การถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติก ‘ข้อตกลงในหลักการ’ เผชิญกับการตรวจสอบทางกฎหมายที่เข้มงวด

ข้อตกลงทางการเมืองถึงปลาย เดือน ที่แล้วระหว่างสหภาพยุโรปและรัฐบาลสหรัฐในข้อตกลงการถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติกใหม่ซึ่งมีจุดมุ่งหมายเพื่อยุติความไม่แน่นอนทางกฎหมายหลายปีสำหรับธุรกิจที่ส่งออกข้อมูลจากกลุ่มยังไม่เสร็จสิ้น ข้อตกลงในหลักการต้องเผชิญกับ การพิจารณาอย่างถี่ถ้วนในอีกไม่กี่เดือนข้างหน้าเมื่อมีการเผยแพร่ข้อความฉบับเต็ม – และมีแนวโน้มว่าจะเผชิญกับความท้าทายทางกฎหมายที่สดใหม่ (และรวดเร็ว) หากได้รับการนำมาใช้เพื่อให้ทุกอย่างขึ้นอยู่กับรายละเอียด

เมื่อวานนี้ European Data Protection Board (EDPB) ซึ่งให้คำแนะนำเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลของสหภาพยุโรป ได้ออก แถลงการณ์ ที่ส่งสัญญาณว่าเมื่อใดที่คณะกรรมการจะให้ความสนใจเมื่อตรวจสอบรายละเอียดนี้ โดยระบุว่าจะ “ให้ความสนใจเป็นพิเศษกับการเมืองในลักษณะนี้ ข้อตกลงได้รับการแปลเป็นข้อเสนอทางกฎหมายที่เป็นรูปธรรม”

“EDPB ตั้งตารอที่จะประเมินอย่างรอบคอบถึงการปรับปรุงที่กรอบการทำงานใหม่อาจนำมาซึ่งกฎหมายของสหภาพยุโรป กฎหมายกรณี CJEU และคำแนะนำก่อนหน้าของคณะกรรมการ เมื่อ EDPB ได้รับเอกสารสนับสนุนทั้งหมดจากคณะกรรมาธิการยุโรป” คณะกรรมการเขียน

“โดยเฉพาะอย่างยิ่ง EDPB จะวิเคราะห์ว่าการรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านความมั่นคงของชาตินั้นจำกัดเฉพาะสิ่งที่จำเป็นและตามสัดส่วนอย่างเคร่งครัดหรือไม่ นอกจากนี้ EDPB จะตรวจสอบว่ากลไกการชดใช้ที่เป็นอิสระที่ประกาศออกมานั้นเคารพสิทธิ์ของแต่ละบุคคลใน EEA ในการเยียวยาที่มีประสิทธิภาพและต่อการพิจารณาคดีอย่างยุติธรรมอย่างไร โดยเฉพาะอย่างยิ่ง EDPB จะพิจารณาว่าส่วนอำนาจใหม่ของกลไกนี้มีการเข้าถึงข้อมูลที่เกี่ยวข้องหรือไม่ รวมถึงข้อมูลส่วนบุคคล เมื่อใช้ภารกิจของตน และการตัดสินใจที่มีผลผูกพันกับบริการข่าวกรองหรือไม่ EDPB จะพิจารณาด้วยว่าจะมีการเยียวยาทางกฎหมายต่อการตัดสินใจหรือการเพิกเฉยของผู้มีอำนาจนี้หรือไม่”

EDPB ยังเตือนด้วยว่าข้อตกลงทางการเมืองยังไม่เป็นข้อตกลงทางกฎหมาย โดยเน้นว่าผู้ส่งออกข้อมูลจะต้องปฏิบัติตามกฎหมายกรณีของศาลชั้นต้นของกลุ่มต่อไปในขณะเดียวกัน และโดยเฉพาะอย่างยิ่งกับการพิจารณาคดีในเดือนกรกฎาคม 2020 โดย CJEU หรือที่รู้จักในชื่อ Schrems II ซึ่งยกเลิกข้อตกลงการถ่ายโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกาครั้งล่าสุด (หรือที่รู้จักว่า EU-US Privacy Shield)

เมื่อกล่าวถึงข้อตกลงทางการเมืองเมื่อเดือนที่แล้วเพื่อแทนที่ Privacy Shield ที่หมดอายุ ฝ่ายบริหารของ Biden กล่าวว่า สหรัฐฯ มุ่งมั่นที่จะวาง “การป้องกันใหม่” ซึ่งพวกเขากล่าวว่าจะทำให้แน่ใจว่ากิจกรรมการรวบรวมข้อมูลของหน่วยงานเฝ้าระวังของรัฐจะ “จำเป็นและ ตามสัดส่วน” และเชื่อมโยงกับ “วัตถุประสงค์ด้านความมั่นคงแห่งชาติที่กำหนดไว้”

การปะทะกันระหว่างความเป็นอันดับหนึ่งของกฎหมายการสอดแนมของสหรัฐฯ และสิทธิความเป็นส่วนตัวของสหภาพยุโรปที่แข็งแกร่งยังคงเป็นความแตกแยกขั้นพื้นฐาน ดังนั้นจึงเป็นเรื่องยากที่จะเห็นว่าข้อตกลงใหม่ใด ๆ ที่จะสามารถยืนหยัดต่อสู้กับความท้าทายทางกฎหมายที่สดใหม่ เว้นแต่จะมุ่งมั่นที่จะจำกัดโครงการเฝ้าระวังจำนวนมากของสหรัฐฯ

ข้อตกลงทดแทนจะต้องสร้างช่องทางที่เหมาะสมสำหรับบุคคลในสหภาพยุโรปเพื่อแสวงหาและขอรับการชดใช้หากพวกเขาเชื่อว่าหน่วยงานข่าวกรองของสหรัฐฯได้กำหนดเป้าหมายอย่างผิดกฎหมาย และนั่นก็ดูยากเช่นกัน

เมื่อเดือนที่แล้ว ก่อนการประกาศข้อตกลงทางการเมือง The Hill ได้รายงานคำตัดสินของศาลฎีกาสหรัฐในคดีที่เกี่ยวข้องกับการสอดแนมของ FBI ที่แนะนำให้ทำข้อตกลงยากขึ้น เนื่องจากศาลได้เสริมสิทธิพิเศษด้านความลับของรัฐในคดีสอดแนมด้วย พบว่าสภาคองเกรสไม่ได้ขจัดสิทธิพิเศษนี้เมื่อตรากฎหมายว่าด้วยการปฏิรูปการสอดส่องดูแลข่าวกรองต่างประเทศ (FISA)

“แม้ว่าความเห็นจะปล่อยให้เปิดโอกาสที่ผู้คนเช่นโจทก์ Fazaga ยังคงสามารถเรียกร้องตามข้อมูลสาธารณะเกี่ยวกับการเฝ้าระวังของรัฐบาล คนส่วนใหญ่ต้องการข้อมูลที่ละเอียดอ่อนจากรัฐบาลเพื่อช่วยพิสูจน์ว่าการสอดแนมนั้นผิดกฎหมาย การตัดสินใจดังกล่าวอาจทำให้รัฐบาลสามารถปกป้องข้อมูลดังกล่าวจากผู้พิพากษาได้ง่ายขึ้น และทำให้ยากขึ้นสำหรับคนส่วนใหญ่ที่ท้าทายการสอดส่องดูแลเพื่อพิสูจน์ข้อเรียกร้องของตนและได้รับความยุติธรรมในศาล” สิ่งพิมพ์รายงาน

ความจำเป็นในการปฏิรูป FISA ที่ลึกซึ้งยิ่งขึ้นได้รับการเรียกร้องที่สำคัญจากนักวิจารณ์เกี่ยวกับข้อตกลงการถ่ายโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกาก่อนหน้านี้ (ก่อนที่ Privacy Shield จะมี Safe Harbor – ซึ่งถูกโจมตีโดย CJEU ในปี 2558)

เมื่อเดือนที่แล้วทำเนียบขาวกล่าวว่าข้อตกลงที่ตกลงกันในหลักการจะช่วยให้บุคคลในสหภาพยุโรปสามารถ “แสวงหาการชดใช้จากกลไกการชดใช้หลายชั้นใหม่ซึ่งรวมถึงศาลตรวจสอบการคุ้มครองข้อมูลที่เป็นอิสระซึ่งจะประกอบด้วยบุคคลที่ได้รับเลือกจากภายนอกรัฐบาลสหรัฐฯ ซึ่งจะเต็ม อำนาจในการพิจารณาข้อเรียกร้องและมาตรการแก้ไขโดยตรงตามความจำเป็น”

อย่างไรก็ตาม สถานะทางกฎหมายของ “ศาลพิจารณาคดี” นี้จะเป็นกุญแจสำคัญ — ตามที่คำแถลงของ EDPB เน้นย้ำ

ยิ่งไปกว่านั้น หากศาลฎีกาสหรัฐมีมุมมองที่แตกต่างออกไปซึ่งโดยพื้นฐานแล้วจะแทนที่ข้อตกลงใด ๆ ฝ่ายบริหารของไบเดนก็ให้คำมั่นสัญญาว่าจะทำให้บุคคลในสหภาพยุโรปไม่สามารถได้รับข้อมูลที่จำเป็นเพื่อให้สามารถฟ้องร้องรัฐบาลสหรัฐที่จะบ่อนทำลายความสามารถ ของคนในสหภาพยุโรปให้ได้รับการชดใช้ จริง ๆ … และ CJEU ได้แสดงให้เห็นชัดเจนว่าบุคคลในสหภาพยุโรปที่ถูกสอดส่องอย่างผิดกฎหมายในประเทศที่สามจะต้องมีวิธีการที่แท้จริงและมีความหมายในการติดตามความรับผิดชอบ

คำแถลงของ EDPB ชี้แจงข้อกังวลเหล่านี้อย่างชัดเจน โดยคณะกรรมการระบุว่า “อำนาจหน้าที่ใหม่” ใด ๆ ที่ตั้งขึ้นภายใต้การเรียกร้องการชดใช้จะต้อง “เข้าถึงข้อมูลที่เกี่ยวข้อง รวมถึงข้อมูลส่วนบุคคล” เพื่อให้สามารถดำเนินชีวิตตามภารกิจนั้นได้ และจะต้องสามารถใช้การตัดสินใจที่มีผลผูกพันกับบริการข่าวกรอง

เป็นเรื่องที่ควรค่าแก่การจดจำว่าระบอบ ‘ผู้ตรวจการแผ่นดินของ Privacy Shield ซึ่งได้รับการทดสอบใน Privacy Shield ไม่ได้ผ่านการรวบรวมกับ CJEU – ทั้งบนพื้นฐานความเป็นอิสระ และ เนื่องจากการที่ผู้ตรวจการแผ่นดินไม่สามารถยอมรับการตัดสินใจที่มีผลผูกพันกับบริการข่าวกรอง

“ศาลตรวจสอบการคุ้มครองข้อมูล” จะแตกต่างกันอย่างไรในเรื่องดังกล่าว ยังคงต้องรอดูกันต่อไป

Max Schrems นักรณรงค์ความเป็นส่วนตัวของสหภาพยุโรปที่ประสบความสำเร็จในการล้มข้อตกลงการถ่ายโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกาสองครั้งล่าสุด ยังคงสงสัยว่า ‘การแก้ไข’ ล่าสุดนำเสนออะไรที่แตกต่างไปจากเดิมอย่างสิ้นเชิง — เมื่อเร็ว ๆ นี้ทวีตคำอุปมาที่มองเห็นได้ชัดเจนเพื่อแสดงให้เห็นถึงการประเมินในช่วงต้นของเขา …

ยิ่งคุณอ่านมากเท่าไหร่ คุณยิ่งมีความรู้สึกมากขึ้น เท่านั้น @VonDerLeyen รู้สึกถึงแนวทาง “อเมริกัน” ที่ไม่เหมือนใครในการแก้ไข #PrivacyShield : #DuctTape 🩹🩹🩹

มาดูกันว่ามีใครซื้อ “ความมั่นคง” เพิ่มเติมนี้มั้ย..😉 #UrsulasPrivacyDuctTape #SchremsII #GDPR #DSGVO pic.twitter.com/QN0gJCG7Fl

— แม็กซ์ เชมส์🇪🇺 (@maxschrems) วันที่ 30 มีนาคม พ.ศ. 2565

ความล้มเหลวในการปฏิรูปการสอดส่องดูแลในสหรัฐฯ อย่างแท้จริง อาจเป็นไปได้ว่าการยกกำลังสองของวงจรการถ่ายโอนข้อมูลนั้นยากพอๆ กับที่มันได้พิสูจน์มาแล้วสองครั้งในรอบบล็อก แต่แม้ว่าความจำเป็นทางการเมืองภายในสหภาพยุโรปในการทำข้อตกลงจะแทนที่ช่องว่างทางกฎหมายที่เห็นได้ชัด – เช่นเดียวกับเมื่อคณะกรรมาธิการล่าสุดเพิกเฉยต่อข้อกังวลและนำ Privacy Shield มาใช้ – นั่นก็หมายความว่าทั้งสองฝ่ายกำลัง ซื้อเวลาจนกว่าจะมีการประท้วง CJEU ครั้งต่อไป

ไม่น่าจะมีเวลามากนักเช่นกัน

ในขณะที่ Safe Harbor ยืนหยัดอยู่ได้ 15 ปี Privacy Shield มีอายุเพียง 4 ปีเท่านั้น และ Schrems ได้เสนอแนะว่า CJEU จะทำการท้าทายใหม่เพื่อทดแทนข้อบกพร่องอื่น ๆ อย่างรวดเร็ว “ภายในไม่กี่เดือน” ของการตัดสินใจขั้นสุดท้ายที่จะปรับใช้ CJEU ดังนั้นฝ่ายนิติบัญญัติของสหภาพยุโรปจึงได้รับการเตือน

ใส่ความเห็น