Schrems II ห้าปีให้หลัง

Cuadernos Lacre · บทวิเคราะห์ · 18 พฤษภาคม 2026
https://solo2.net/th/notebooks/articulos/schrems-ii-five-years-on.html

คำพิพากษาที่เปลี่ยนกฎหมายว่าด้วยการโอนย้ายข้อมูลส่วนบุคคลระหว่างประเทศ ห้าปีต่อมา สำนักงานยุโรปจำนวนมากยังคงดำเนินงานประหนึ่งว่าไม่มีอะไรเกิดขึ้น

---

คำพิพากษาที่ใช้เวลาเพียงสามชั่วโมงในการเปลี่ยนกฎเกณฑ์

วันที่ 16 กรกฎาคม 2020 เวลาประมาณสิบนาฬิกาสิบห้านาทีตามเวลาลักเซมเบิร์ก ศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ได้ประกาศคำพิพากษาในคดี C-311/18 ภายในสามชั่วโมงถัดมา ระบอบกฎหมายที่รองรับการโอนย้ายข้อมูลส่วนบุคคลรายวันจากยุโรปไปยังสหรัฐฯ หรือที่เรียกว่า Privacy Shield ได้สิ้นสุดลง เมื่อเจ้าหน้าที่คุ้มครองข้อมูลของยุโรปทานอาหารกลางวันเสร็จในวันนั้น กรอบการทำงานที่บริษัทและหน่วยงานปกครองของพวกเขาใช้ดำเนินงานอยู่ก็ไม่สามารถใช้การได้อีกต่อไป

ปัจจุบันคำพิพากษานี้เป็นที่รู้จักในชื่อ Schrems II ตามชื่อ Maximilian Schrems นักรณรงค์ชาวออสเตรียซึ่งเป็นผู้ยื่นคำร้องต่อ Facebook Ireland จนนำไปสู่คดีนี้ โดยเฉพาะอย่างยิ่งคำร้องเกี่ยวข้องกับการโอนย้ายข้อมูลระหว่าง Facebook ไอร์แลนด์ และ Facebook สหรัฐฯ แต่ในภาพรวมคำพิพากษานี้ไปไกลกว่านั้นมาก โดยกำหนดวิธีและเงื่อนไขในการโอนย้ายข้อมูลส่วนบุคคลใดๆ ที่เก็บรวบรวมในดินแดนยุโรปไปยังสหรัฐฯ

เกือบหกปีต่อมา กรอบการทำงานทดแทนได้เกิดขึ้นคือ EU-US Data Privacy Framework ซึ่งประกาศใช้ในเดือนกรกฎาคม 2023 และกำลังอยู่ภายใต้แรงกดดันทางกฎหมายเช่นกัน การเตรียมการสำหรับ Schrems รอบใหม่กำลังเกิดขึ้น ในขณะเดียวกัน SME ในยุโรปยังคงใช้บริการคลาวด์ของสหรัฐฯ สำหรับงานประจำวัน โดยส่วนใหญ่ไม่ทราบว่าประเด็นทางกฎหมายที่บริการเหล่านั้นตั้งอยู่นั้นยังคงเปิดกว้างอยู่

ใจความสำคัญของ Schrems II คืออะไร

คำพิพากษาตั้งอยู่บนสามส่วน ส่วนแรกคือกฎบัตรสิทธิขั้นพื้นฐานของสหภาพยุโรป โดยเฉพาะมาตรา 7 (ชีวิตส่วนตัวและครอบครัว) มาตรา 8 (การคุ้มครองข้อมูลส่วนบุคคล) และมาตรา 47 (การคุ้มครองทางศาลที่มีผล) ส่วนที่สองคือระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูล —หรือ GDPR ที่ชาวยุโรปจำนวนมากจำได้เพียงจากประกาศคุกกี้— โดยเฉพาะอย่างยิ่งในบทที่ 5 มาตรา 44 ถึง 50 ว่าด้วยการโอนย้ายข้อมูลระหว่างประเทศ ส่วนที่สามคือกฎหมายข่าวกรองของสหรัฐฯ คือมาตรา 702 ของ Foreign Intelligence Surveillance Act หรือ FISA 702 ในภาษากฎหมาย และคำสั่งฝ่ายบริหารของประธานาธิบดี 12333

ศาลได้ดำเนินการโดยการเปรียบเทียบ กฎบัตรสิทธิขั้นพื้นฐานกำหนดว่าข้อมูลส่วนบุคคลของพลเมืองยุโรปเมื่อออกนอกสหภาพจะต้องได้รับระดับการคุ้มครองที่เทียบเท่าอย่างมีนัยสำคัญกับที่ได้รับการรับประกันโดย GDPR คำถามคือสหรัฐฯ ได้มอบคุณภาพระดับที่เทียบเท่าอย่างมีนัยสำคัญนั้นหรือไม่

คำตอบคือไม่ และไม่ใช่เพียงเรื่องของรายละเอียด FISA 702 อนุญาตให้รัฐบาลสหรัฐฯ รวบรวมการสื่อสารของผู้ที่ไม่ใช่ชาวอเมริกันที่อยู่นอกดินแดนได้โดยไม่ต้องได้รับอนุญาตจากศาลเป็นรายบุคคลก่อน ไม่มีการแจ้งเตือนผู้ได้รับผลกระทบ และไม่มีช่องทางการร้องเรียนที่มีผลเทียบเท่ากับของยุโรป คำสั่งฝ่ายบริหาร 12333 ขยายความสามารถนั้นในลักษณะเดียวกันนอกดินแดน ศาลสรุปว่าพลเมืองยุโรปภายใต้ระบบกฎหมายของสหรัฐฯ ไม่ได้รับการคุ้มครองที่เทียบเท่าอย่างมีนัยสำคัญตามที่กฎบัตรกำหนด ดังนั้นความเทียบเท่าจึงไม่มีอยู่จริง

ส่งผลโดยตรงคือการตัดสินใจ 2016/1250 ของคณะกรรมาธิการยุโรป ซึ่งเคยให้การรับรองว่า Privacy Shield เป็นกรอบการทำงานที่เหมาะสมสำหรับการโอนย้ายข้อมูล ถูกประกาศว่าเป็นโมฆะ การโอนย้ายข้อมูลทั้งหมดที่อ้างอิงตามกรอบการทำงานนั้นเพียงอย่างเดียวจึงขาดฐานทางกฎหมายตั้งแต่วินาทีนั้น

สิ่งที่ยังคงอยู่ (และภายใต้เงื่อนไขใด)

Schrems II ไม่ได้ยกเลิกเครื่องมือทั้งหมด ข้อสัญญามาตรฐาน —หรือ SCC ในชื่อย่อภาษาอังกฤษ Standard Contractual Clauses— ยังคงอยู่ มันคือสัญญาต้นแบบที่ได้รับอนุมัติจากคณะกรรมาธิการยุโรป โดยผู้ส่งออกในยุโรปและผู้นำเข้าในประเทศปลายทางจะลงนามร่วมกันเพื่อผูกพันตนในการจัดการข้อมูลตามมาตรฐานยุโรป บริษัทที่คิดว่าได้แก้ปัญหาแล้วในวันที่ 17 กรกฎาคม 2020 ได้ลงนาม SCC กับผู้ให้บริการของตนและรู้สึกพอใจกับสิ่งนั้น

ความลำบากใจเกิดขึ้นเมื่ออ่านคำพิพากษาอย่างละเอียด ศาลระบุชัดเจนว่า SCC ยังคงมีผลสมบูรณ์ แต่ความสมบูรณ์นั้นขึ้นอยู่กับเงื่อนไขสำคัญคือ ผู้นำเข้าข้อมูลจะต้องสามารถปฏิบัติตามสัญญาได้ในทางปฏิบัติ หากกฎหมายภายในของประเทศปลายทางขัดขวางไม่ให้พวกเขาปฏิบัติตามข้อสัญญาได้ —เช่น คำสั่งภายใต้ FISA 702 บังคับให้ส่งมอบข้อมูลโดยไม่แจ้งคู่สัญญาในยุโรป— ข้อสัญญานั้นก็ไม่สามารถคุ้มครองได้จริง และเมื่อนั้นศาลกล่าวว่าผู้ส่งออกในยุโรปจะต้องระงับการโอนย้ายข้อมูล

สิ่งนี้ได้นำวัตถุประสงค์ใหม่มาสู่แนวปฏิบัติในการคุ้มครองข้อมูลของยุโรป นั่นคือ Transfer Impact Assessment หรือการประเมินผลกระทบของการโอนย้ายข้อมูล ซึ่งรู้จักกันในชื่อย่อภาษาอังกฤษว่า TIA ทุกครั้งที่บริษัทในยุโรปต้องการโอนย้ายข้อมูลไปยังสหรัฐฯ ภายใต้ SCC จะต้องประเมินอย่างเป็นทางการว่าผู้รับข้อมูลสามารถปฏิบัติตามข้อสัญญาได้หรือไม่ภายใต้กฎหมายที่บังคับใช้กับพวกเขา คณะกรรมการคุ้มครองข้อมูลแห่งยุโรป (EDPB) ได้เผยแพร่แนวทางโดยละเอียดเกี่ยวกับวิธีดำเนินการ TIA การปฏิบัติอย่างซื่อตรงมักให้ผลลัพธ์เดียวกันคือ หากผู้นำเข้าข้อมูลเป็นบริษัทในเครือของยักษ์ใหญ่คลาวด์สัญชาติอเมริกัน คำตอบที่จริงใจสำหรับ TIA คือข้อสัญญาไม่สามารถปฏิบัติได้จริงตามที่เขียนไว้

Privacy Framework และคดี Schrems III ที่กำลังรอคอย

วันที่ 10 กรกฎาคม 2023 คณะกรรมาธิการยุโรปได้ยอมรับการตัดสินใจด้านความเหมาะสมฉบับใหม่คือ 2023/1795 ซึ่งเข้ามาแทนที่ Privacy Shield ที่สิ้นสุดไป และดำเนินงานภายใต้ชื่อ EU-US Data Privacy Framework ก่อนหน้านี้สหรัฐฯ ได้แก้ไขระบอบภายในผ่านคำสั่งฝ่ายบริหาร (Executive Order) 14086 ซึ่งจำกัดขอบเขตของการข่าวกรองสัญญาณให้เหลือเพียงสิ่งที่ «จำเป็นและได้สัดส่วน» —ซึ่งเป็นคำศัพท์ที่คุ้นเคยสำหรับผู้อ่านชาวยุโรป แต่อาจไม่คุ้นเคยนักสำหรับแนวปฏิบัติทางการบริหารของสหรัฐฯ— และสร้างหน่วยงานตรวจสอบที่เรียกว่า Data Protection Review Court (DPRC) คณะกรรมาธิการเห็นว่าการแก้ไขเหล่านี้เพียงพอที่จะฟื้นฟูระดับการคุ้มครองที่เทียบเท่าอย่างมีนัยสำคัญ

องค์กร noyb ซึ่งก่อตั้งโดย Schrems ได้ยื่นคำร้องเมื่อวันที่ 7 กันยายน 2023 ต่อต้านการตัดสินใจฉบับใหม่นี้ โดยมีข้อโต้แย้งที่คาดการณ์ได้คือ DPRC ไม่ใช่ศาลที่เป็นอิสระตามความหมายของมาตรา 47 ของกฎบัตร; แนวคิด «จำเป็นและได้สัดส่วน» ไม่ได้แปลตามมาตรฐานยุโรปโดยตรง; และท้ายที่สุด การคุ้มครองที่ขึ้นอยู่กับคำสั่งฝ่ายบริหารอาจถูกยกเลิกได้โดยคำสั่งฝ่ายบริหารฉบับถัดไป คำพิพากษาของ CJEU เกี่ยวกับการตัดสินใจฉบับใหม่นี้ —ซึ่งหลายคนเริ่มเรียกว่า Schrems III ด้วยความจำยอม— คาดว่าจะเกิดขึ้นในอีกไม่กี่ปีข้างหน้า ผลลัพธ์ไม่สามารถคาดการณ์ได้ แต่โครงสร้างของข้อโต้แย้งนั้นคล้ายคลึงกับในปี 2020 มาก

สิ่งที่ SME ในยุโรปไม่ได้ยิน

ในขณะที่ศาล CJEU กำลังพิจารณา สำนักงานกฎหมายขนาดกลางยังคงแลกเปลี่ยนข้อมูลกับลูกค้าผ่าน Microsoft 365 ที่โฮสต์ในภูมิภาคยุโรปแต่เป็นกรรมสิทธิ์ของบริษัทอเมริกันภายใต้ FISA 702 คลินิกการแพทย์เอกชนซิงค์ตารางเวลาผ่าน Google Workspace ที่ปรึกษาภาษีส่งเอกสารที่ลงนามผ่าน DocuSign นักจิตวิทยาออกใบแจ้งหนี้จากสเปรดชีตใน Notion สำนักงานกฎหมายแรงงานเก็บไฟล์ใน Dropbox และเกือบทั้งหมดติดต่อลูกค้าผ่าน WhatsApp ทั้งหมดนี้อาจดำเนินงานได้ภายใต้การตัดสินใจด้านความเหมาะสม 2023/1795 ตามคำกล่าวของผู้ให้บริการ วันที่การตัดสินใจนี้ถูกยกเลิกใน Schrems III ความสัมพันธ์เหล่านี้ทั้งหมดจะตกอยู่ในสถานะที่ไม่ได้รับการคุ้มครองในทันที

นี่ไม่ใช่คำถามเชิงโวหาร ระหว่างปี 2022 ถึง 2024 หน่วยงานหลายแห่งในยุโรปได้ตัดสินคดีกับผู้ควบคุมข้อมูลที่ใช้ Google Analytics โดยไม่มีเครื่องมือการโอนย้ายที่เหมาะสม ซึ่งเป็นการนำเหตุผลของ CJEU มาใช้อย่างเคร่งครัดแม้ก่อนที่ Privacy Framework จะมีผลบังคับใช้ หน่วยงานของฝรั่งเศสอย่าง CNIL เป็นแห่งแรกที่กำหนดเกณฑ์อย่างเป็นทางการในปี 2022 ตามมาด้วยหน่วยงานของออสเตรีย อิตาลี และที่อื่นๆ การไม่ปฏิบัติตามข้อกำหนดภายใต้การออกแบบการดำเนินงานปัจจุบันของ SME ในยุโรป สามารถตรวจสอบได้แบบเรียลไทม์สำหรับผู้ที่รู้วิธีสังเกต

TIA ในฐานะเครื่องมือ ไม่ใช่เพียงพิธีกรรม

TIA จำนวนมากที่หมุนเวียนอยู่ในสำนักงานของยุโรป หากอ่านอย่างละเอียดจะเป็นเพียงการดำเนินการตามรูปแบบ โดยระบุรายการเครื่องมือทางสัญญา รายการการรับรองของผู้ให้บริการ อ้างถึงการรับประกันทางเทคนิค และทำเครื่องหมายในช่องสี่เหลี่ยม น้อยรายนักที่จะถามอย่างจริงจังว่าคำสั่ง FISA 702 จะบังคับให้ผู้ให้บริการต้องส่งมอบข้อมูลหรือไม่ และน้อยลงไปอีกที่จะถามว่าจะเกิดอะไรขึ้นกับการโอนย้ายนั้นภายใต้การทบทวน Privacy Framework ในอนาคต มาตรา 5 ของ GDPR กำหนดให้ผู้ควบคุมข้อมูลต้องสามารถพิสูจน์การปฏิบัติตามข้อกำหนดได้ TIA ที่ไม่ได้ทำอย่างจริงจังจะไม่สามารถพิสูจน์อะไรได้เลย สิ่งที่มันแสดงให้เห็นคือความต้องการที่จะปฏิบัติตามเพียงในกระดาษในขณะที่ทำสิ่งที่ตรงกันข้ามในทางปฏิบัติ

TIA เวอร์ชันที่จริงใจเริ่มต้นด้วยคำถามง่ายๆ คือ จะเกิดอะไรขึ้นหากพรุ่งนี้ผู้ให้บริการรายนี้ได้รับคำสั่ง FISA 702 เกี่ยวกับข้อมูลเฉพาะเหล่านี้? หากคำตอบที่ตรงไปตรงมาคือ «พวกเขาจะต้องส่งมอบข้อมูลโดยไม่แจ้งให้เราทราบ» ข้อสัญญาทางสัญญาจะไม่สามารถแก้ปัญหาได้ สิ่งที่แก้ปัญหาได้จริงในกรณีที่คำถามนั้นสำคัญ คือการไม่นำข้อมูลไปไว้ในมือของผู้ให้บริการรายนั้น

การเปลี่ยนแปลงทางการเมืองในฐานะความเสี่ยงเชิงโครงสร้าง

มีอีกชั้นหนึ่งคือมิติทางการเมืองที่ควรกล่าวถึงโดยไม่ทำให้เป็นเรื่องดราม่า การตัดสินใจด้านความเหมาะสม 2023/1795 ขึ้นอยู่กับคำสั่งฝ่ายบริหาร 14086 ที่ลงนามโดยประธานาธิบดีไบเดนในเดือนตุลาคม 2022 คำสั่งฝ่ายบริหารลงนามโดยประธานาธิบดีและสามารถถูกยกเลิก แก้ไข หรือทำให้ไร้ผลได้โดยประธานาธิบดีคนถัดไป การคุ้มครองข้อมูลของยุโรปในสหรัฐฯ จึงขึ้นอยู่กับการตัดสินใจทางการบริหารที่ทั้งสภาคองเกรสอเมริกันไม่ได้รับรองและระบบกฎหมายอเมริกันก็ไม่ได้คุ้มครองด้วยความเข้มแข็งเหมือนกับที่คุ้มครองเรื่องภายในอื่นๆ ตั้งแต่เดือนมกราคม 2025 คณะบริหารชุดใหม่ได้ปกครองสหรัฐฯ และคำถามเกี่ยวกับความต่อเนื่องในทางปฏิบัติของ EO 14086 ได้เปลี่ยนจากสมมติฐานมาเป็นเรื่องร่วมสมัย สถานการณ์ใดก็ตามที่คณะบริหารตัดสินใจถอนหรือลดทอนคำสั่ง จะทำให้การตัดสินใจของยุโรปขาดชิ้นส่วนสำคัญที่ใช้สร้างขึ้นมา

นี่ไม่ใช่ข้อโต้แย้งแบบสมคบคิด แต่มันคือการอ่านการออกแบบทางกฎหมายอย่างรอบคอบ กรอบการคุ้มครองข้อมูลข้ามมหาสมุทรแอตแลนติกเคยล่มสลายมาแล้วสองครั้งคือ Safe Harbor ในปี 2015 (คำพิพากษา Schrems I) และ Privacy Shield ในปี 2020 (Schrems II) ครั้งที่สามนี้ตั้งอยู่บนชิ้นส่วนที่เปราะบางกว่าสองครั้งก่อนหน้า บริษัทในยุโรปที่ฝากการประมวลผลข้อมูลไว้กับชิ้นส่วนนี้ในวันนี้กำลังตัดสินใจบริหารความเสี่ยง ไม่ใช่เพียงการปฏิบัติตามกฎระเบียบธรรมดา

สำหรับผู้อ่านมืออาชีพ

คำถามเชิงปฏิบัติการที่ควรตั้งก่อนเลือกใช้บริการคลาวด์สำหรับข้อมูลทางวิชาชีพ —ด้วยความเข้มงวดแบบที่ผู้ตรวจสอบการคุ้มครองข้อมูลจะตั้งขึ้น— มีดังต่อไปนี้:

1. ข้อมูลถูกจัดเก็บไว้ที่ใดในทางกายภาพ? พื้นที่ในยุโรปอาจไม่ใช่คำตอบที่เพียงพอหากผู้ให้บริการเป็นบริษัทสัญชาติอเมริกัน
2. ใครเป็นผู้ดำเนินบริการ จดทะเบียนในเขตอำนาจศาลใด และอาจต้องปฏิบัติตามคำสั่งทางกฎหมายใดบ้าง
3. มีการอ้างถึงเครื่องมือการโอนย้ายใด: การตัดสินใจด้านความเหมาะสม (Adequacy Decision) 2023/1795, SCC พร้อม TIA หรือข้อยกเว้นตามมาตรา 49 ของ GDPR? ทางเลือกนี้สามารถชี้แจงต่อการตรวจสอบได้หรือไม่
4. หากการตัดสินใจด้านความเหมาะสมถูกยกเลิกในวันพรุ่งนี้ มีแผนปฏิบัติการใดรองรับเพื่อรักษาการดำเนินงาน
5. มีทางเลือกอื่นที่เป็นของยุโรปหรือการโฮสต์เองสำหรับฟังก์ชันนั้นหรือไม่ และต้นทุนที่แท้จริงในการย้ายข้อมูลคือเท่าใด

ไม่ใช่ทุกฟังก์ชันในสำนักงานประจำวันที่ต้องการคำตอบแบบเดียวกัน สเปรดชีตสำหรับการบัญชีภายในอาจไม่ทำให้เกิดคำถามในระดับนี้ แต่แฟ้มคดีอาญาของลูกค้า ประวัติทางการแพทย์ เงินเดือนพนักงาน ย่อมต้องการคำตอบ ความได้สัดส่วนเป็นเรื่องที่ยอมรับได้ แต่ความเฉื่อยชาของกลุ่ม SME ในยุโรปที่ยังคงใช้ผู้ให้บริการอเมริกันสำหรับทุกอย่าง —แม้แต่ข้อมูลที่อ่อนไหวที่สุด— นั้นไม่ใช่เรื่องที่ยอมรับได้

---

Schrems II จะครบหกปีในเดือนกรกฎาคมนี้ คำพิพากษาไม่ได้เปลี่ยนพฤติกรรมในชีวิตประจำวันของบริษัทส่วนใหญ่ในยุโรป แต่มันได้เปลี่ยนแผนที่ความเสี่ยงที่บริษัทเหล่านั้นต้องเผชิญ เมื่อการตัดสินใจทางการบริหารของสหรัฐฯ เข้ามาแทรกกลางระหว่างกฎระเบียบของยุโรปและการดำเนินงานจริงของ SME อย่างน้อยก็ควรทราบว่าการตัดสินใจนั้นมีอยู่จริงและเปราะบาง พวกเราที่เลือกสถาปัตยกรรมแบบไม่มีตัวกลาง —ซึ่งเป็นแนวทางหลักของ Cuadernos Lacre— ย่อมต้องการที่จะไม่ต้องเขียนบทวิเคราะห์ประเภทนี้ทุกครั้งที่ Schrems ยื่นอุทธรณ์ แต่เราจะยังคงทำต่อไป

แหล่งข้อมูลและการอ่านเพิ่มเติม

- ศาลยุติธรรมแห่งสหภาพยุโรป — คำพิพากษาเมื่อวันที่ 16 กรกฎาคม 2020 คดี C-311/18, Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems
- ระเบียบ (EU) 2016/679 บทที่ 5 มาตรา 44 ถึง 50 — การโอนย้ายข้อมูลส่วนบุคคลระหว่างประเทศ
- การตัดสินใจบังคับใช้ของคณะกรรมาธิการ (EU) 2023/1795 เมื่อวันที่ 10 กรกฎาคม 2023 ว่าด้วยระดับการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมภายใต้ EU-US Data Privacy Framework
- คณะกรรมการคุ้มครองข้อมูลแห่งยุโรป — คำแนะนำ 01/2020 เกี่ยวกับมาตรการเสริมเครื่องมือการโอนย้ายเพื่อให้แน่ใจว่าเป็นไปตามระดับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ประกาศใช้เมื่อวันที่ 18 มิถุนายน 2021
- noyb.eu — คำร้องที่ยื่นเมื่อวันที่ 7 กันยายน 2023 ต่อต้านการตัดสินใจ (EU) 2023/1795 ต่อหน่วยงานคุ้มครองข้อมูลของยุโรป
- Foreign Intelligence Surveillance Act มาตรา 702 (รหัส 50 U.S.C. § 1881a) และคำสั่งฝ่ายบริหาร 12333 ว่าด้วยกิจกรรมข่าวกรองของสหรัฐฯ นอกดินแดน

---

Cuadernos Lacre · สิ่งพิมพ์ของ Menzuri Gestión S.L. · เขียนโดย R.Eugenio · เรียบเรียงโดยทีมงาน Solo2
https://solo2.net/th/notebooks/