目前世界各國對於跨境隱私保護或個資傳輸之規範日趨嚴格,近期包含歐盟、日本、韓國等,都已加入國際傳輸相關規範,以強化隱私保障。而在2016上半年之APEC DPS會議中,美國代表已提案在2020年前所有APEC經濟體都能參與CBPRs,並將提交貿易暨投資委員會(CTI)討論。通過後,包含電子商務、雲端應用、主機代管或其他業者也將受到CBPRs規範。
我國與美國於今(2016)年10月13日,在美國華府舉行第2屆臺美數位經濟論壇。會中針對數位經濟等議題,雙方除廣泛交流、討論外,後續如何持續完備我國數位經濟發展環境,亦已成為政府相關部門對於國內未來經貿發展政策待研議、調整之關鍵。
近年來,在網路無國界的背景下,數位經濟已逐漸成為全球經貿活動發展趨勢,目前APEC在美國的主導之下,將積極推動APEC「跨境隱私保護規則體系(CBPRs)」制度,因台灣已是亞太經合會(APEC)成員之一,國內廠商如欲掌握政策走向外,透過網際網路,規劃進行電子商務或其他跨境營運活動,APEC跨境隱私保護規則體系(CBPRs)便有意從事跨境業務之廠商所不能忽視的國際發展趨勢。
CBPRs發展源起
為平衡企業營運及隱私保護,自1998年起,APEC開始推動電子商務行動藍圖計畫(APEC Blueprint for Action on Electronic Commerce)隱私保護9項原則;至2005年時,通過APEC隱私保護綱領(APEC Privacy Framework),強調消費者隱私之保護。
而在2011年更通過跨境隱私保護規則體系(Cross Border Privacy Rules System,CBPRs),由轄下之資料隱私小組(Data Privacy Subgroup,DPS)所認可之問責機構(Accountability Agent,AA),負責確認APEC區域內從事跨境資料傳輸行為的企業之內部管理機制,是否符合前述APEC跨境隱私規則體系相關規範。
承上,在APEC區域內營運之企業,如欲符合跨境隱私之傳輸等,應完成下列三步驟,始能參與及符合APEC CBPRs之要求,其包含:
1. 自我評估,填寫APEC自我評量問卷。
2. 接受審查,連同問卷及相關文件送AA審查。
3. 獲得AA認可,於網站上公告及提供聯絡方式。
目前APEC已認可之AA有二,包含美國TRUSTe,係於2013年6月25日經認可,及日本之JIPDEC,係於2016年1月19日經認可。
APEC CBPRs跟IT部門的關係
配合數位經濟及網路交易等需求,在A國蒐集個資後跨境傳輸至B國處理或利用,如跨境電子商務、或透過雲端進行異地備份、儲存資料等情形,已屬常態。依我國個人資料保護法(以下簡稱個資法)規定,國際傳輸指將個人資料作跨國(境)之處理或利用;而目前世界各國對於跨境隱私保護或個資傳輸之規範亦日趨嚴格,近期修法之國家或地區如歐盟、日本、韓國等,都已加入國際傳輸相關規範,以強化隱私保障。
甚至,在2016上半年之APEC DPS會議中,美國代表已提案在2020年前所有APEC經濟體都能參與CBPRs,並將提交貿易暨投資委員會(the Committee on Trade and Investment,CTI)討論。通過後,APEC區域內欲進行國際傳輸之廠商,如電子商務、雲端應用、主機代管或其他業者也將將納入CBPRs規範中。
除了前述APEC針對國際傳輸之規範,依我國個資法規定,國內廠商原則上是可以進行國際傳輸。惟例外在涉及國家重大利益;國際條約或協定有特別規定;接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞;或以迂迴方法向第三國(地區)傳輸個人資料規避本法時,中央目的事業主管機關得限制之。目前如通傳會有限制通訊傳播事業經營者將所屬用戶之個人資料傳遞至大陸地區,或金管會「金融機構作業委託他人處理內部作業制度及程序辦法」內亦有相關規定可供我國企業或組織參考。
因此,除了電子商務業者之外,國內廠商如從事雲端備份、或主機代管等業務,均有將個資進行國際傳輸之可能,雖我國個資法原則開放、例外限制,但面對APEC、甚至是歐盟、其他國家或地區規範不一之情形下,前述企業或內部IT單位人員,都應瞭解或掌握個資國際傳輸之要求。故建議IT或相關部門欲進行國際傳輸時,應先確認是否合法,如我國個資法或APEC CBPRs規範。另外,相關業務是否可以區分境內或國際傳輸,俾利搭配企業內部之管理機制,以確保順利傳輸,不致違法。
企業因應與管理之道
一般而言,企業國際傳輸有下列幾種常見情形,包含屬跨國公司或外商臺灣分公司、有對外貿易或相關業務以及資料有跨國儲存之需求。
如前所述,業務上有國際傳輸需求時,除瞭解國內外規範外,在一開始蒐集當事人個資時,如直接蒐集之情形,為符我國個資法規定,IT或相關部門在作業流程、業務之執行或設計上,務必要告知個資當事人,包含:蒐集機關名稱;蒐集目的;個資類別;利用地區、期間對象與方式;當事人權利行使之方式;得自由提供時,不提供對當事人權益之影響(如屬間接蒐集時,須告知間接蒐集時之資料來源)等事項。
此外,企業尚應確認有例外無須告知當事人之情形,及依據內部對於個資蒐集情況(實體、網路)採取適當之告知方式。
基此,有關我國企業就個資國際傳輸之處理機制要項,依序可能有:
1. 確認是否屬國際傳輸。
2. 中央目的事業主管機關有無相關規範。
3. 進行內部審核,並留存相關紀錄等。
且依個資法規定,原則上對當事人要告知(特別是在「利用地區、期間對象與方式」乙項,即應說明國際傳輸之規劃等內容),除非有無須告知之情形;並區分資料蒐集情況(如實體、網路)採取適當告知方式,如透過網頁上告知外,亦可以配合載具科技或用戶使用習慣,提供E-mail或QR Code等方式供消費者查閱。
綜上,為符合我國個資法及國際相關規範,企業或組織可透過建置個資管理制度,以達法令遵循之目標。然如何建立機制妥處個資管理事宜,非僅由IT部門或專業人員一己之力,可思考完善內部管理制度,並由管理代表提供必要資源,且配合各部門相關人員之協助。且為深化個資管理制度,我國廠商以可規劃取得如具公信力之資料隱私保護標章(dp.mark)等證明,以利對外彰顯內部重視個資保護與管理之決心及能力。
<資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。>
<本文作者為陳宏志,現於資策會科法所擔任專案經理,專注於個人資料保護與管理、反托拉斯法,及協處我國廠商至國外營運可能遭遇之法制風險等議題。>