1 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • การโอนข้อมูลส่วนบุคคลระหว่าง EU-สหรัฐฯ ยังคงดำรงอยู่ได้บนสมมติฐานว่ามี หน่วยงานกำกับดูแลอิสระ ของสหรัฐฯ แต่คำตัดสิน Trump v. Slaughter ของศาลสูงสุดสหรัฐฯ ทำให้สมมติฐานเรื่องความเป็นอิสระของ FTC สั่นคลอน
  • กฎหมายสนธิสัญญาของ EU กำหนดให้การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลต้องอยู่ในมือของ หน่วยงานอิสระ และ EU-US Data Privacy Framework ปี 2023 ก็ใช้ FTC เป็นหลักฐานสำคัญ
  • เนื่องจาก Safe Harbour และ Privacy Shield เคยถูกทำให้เป็นโมฆะแล้วใน Schrems I·II noyb จึงมองว่ากรอบใหม่ปี 2023 ทำซ้ำจุดอ่อนเดิม
  • ไม่ได้หมายความว่าการโอนข้อมูลทั้งหมดจะหยุดลงทันที และจนกว่า European Commission จะถอนหรือ CJEU จะทำให้เป็นโมฆะ คำตัดสินปัจจุบันยังมีผลในเชิงรูปแบบ
  • บริษัทที่ใช้ SCCs·BCRs ก็อาจต้องทบทวน การประเมินผลกระทบ ที่อาศัยความเป็นอิสระของกลไกเยียวยาและหน่วยงานกำกับดูแลของสหรัฐฯ และ noyb เรียกร้องให้ถอนข้อตกลงข้อมูล EU-สหรัฐฯ

ความเป็นอิสระของ FTC ที่อ่อนแอลงกำลังสั่นคลอนระบบการโอนข้อมูล EU-สหรัฐฯ

  • ศาลสูงสุดสหรัฐฯ มีคำตัดสินใน Trump v. Slaughter ว่า FTC อาจไม่เป็นอิสระอีกต่อไป
  • EU พึ่งพา FTC ที่เป็นอิสระ ในฐานะรากฐานการบังคับใช้ข้อตกลงโอนข้อมูลส่วนบุคคลระหว่าง EU-สหรัฐฯ มาตั้งแต่ปี 2000
  • ตามกฎหมายสนธิสัญญาของ EU การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลต้องดำเนินการโดยหน่วยงานอิสระ
    • หลักฐานคือ Article 16(2) TFEU และ Article 8(3) of the Charter of Fundamental Rights
    • หากประเทศที่สามต้องการรับการโอนข้อมูลส่วนบุคคลอย่างเสรีจาก EU จะต้องให้การคุ้มครองที่เทียบเท่าโดยสาระสำคัญ
  • ใน EU-US Data Privacy Framework ปี 2023 European Commission อ้างถึง FTC เป็นหลักฐาน 259 ครั้ง
  • noyb และ Max Schrems เรียกร้องให้ European Commission ถอน การตัดสินความเพียงพอ ต่อสหรัฐฯ อย่างเป็นระเบียบ โดยให้เหตุผลว่าสหรัฐฯ ไม่มีหน่วยงานกำกับดูแลอิสระอีกต่อไป

การถูกทำให้เป็นโมฆะซ้ำ ๆ และจุดอ่อนของข้อตกลงใหม่ปี 2023

  • ตั้งแต่ปี 1995 EU ได้ห้ามการส่งออกข้อมูลส่วนบุคคลไปยังประเทศที่สามเป็นการทั่วไป เพื่อป้องกันการเลี่ยงกฎข้อมูลส่วนบุคคลของ EU
    • มีข้อยกเว้นสำหรับการโอนที่จำเป็น เช่น การจองโรงแรมหรือธุรกรรมที่ซับซ้อน
    • บริษัท EU จำนวนมากได้ว่าจ้างผู้ให้บริการคลาวด์สหรัฐฯ ให้ประมวลผลข้อมูลส่วนบุคคลแทน
  • European Commission ยอมรับสหรัฐฯ ซ้ำ ๆ ตั้งแต่ปี 2000 ว่าเป็นประเทศที่ “เพียงพอ” ด้านการคุ้มครองข้อมูลส่วนบุคคล เพื่ออนุญาตให้ข้อมูลไหลเวียนได้อย่างเสรีระหว่าง EU-สหรัฐฯ
    • CJEU ทำให้ Safe Harbour เป็นโมฆะใน Schrems I
    • CJEU ทำให้ Privacy Shield เป็นโมฆะใน Schrems II
    • เหตุผลหลักคือกฎหมายการสอดส่องของสหรัฐฯ และการขาดช่องทางเยียวยาทางตุลาการภายในสหรัฐฯ
  • CJEU เห็นว่าแม้ในกรณีการสอดส่องของรัฐบาล ก็จำเป็นต้องมี กลไกเยียวยาทางกฎหมายที่เป็นอิสระ
    • รัฐบาล Biden ได้จัดตั้ง Data Protection Review Court
    • แม้ชื่อจะเป็นเช่นนั้น แต่หน่วยงานนี้เป็นหน่วยงานฝ่ายบริหารภายในกระทรวงยุติธรรมสหรัฐฯ
    • ความเป็นอิสระของหน่วยงานนี้พึ่งพา Executive Order ของ Biden ซึ่ง Trump สามารถเปลี่ยนได้ทุกเมื่อ และไม่ได้ผูกพันประธานาธิบดี
  • คำตัดสิน Slaughter ถูกมองว่าเป็นกรณีที่พลิกกลับแนวคำพิพากษาเดิม 180 องศา โดยเห็นว่าความเป็นอิสระของ FTC ขัดรัฐธรรมนูญ
    • สิ่งนี้สอดคล้องกับ unitary executive theory ที่เห็นว่าประธานาธิบดีสหรัฐฯ ต้องควบคุมหน่วยงานฝ่ายบริหารของสหรัฐฯ ทั้งหมด
    • เป็นโครงสร้างที่มองว่ากฎหมายสหรัฐฯ ที่ทำให้หลายหน่วยงานเป็นอิสระนั้นขัดรัฐธรรมนูญ

ผลบังคับใช้ในทันทีและจุดที่บริษัทต้องกลับมาทบทวน

  • ผลกระทบไม่ได้ไร้ขีดจำกัด
    • คำตัดสินของ European Commission ยังคงมีผลในเชิงรูปแบบจนกว่า Commission จะถอนหรือ CJEU จะทำให้เป็นโมฆะ
    • ดังนั้นจึงไม่มีผลทางกฎหมายในทันที
    • GDPR กำกับเฉพาะการโอนข้อมูลส่วนบุคคลเท่านั้น ส่วนข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลสามารถไหลเวียนได้อย่างเสรี
    • Article 49 GDPR อนุญาตให้โอนข้อมูลไปยังประเทศที่สามเมื่อจำเป็น แต่ไม่อนุญาตให้ทำโครงสร้างการย้ายงานออกนอก EU อย่างเป็นระบบที่ไม่จำเป็นอย่างเคร่งครัด
  • SCCs และ BCRs ก็อาจได้รับผลกระทบเช่นกัน
    • บางบริษัทใช้ SCCs หรือ BCRs ในเชิงรูปแบบแทน EU-US Framework
    • ในกรณีนี้ โดยปกติก็ยังต้องมีการประเมินผลกระทบ และการประเมินดังกล่าวอาศัยความเป็นอิสระของหน่วยงานฝ่ายบริหารสหรัฐฯ เช่น PCLOB หรือ Data Protection Review Court
    • ผู้ควบคุมข้อมูลที่ไม่ได้อาศัย formal Commission Decision ต้องอัปเดตการประเมินทันที
  • noyb ได้ส่ง จดหมายอย่างเป็นทางการ ถึง European Commission เพื่อเรียกร้องให้ถอนข้อตกลงข้อมูล EU-สหรัฐฯ อย่างเป็นระเบียบ
    • หลายประเทศสมาชิก EU ได้เปลี่ยนไปใช้แนวทาง “digital sovereignty” แล้ว และประกาศแยกตัวจากผู้ให้บริการสหรัฐฯ
    • ผู้ให้บริการสหรัฐฯ บางรายก็กำลังผลักดันการประมวลผลข้อมูลใน EU แยกต่างหาก
    • noyb มีแผนจะยื่นฟ้องภายในไม่กี่สัปดาห์ข้างหน้า เพื่อให้ CJEU สามารถทำให้ข้อตกลงปัจจุบันเป็นโมฆะได้
    • คดีลักษณะนี้โดยปกติใช้เวลา 2–3 ปีจนกว่าจะมีคำตัดสินสุดท้าย

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความคิดเห็นจาก Lobste.rs
  • นี่เป็นเรื่องดี EU และส่วนที่เหลือของโลกที่จะเดินตามตัวอย่างนั้น ไม่ควรพึ่งพา รัฐอันธพาล ที่ยืนกรานว่าอำนาจของตัวเองอยู่เหนือสุดและไม่ปฏิบัติต่อประเทศหรือรัฐบาลอื่นอย่างเท่าเทียมอีกต่อไป

    • เห็นด้วย 100% แต่ BigTech ของสหรัฐฯ จะส่งกองทัพล็อบบี้ยิสต์มาเพื่อทำให้ไม่มีอะไรเปลี่ยนแปลง
    • การแตกแยกของอินเทอร์เน็ต ไม่เคยเป็นเรื่องดี และเป็นสัญญาณว่าความสัมพันธ์ทางการเมืองกำลังถูกกดดัน ไม่สำคัญว่าฝ่ายไหนเลวน้อยกว่า ปัญหาคือคู่กรณีไม่มีความตั้งใจจะร่วมมือกัน
  • ผมโกรธ คำตัดสินของศาลฎีกาสหรัฐฯ นี้ แต่สรุปนี้ก็ดูพูดเกินไปหน่อย เพราะหน่วยงานที่เรียกว่า “อิสระ” เหล่านี้ไม่เคยเป็นอิสระอย่างแท้จริงมาตั้งแต่แรก
    เป็นไปได้ว่าผู้เขียนอาจถูกหลอกด้วยถ้อยคำที่ใช้กันทั่วไป จนเข้าใจธรรมชาติของมันผิดมาตั้งแต่ต้น ผมนึกไม่ออกว่าหลัง Slaughter จะมีข้อโต้แย้งเชิงปฏิบัติอะไรเกี่ยวกับ FTC ของสหรัฐฯ ที่ก่อน Slaughter จะใช้ไม่ได้เหมือนกัน
    ถ้ามีความต่าง ก็คงเป็นแค่ภาพลักษณ์? และการเปลี่ยนแปลงด้านภาพลักษณ์เพียงเท่านี้เพียงพอให้ EU ลงมือหรือ? ถ้าใช่ก็ดี แต่ผมไม่คิดว่าคำตัดสินครั้งนี้ได้เปลี่ยนแปลงลักษณะของ “ความเป็นอิสระ” ของหน่วยงานกำกับดูแลสหรัฐฯ อย่างมีนัยสำคัญในทางปฏิบัติ เพราะความเป็นอิสระแบบนั้นไม่เคยมีอยู่ตั้งแต่แรก
    ความไม่พอใจของผมไม่ได้เกี่ยวกับผลกระทบต่อความเป็นอิสระจอมปลอมของหน่วยงานเหล่านี้ แต่เป็นประเด็นทางกฎหมายที่ละเอียดอ่อนกว่านั้น และค่อนข้างออกนอกประเด็นของบทความนี้รวมถึง Lobsters โดยรวม

    • noyb ไม่ได้อ้างว่า FTC และ Data Protection Review Court เป็นอิสระ ตรงกันข้าม พวกเขาเรียก EU-US Data Privacy Framework ว่าเป็น “สำเนาแทบทั้งหมด” ของข้อตกลงก่อนหน้าที่พวกเขาเคยทำให้เป็นโมฆะได้สำเร็จ
      ใจความของบทความนี้คือ EU Commission ใช้เรื่องแต่งว่าหน่วยงานเหล่านี้เป็นอิสระเพียงพอ เพื่อทำให้การส่งข้อมูลส่วนบุคคลไปยังสหรัฐฯ ดูชอบธรรม
    • จากต้นฉบับอาจไม่ค่อยชัด แต่ดูเหมือนว่าองค์กรที่ยกข้ออ้างนี้ เคยมีส่วนเกี่ยวข้องโดยตรงกับการทำให้ ระบอบแบบ Safe Harbor เป็นโมฆะมาแล้วสองครั้ง