亞太區也有CBPR隱私規範　由「問責機構」驗證昭公信

同時，近年世界潮流為重視個人資料與隱私權之保護，許多國家訂立或修改更為嚴格的個人資料保護相關法規，今年5月25日正式實施之「歐盟一般資料保護規則」（General Data Protection Regulation，GDPR），除了讓歐洲各國如臨大敵外，更使歐洲之外的國家亦處於備戰狀態；我國相關部會亦紛紛召開會議與進行GDPR相關研究以及因應之道，個人資料之跨境保護議題可說是今年全球最受關注的項目之一。

然而，由於各國個人資料或隱私保護規定不一，即使是立意良善的個資保護，對涉及跨境交易業者而言，個資法遵卻可能成為一種潛在的貿易障礙。作為促進經濟貿易區域發展的亞洲太平洋經濟合作組織（Asia-Pacific Economic Cooperation，APEC），為協助其會員體發展有效的個人資料隱私保護措施，促進跨境資料的自由流通，自2004年起陸續通過「APEC隱私保護綱領」（APEC Privacy Framework 2005）與「資料隱私保護開路者倡議實驗計畫」（Data Privacy Pathfinder Projects 2007），2011年更進一步通過「跨境隱私保護規則體系」（Cross Border Privacy Rules System，CBPR體系），希望在保護隱私的同時，活絡亞太區域之經濟活動發展。

跨境隱私保護規則體系（CBPR體系）簡介

CBPR體系係由APEC會員經濟體所共同參與，經過尋求企業和社會各界意見後制訂，期望建立消費者、企業和監督管理者對個人資料跨境流動之信任。加入APEC CBPR體系的程序分為三階段：首先，會員經濟體（Member Economies）須提出至少一個隱私或個人資料保護執法機關（Privacy Enforcement Authority，PEA）並取得APEC之認可；之後，APEC將審查該經濟體之個資保護體制是否符合CBPR計畫要求；第三，若通過APEC認可，會員經濟體可指定問責機構（Accountability Agent，或譯為「當責機構」），負責確認企業是否符合CBPR相關規定。

個人資料保護為現代貿易之關鍵要素，CBPR體系即是為了平衡促進個資的跨境傳輸與保護兩者之間所產生的機制。CBPR體系特點在於其為一自願參與體系，希望企業能透過自我管理模式採取相關個資保護措施，並向問責機構申請驗證。這種做法對企業法遵成本較小，以鼓勵的方式希望企業參與CBPR體系，在發展經濟貿易的同時，重視個人資料保護。

因此，在CBPR體系下，問責機構所扮演的角色非常關鍵。問責機構負責驗證企業是否符合加入CBPR體系之相關要求，故問責機構必須是值得信賴的機構，企業取得其所發之隱私驗證標章方有實益。

問責機構（Accountability Agent）概述

問責機構在APEC CBPR體系中扮演關鍵角色，其任務係對於參與企業之隱私政策與實踐進行驗證，以確保其符合CBPR體系之相關要求。

問責機構與企業組織、消費者以及政府共同合作，確保跨境個人資料的傳輸符合APEC隱私保護綱領所要求之標準，並解決可能產生的爭議。作為APEC CBPR體系所認可之問責機構，除可利用APEC官方公布的CBPR問卷（CBPR Intake Questionnaire）及CBPR計畫要求條件（Program Requirements）評估企業或其他組織是否符合規定外，亦得使用自有之隱私驗證計畫。

問責機構必須先取得APEC認可，方得加入CBPR體系，而通過認可後，才可宣傳受APEC CBPR體系認可之事。此外，問責機構的驗證範圍僅及於有參與「跨境隱私合作協議（Cross-Border Privacy Enforcement Arrangement，CPEA）之隱私執法機關（PEA）監管範圍內的組織。

▲問責機構與企業組織、消費者以及政府共同合作，確保跨境個人資料的傳輸符合APEC隱私保護綱領所要求之標準。

問責機構之申請資格

有意申請成為APEC經濟體下的問責機構之機構（下稱申請機構）須符合下列資格並遵守相關事項：

1. 受監督管理：申請機構須為已加入APEC CBPR體系之相關隱私執法機關（PEA）所監管的機構，而且在申請時必須說明，其是如何受到上述相關隱私執法機關之監管。

2.符合認可標準：申請機構須符合《附件A》（Annex A）「問責機構之認可標準」（Accountability Agent Recognition Criteria）。這部分申請組織必須使用《附件B》「清單」（Checklist）來說明其係如何符合《附件A》的各項要求。

3. 應使用特定之問卷與計畫要求：申請組織須同意使用APEC經濟體所發展的範例文件，即CBPR問卷（Intake Questionnaire）與CBPR計畫要求（Program Requirements），做為日後驗證時評估申請組織是否符合CBPR之標準。

4. 計畫要求圖（Program Requirements Map）之參照：申請機構若不打算用前述(3)之範例文件，亦可使用機構自己的標準與審查程序，但這部分須透過CBPR計畫要求圖之比對以證明機構自己的標準與審查程序符合基本要求。

5. 記載聯絡資訊：申請機構須完成《附件F》（Annex F）「簽名與聯絡資訊表」（Signature and Contact Information Sheet）。

企業經問責機構驗證之實益

在CBPR體系下，企業組織應制訂並實施隱私保護政策與相關準則，致力於保護消費者的個人資料安全。問責機構的任務即在於審查與驗證企業組織是否合規，以及若發生企業與消費者間之個資爭議時，提供消費者與企業之間一個解決機制。

例如，美國的問責機構TrustArc即有提供爭端解決表給消費者，若為TrustArc驗證的組織即可受理。處理程序為，消費者須先直接與企業組織聯絡處理該爭議，惟該組織若無法迅速處理問題或是消費者對企業組織處理方式之處不滿意，消費者可填寫爭端解決表單，TrustArc將檢視該申訴，若可受理將提出解決方案。這解決方案可能是中止（Suspension）該企業組織使用TrustArc之隱私驗證標章，而若組織再不改善，嚴重者可能呈報主管機關，進而裁罰。目前有TrustArc APEC CBPR標準驗證的公司將近20間，包括Apple Inc.、IBM、HP Inc.等等。

由於美國在相關立法與政策上採取企業自律方式，聯邦層級並無隱私或個人保護專法，因此企業組織如何取得消費者的信賴，確保個人資料之安全且不被濫用，更需依靠有公信力的驗證標章。

舉例而言，IBM是第一間取得隱私驗證標章的公司，在2013年取得Truste隱私標章（Privacy Seal）時，IBM即表示，取得標章顯示IBM保護個人資料的決心，CBPR規則係國際接受度較高的一套體系，確保資料能在不同地區傳輸的同時受到強烈又可信賴的保護。

CBPR體系的出發點為，提供企業組織一個實際又有彈性的方式，展現其對個人資料的可信賴性以及有責性。也就是說，在缺乏明確法律規定保障下，若企業能擁有具公信力之機構所發隱私驗證標章，可大大提升消費者信心。

結語

近年我國積極爭取加入APEC CBPR體系，而2018年5月中我國已通過CBPR體系第一階段審查的程序，我國政府認為，如果能夠加入CBPR，將有助於本國企業建構個資保護制度，使其符合國際隱私與個資保護規定的法律遵循面，並降低對產業的衝擊，之後可進一步準備業者符合歐盟GDPR標準。

但在這邊須提醒的是，即使我國順利加入CBPR體系，仍不一定能符合GDPR標準，因為CBPR體系目的在於促進資料傳輸與流通，故隱私保護部分對企業組織乃是低程度的要求，與GDPR原則上限制組織傳輸個人資料至歐盟外國家的規定差異甚大，GDPR在法遵要求上更為嚴格。

不過，由於APEC與歐盟目前有多方談判事項，例如如何使得兩個體系關於符合有拘束力之企業守則（Binding Corporate Rules，簡稱BCR，或稱共同拘束規則）以及可攜性（Portability）的部分接軌，加入CBPRs對於我國在國際隱私法遵上，應仍是有利的做法。

＜資訊工業策進會科技法律研究所（資策會科法所）為國內首屈一指之科技及產業政策法制智庫，研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題，詳細資訊可參閱官網https://stli.iii.org.tw/。 本文作者為楊長蓉博士，現於資策會科法所擔任法律研究員，專注於國際隱私法遵、國際營運風險預警、資安法制以及個人資料保護與管理相關法制議題，並協助推動臺灣個人資料保護與管理制度（TPIPAS）。＞