中保護您的資料的最佳方法莫過於勁量使用加密技術。

幸運的是,尤其在歐洲有許多以隱私為先的服務,他們專注於隱私與資料安全保護,讓您能夠安全的線上通訊而不用擔心被監控。