歐盟一般資料保護規則 GDPR APEC跨境隱私規則 CBPRs

從原則、強制力、治理模式細項探討 建構連結仍有待協調

個資保護兩大治理框架 釐清GDPR與CBPR異同

2019-07-25
歐盟一般資料保護規則(General Data Protection Regulation,GDPR)已經在2018年5月25日正式生效。GDPR影響了全球,當然也影響了亞太(APEC)地區,無論是傳統工業,或是新型態的電子商務公司,都會因為與個人資料相關的產品或是服務跨出國界,而增加適用GDPR的可能性。相較於APEC跨境隱私規則(CBPR),有原則重疊,也有不同的強制力。藉由GDPR與CBPR的簡要介紹與比較,更能釐清兩者的交集與差異。

 

歐盟一般資料保護規則(General Data Protection Regulation,GDPR)已經在2018年5月25日正式生效。GDPR影響了全球,當然也影響了亞太(APEC)地區。GDPR規定了蒐集、處理和移轉個人資料的義務,不僅適用於在歐洲經濟區(European Economic Area,EEA)設立的企業,也適用於未在歐盟經濟區設立據點,但提供商品或服務給歐盟經濟區居民或監控其活動的企業,事實上,目前已有針對境外企業處罰的案例。

此外,GDPR適用於資料控制者與處理者,並對資料主體增加包括被遺忘權或資料可攜權等新的權利,而對企業而言,也增加新義務(例如指定資料保護官、資料外洩通知)。因此,無論是傳統工業,或是新型態的電子商務公司,都會因為與個人資料相關的產品或是服務跨出國界,而增加適用GDPR的可能性。

本文將簡單探討與個人資料保護相關的兩個治理框架:GDPR與APEC跨境隱私規則(Cross Border Privacy Rules,CBPR)。第一部分,簡要介紹GDPR;第二部分,將簡要分析CBPR。第三部分,將對這兩個框架進行比較;最後部分將做出小結。

一般資料保護規則(GDPR)

GDPR適用於資料控制者(確定處理資料的目的和方法的人)和資料處理者(代表控制器處理個人資料的組織)。多數人認為,GDPR要求的義務過於嚴格,然而,從積極的角度來看,GDPR的目的是導致整體歐洲經濟區的資料保護相關法規的一致化,長期來說應該可以降低企業的法遵成本。

適用個人資料處理

GDPR適用於處理(蒐集、使用和揭露)被識別或可識別的人之個人資料。同時GDPR也將特種個人資料的定義予以擴張,處理時必須遵守更嚴格的規定。這些類別包括遺傳資料、生物特徵資料、健康資料、關於自然人性生活或性取向的資料,以及揭示種族或族裔出身、政治觀點、宗教或哲學信仰的資料,和工會會員數據。

除資料主體已經給出了同意或法律規定外,這些特殊類別的資料原則上禁止處理。相較之下,APEC對於特種個人資料的處理不統一,僅有部份APEC成員在其個人資料保護法中包含了特種個人資料的定義,而其他成員對此則付之闕如。

域外效力與新的權利義務

GDPR最重要的變化是領域外效力以及新的權利義務。在域外效力方面,GDPR適用於資料控制者「設立」據點在歐洲經濟區中。而何謂「設立」則由以下因素決定:

(1)在歐洲經濟區開展實際和有效的活動。

(2)通過穩定安排進行的活動。

(3)在該活動範圍內處理的個人資料。另一方面,當資料控制者或處理者對歐洲經濟區中的當事人提供商品或服務;或監測當事人的行為時,縱使並未在歐洲經濟區中設立據點,也可能適用GDPR的規定。

各主體所增加的新權利和義務將在以下分別說明:

(1)資料主體:取得被遺忘權以及資料可攜權等新權利。

(2)資料控制者:增加的新義務則包括,透過隱私設計和預設(Privacy by Design & Default)實現資料保護;資料外洩時必須在72小時內向監管機構報告,以及當資料外洩對資料主體造成高風險時,必須與資料主體溝通;進行資料保護影響評估;以及記錄資料處理活動。

(3)資料處理者:遵守由資料控制者提供予其的規範;保存處理活動的記錄;並在發生資料外洩通知控制者。更重要的是,如果處理者之作為超出控制者所給的指令,此時處理者將被定義為另一個控制者。

(4)控制者和處理者的共同義務:指定資料保護官,並與資料保護當局合作。

GDPR與跨境資料傳輸

GDPR在跨境資料傳輸方面採「原則禁止、例外允許」模式,也就是資料僅得在控制者及處理者遵循特定條件時方得進行跨境傳輸。而要以跨境傳輸最重要的是通過歐盟執委會認定移轉處具有充足程度的保護,也就是必須進行適足性評估,當從國家角度被認定具有充足程度保護時,之後的移轉不需獲得任何特別授權。而未通過與歐盟國家間的個資國際傳輸之適足性評估時,就必須要由控管者或處理者提供適當保護措施,例如與公務機關或機構間有法律拘束力且得執行之辦法、有拘束力之企業守則、標準資料保護條款、行為守則或通過經核准之驗證機制,否則必須靠當事人明確同意、契約合意、基於資料主體之利益、公共利益或是法律上之必要等情形下,方得進行。

APEC跨境隱私規則(CBPR) 

CBPR是一種自願認證計畫,允許公司以安全的方式在OECD經濟體中參與該計畫,以安全的方式傳輸個人資料。由於CBPR是一種自願認證計畫,因此可透過CBPR證明一個公司符合APEC隱私框架,該框架由四個部分組成:序言和目標、範圍、九項資訊隱私原則和國內外實施。而其中的九項資訊隱私原則(問責制、通知、選擇、蒐集限制、個人資訊的完整性、個人資訊的使用、安全保障、獲取和糾正,以及防止傷害),對應到六個GDPR原則的資料處理(問責制、合法性/公平性和透明度、準確性、目的限制、完整性和保密性,以及儲存限制)具備了高度重疊性。

CBRP與GDPR差異比較

CBRP與GDPR在原則方面部份重疊,但是強制力卻有明顯不同,若對比治理模式,一方是由上而下,規定公司應履行的義務,而另一方卻是由下而上,採取自我調節。但在面對全球化的議題時,往往也難以具有全球一致的標準。以下說明各細項:

部份重疊

APEC的「通知」、「選擇」和「蒐集限制」等原則,類似於GDPR的「合法性、公平性和透明度」原則。APEC的「預防」、「損害要求向隱私執法部門通報重大資料洩露」,這符合GDPR中「問責制」原則。

而另一方面,GDPR包括了OECD隱私框架、CBPR或隱私識別流程(Privacy Recognition for Processes,PRP)系統未涵蓋的原則與義務,例如GDPR中要求不保存資料超過必要的時間的「儲存限制」原則,就沒有被APEC隱私框架所包含,而當資料外洩時的通知義務等等,在兩者間亦存在差異。

強制力

目前GDPR已經針對多家跨境公司進行裁罰,包括Google等多家企業已受到最高2千萬歐元或全球總營業額4%的罰鍰,且已經對未於歐洲經濟體內設立據點的境外公司進行裁罰。而CBPR是讓隱私執法機構自願共享資訊並為跨境數據隱私執法提供幫助,並不具備直接裁罰的強制力。

對比治理模式

GDPR是一個「自上而下」的詳細規定,其規定一系列應由公司履行的義務,如不履行這些義務,將處以巨額罰款。相反地,CBPR是「自下而上」的規定,屬於自我調節模型,除了加入APEC成員經濟部門應填寫的申請文件,以便向聯合監督小組提交申請外,在細節上沒有規定,也沒有規定其成員應該如何修改其資料隱私法規。

全球化

個人資料以及其自由流動將是未來數位創新和經濟增長的基石,有鑑於其監管方式與強度等在全球均有不同,因此有必要尋求一致性的管理機制,但這並不容易。而亦有建議將個人資料保護規則納入貿易談判,但實際上是充滿困難的。

GDPR規範資料僅得在控制者及處理者遵循特定條件時方得進行跨境傳輸。

首先,隱私與個人資料保護是基本權利,而大多數的事項與基本權產生衝突時,隱私與個人資料保護將具有優先權,那麼談判上將產生困難。 其次,人們對於到底要犧牲多少隱私權為代價,而換取利益的可接受程度是有差異,例如當隱私與國家安全產生衝突的時候,雙方所應退讓的程度到底為何,此時到底應以何者為重?也因此雖然大多數人均認為隱私與個人資料的保護是重要的,但各地區所認為的重要程度卻有所不同,而難以具有全球一致的標準。

有待協調以有效連結

CBPR建立了個人資料保護的底線標準,隨著更多的成員經濟體和公司加入CBPR,建立相互信任關係將可能有效保護隱私,更有助於避免資訊流動的障礙,以確保持續的貿易和經濟增長。然而,根據GDPR的要求,兩者如要構建連結時應考慮幾個方面,包括儲存限制的原則、特種資料處理、資料外洩通知的義務、被遺忘權和資料可攜權。更重要的是,針對處理者的執法必須要有強制性的要求,這些部份都有待APEC接下來與歐盟間的協調,以有效連結兩者。 

<本文作者蕭崴仁現任職於鼎昊法律事務所>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!