今年4月,我國以創始會員身分加入「全球跨境隱私規則論壇」,並與美國、加拿大、日本、韓國等創始會員共同發布「全球跨境隱私規則宣言」,將致力促進資料自由流通與有效的資料隱私保護,相關規範對企業之可能影響值得關注。
今(2022)年4月,國家發展委員會(以下簡稱國發會)發布一則新聞稿,提及我國以創始會員身分加入「全球跨境隱私規則論壇(亦稱Global CBPR Forum)」,並與美國、加拿大、日本、韓國等創始會員共同發布「全球跨境隱私規則宣言(Global Cross-Border Privacy Rules Declaration)」,將致力促進資料自由流通與有效的資料隱私保護。
在資料經濟時代下,配合數位經濟及網路交易等需求,在A國蒐集個資後跨境傳輸至B國處理或利用,如跨境電子商務交易、或透過雲端進行異地備份、利用資料等情形,已屬常態。然為加強對隱私之保障,世界各國對於跨境個資或相關資料傳輸之規範亦日趨嚴格。其中,最為人所知,應屬歐盟於2016年4月通過,並自2018年5月施行之一般資料保護規則(GDPR)。
依GDPR第3條,無論企業是否位處於歐盟境內,原則上若有跨境提供商品或服務,並蒐集、處理歐盟居民之個人資料,將適用GDPR規範。另,如違反其對隱私保護與管理之要求,依GDPR第83條最高將可處2,000萬歐元或前一年度全球營業總額4%之罰款。如在脫歐前,英國航空因資料外洩,或法國對Google陸續以處理用戶資訊不符GDPR規範為由,多家知名企業分別遭該管國家之主管機關處以高額罰款。
APEC CBPRs概述
除了各國法令規範,國際組織也重視隱私相關議題。如亞太經濟合作(APEC)為平衡企業營運及隱私保護,自1998年起已開始推動電子商務行動藍圖計畫隱私保護9項原則,包含:預防損害、告知、蒐集限制、個人資料之利用、當事人自主、個人資料之完整性、安全管理、查閱與更正,以及責任;至2005年時,通過APEC隱私保護綱領(APEC Privacy Framework),進一步強調消費者隱私之保護。
在2011年時,APEC更通過跨境隱私保護規則體系(CBPRs),透過制度化機制處理隱私保護等議題,此即為與國發會今年新聞稿相關之內容。屬APEC經濟體欲加入CBPRs體系的條件,首先是該經濟體需要有至少一個國內的執法機關,參與APEC的跨境隱私執法機關(CPEA)。因CPEA是APEC內對於隱私及資料保護最主要的執法合作架構,相關爭議都將透過此一機制處理。其次,屬APEC之經濟體有主管機關參與CPEA後,該經濟體必須向APEC電子商務指導小組(ECSG)主席表達欲參與APEC CBPRs之意願。APEC電子商務指導小組主席收到申請後,會進入內部審查程序。倘該經濟體的執法機關通過審查後,即完成參與APEC CBPRs之流程。
由上開流程可知,如依目前APEC CBPRs機制,參與者僅限屬APEC之經濟體。然以美國為首之國家,成立全球跨境隱私規則論壇之目的,期將CBPRs自APEC擴大,規劃成為一獨立新國際組織,俾讓更多國家或實體參與。
相關規範對企業之可能影響
雖全球跨境隱私規則論壇於今年底將成為獨立之國際組織,但仍維持APEC採共識、非強制之作法。倘有跨境傳輸資料需求之企業,可向當責機構(Accountability Agent,AA)申請。AA主要負責確認從事跨境資料傳輸企業之內部管理機制,是否符合CBPRs之規範。
除CBPRs屬非強制性,各國對於跨境資料傳輸規範亦不一,如我國個人資料保護法(以下簡稱個資法)第22條規定,企業原則可以進行國際傳輸。惟在例外四種情形之一,包含:在涉及國家重大利益;國際條約或協定有特別規定;接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞;或以迂迴方法向第三國(或地區)傳輸個人資料規避個資法時,中央目的事業主管機關得限制之。目前僅有中央目的事業主管機關,如通傳會(2012年9月曾有行政令函,係在2012年10月個資法施行前)或金管會(如金融機構作業委託他人處理內部作業制度及程序辦法內,涉資料處理及儲存於境外時)有部分限制或要求。
而GDPR則採較嚴格規定,無論是控管者或處理者,原則上都須符合相關規範。特別是在跨境傳輸部分,除GDPR規範外,尚包含傳輸之國家取得適足性認定(如鄰近之韓國雖非歐盟成員,但已於2021年4月獲適足性認定),或是透過企業自主之方式,如符合拘束性企業規則(BCR)或針對資料保護擬定之標準契約條款(SCC)。
以BCR為例,係指跨國企業內部訂定之資料傳輸規則,但符合GDPR規範,如透明性、有一定管理機制。藉由遵循BCR,跨國企業內部可相互傳輸個資,縱使某些國家或地區未有完善之個資保護法制。然BCR必須獲核准,歐洲個人資料保護委員會(EDPB)有整理經核准之BCR列表,可參考「https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_en」。
另在2020年7月前,原符合歐美隱私盾(EU-US Privacy Shield Framework)協議者,亦可被認為符合GDPR規範。然2020年7月後,歐盟法院(Court of Justice of the European Union)已判決該協議失效,故目前企業已無法主張適用隱私盾協議而符合GDPR規範。
結論與建議
因應科技發展或營運所需,多數企業將面臨蒐集、處理或利用個資,及其跨國(境)之處理與利用等議題。會需要跨境傳輸(個資法用語為國際傳輸,詳個資法第2條)之常見情形,可能有:1.屬跨國公司或外商臺灣分公司、2.有對外貿易或相關業務、3.資料有跨國儲存之需求。
本文建議,倘業務上有國際傳輸需求時,考量市場或其他因素,無論是強制性較高之GDPR,或是非強制性之CBPRs,法令遵循之基本要求多相同。爰在一開始蒐集當事人個資時,可參酌我國個資法第8或9條之規定,在作業流程、業務之執行或設計上,務必先告知個資當事人,如蒐集機關名稱、蒐集目的、個資類別等,並經當事人同意後,在特定目的內進行處理或利用,以符法令遵循之需求。
<本文作者:陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>