英國衛報( The Guardian )指出,英國對種植基因改造作物之管制規範存在著漏洞。 1998 年歐盟曾經允許一批基因該造玉米在歐盟境內種植,將之列入歐盟的一般性種子目錄( the EU common catalogue of seeds ),該玉米由孟山都生技公司所研發,被稱為 MON 810 ;當時基因改造作物尚未受到大眾的注意,更未引起各國政府對基因改造作物的反省。對此,英國的環境食品農業事務部( Department for Environment, Food and Rural Affairs, Defra )指出對於這批歐盟所允許的基因改造作物,目前並沒有任何的規範可阻止其進口到英國境內,贊成或熱衷種植基因改造作物的人士,也可在不需通知主管機關或鄰近土地之所有人的情況下,合法種植自己希望的基因改造作物。農民只需在銷售或生產此種玉米時,遵守歐盟所頒佈之基因改造溯源與標示相關規則即可。對此,目前英國的環保團體與農民關心的焦點在於,英國目前並沒有區隔基因改造作物與非基因改造作物,及非基因改造作物受到污染時,計算賠償金範圍及數額等之規定,並呼籲英國政府重視此問題。
本文為「經濟部產業技術司科技專案成果」
日本網路安全戰略本部(サイバーセキュリティ戦略本部)於2018年7月27日發布最新3年期網路安全戰略(サイバーセキュリティ戦略),其主要目的係持續實現「提昇經濟社會活力與永續發展」、「實現國民安全且安心生活之社會」、「維持國際社會和平、安定與保障日本安全」三大目標,並透過7月25日同樣由網路安全戰略本部(サイバーセキュリティ戦略本部)發布之網路安全年度計畫2018(サイバーセキュリティ2018),執行下述資安對策的細部計畫與做法。 以下簡述依據日本三大資安目標所提出之重要資安對策: 提昇經濟社會活力與永續發展 (1) 推動可以支援創造新價值之網路安全措施。 (2) 實現可以創造價值之網路安全供應鏈。 (3) 架構安全物聯網(Internet of Things, IoT)系統。 實現國民安全且安心生活之社會 (1) 制定網路犯罪之因應對策。 (2) 官民一體共同防護關鍵基礎設施。 (3) 強化與充實政府機關之網路安全。 (4) 確保大學能建構安全與安心之教育與研究環境。 (5) 展望2020年東京奧運與未來之措施。 (6) 強化情資共享與合作體制。 (7) 強化應變大規模網路攻撃事態之能力。 維持國際社會和平、安定及保障日本安全 (1) 堅持自由、公平且安全之網路空間。 (2) 建立支配網路空間之法律秩序。 (3) 強化日本網路防禦力、抑制網路攻擊能力與掌握狀況之能力。 (4) 強化掌握網路空間狀況之能力。 (5) 國際合作。
歐盟發布與食品接觸的容器材料安全評估規則歐盟食品安全局(European Food Safety Authority, EFSA)於2009年5月29日發布歐盟第450/2009號規則(Regulation EC No. 450/2009),內容為評估與食品接觸的包裝容器之「活性材料」(active material)或「智慧型材料」(intelligence material),其活性與智慧型功能物質之使用安全性。此號規則規定了進行活性或智慧型材料物質的安全評估相關的行政管理,及申請所需提出的科技數據與資訊內容。 歐盟第450/2009號規則是一項落實第1935/2004號規則中,有關食品安全的具體規則。第450/2009號規則要求食品容器中的「活性材料」與「智慧型材料」,必須經過EFSA的安全評估測試。 歐盟於2004年10月通過第1935/2004號規則(Regulation EC No. 1935/2004),首次公佈活性材料與智慧型材料的定義。「活性材料」係指為增加食物保存期限或維持及改善情況,食品容器材料會自動釋放某些物質在食品中以延長期限。「智慧型材料」則指能顯示食物狀況或在包裝上顯示出周圍環境狀態,例如在食品包裝上,結合溫度顯示材料,指出裝運過程中的溫度狀態。 而第450/2009號規則,則是進一步落實規範。在安全評估測試中,EFSA對於申請者提出的容器材料物質,進行風險測試後,將給予申請者得以使用的物質清單。若有食品容器材料的物質經測試後發現,其活性或智慧型功能的物質,與食品容器材料中的其他物質產生交互作用,EFSA可能將限制使用此類物質於食物容器材料中,以確保容器材料之安全性。
網路爬蟲治理趨勢與我國法制啟示網路爬蟲治理趨勢與我國法制啟示 資訊工業策進會科技法律研究所 2026年04月30日 壹、網路爬蟲治理議題背景 隨生成式人工智慧產業蓬勃發展,模型訓練對於巨量資料之依賴度與日俱增,促使網路爬蟲(Crawlers)技術運用愈發頻繁。傳統網路生態原係建立於網站經營者與網路爬蟲索引功能的導流互惠默契[1],網站容忍爬取以換取流量曝光。然而,當網路爬蟲大量爬取資料用於訓練,而非提供連結導流時,不僅造成流量分流與價值分配失衡,更損及內容產製者的廣告與訂閱收益[2]。 此經濟模式的轉變,讓技術訊號與法律意思表示長期脫節的矛盾浮上檯面。事實上,以自然語言呈現的服務條款與機器可讀的技術訊號(如 robots.txt)不一致之情形普遍存在。在搜尋引擎主導的時代,雙方多維持以資料換流量的默契,類矛盾尚能維持在技術管理層次,未釀成大規模法律對立。 如今,當爬取行為涉及訓練具備商業替代性的模型時,原本被掩蓋的技術脫節便陡然升級為法律風險。內容產製者因對傳統協定失去信任,轉向採行強硬的技術阻擋[3];而 AI開發者則因 robots.txt 結構過於簡單,難以精確辨識複雜的著作權授權意願。即便開發者主觀上有遵循意願,但在自動化爬取過程中,仍因技術工具無法即時解讀自然語言聲明,進而陷入侵害著作權或違反契約之困境。 這種從互惠轉向競爭的變化,促使全球必須正視法制層面對於技術訊號與法律意願對齊的緊迫性。目前國際主要有兩種治理路徑:一是以美國為代表,仰賴著作權法中合理使用(Fair Use)之彈性空間,透過司法個案衡酌商業替代性與轉化性利用;二是以歐盟為首,透過《數位單一市場著作權指令》(The Copyright in the Digital Single Market Directive, CDSM Directive)明文確立「文本及資料探勘(Text and Data Mining, TDM)」之法定例外[4],建立起事前規範。 相較於上述兩大主流路徑,我國目前既缺乏如歐盟般明確的法定例外制度作為避風港,在司法實務對於合理使用的解釋上也尚待更多AI相關案例累積心證,導致相關爭議高度仰賴司法事後認定,其不確定性使本土AI研發者往往須在法律風險與技術創新間艱難取捨,對產業生態系形成潛在的寒蟬效應。爰此,本文旨在爬梳歐美法規範趨勢與國內外司法實務案例,進而針對我國網路爬蟲治理路徑提出具體之政策建議。 貳、重點說明 一、網路爬蟲治理與國際趨勢 觀測全球AI治理趨勢,網路爬蟲管理議題漸受重視。相關討論已從純粹的技術攻防轉化為法律規範的核心。目前國際間主要以美國的合理使用彈性與歐盟的法定例外架構路徑為觀測重點,並輔以國際組織推動的技術標準自律。 (一)美國路徑:以合理使用為核心的事後審查 以美國為觀測對象,其著作權局(United States Copyright Office, USCO)於2025年的報告中揭示了關鍵立場:為AI訓練而建立資料集的重製行為,本質上已構成初步侵權(Prima Facie Infringement)[5],其合法性最終取決於合理使用抗辯是否成立。此見解釐清了技術上的公開可得(publicly available)並不等同於法律上的授權利用,即便內容於網際網路上可自由存取,其著作權保護並不因此消滅。 這法律定性與技術現狀的落差,直接衝擊了美國司法實務過往採取之默示授權(Implied License)理論。在早期判例(如 Parker v. Yahoo!案)[6]中,若網站未設置 robots.txt 阻擋爬蟲,法院常傾向認為權利人已默許搜尋引擎進行索引。然而,robots.txt 的初衷並非針對生成式 AI設計,其技術結構無法區分導流索引與模型內化這兩類本質迥異的行為,並導致內容產製者即便有意反對AI訓練利用,卻因缺乏精準的技術工具表達其授權意願,使法庭在個案審酌授權意圖或合理使用時,面臨證據判讀上的困境。 此外,針對大規模爬取行為,美國監理機關亦開始從著作權以外的視角強化監管。例如,聯邦貿易委員會(Federal Trade Commission, FTC)近期高度關注「普遍性擷取(Pervasive Extraction)」所涉及的隱私風險。FTC強調,即便資料經去識別化,若能透過巨量資料點反推個人敏感資訊,仍可能違反個人資料保護法規範。[7]由此可推敲,美國正透過著作權法遵與個資保護責任之雙重規範,強化對爬取行為事後責任之追究,而非單純從技術面禁止存取。 (二)歐盟路徑:以權利保留(Opt-out)為基礎的法定例外 相對於美國模式,歐盟透過《數位單一市場著作權指令》建立層次分明的TDM法定例外體系,依據利用目的之性質,區分為科學研究與一般性利用兩種目的:基於科學研究目的而進行之TDM,屬於強制性的法定例外。在此範圍內,權利人不得主張選擇退出,亦即權利人必須容忍符合公益目的之資料探勘行為;基於一般性利用目的(即科學研究目的以外),原則上允許資料爬取,但賦予權利人權利保留選擇。但權利人必須以機器可讀(Machine-readable)形式明確聲明,否則即須容忍一定程度的爬取行為。[8][9] 此制度的核心爭點在於機器可讀性與技術落實間的落差。近期歐盟實務(如荷蘭 DPG Media v. HowardsHome 案)進一步探討:若權利人僅在 robots.txt 中以自然語言註解法律聲明,該方式是否即應被認定為符合法律要求的機器可讀格式?[10]此類討論反映出歐盟司法實務正試圖釐清,在技術中立的原則下,機器可讀的判定基準是否應隨AI的辨識能力而動態調整? 亦即,若 AI 確實能辨識該聲明,則該非結構化的文字是否就已該當法律上的權利保留效力。 此外,為解決內容產製者與 AI 開發者間的價值分配失衡,歐盟亦提出引入法定衡平報酬權(Statutory Right to Equitable Remuneration)之構想,試圖透過著作權集體管理組織(Collective Management Organisations , CMOs)建立公平的利益補償模式,將商業性爬取行為由單純的侵權爭議,轉化為制度性的商業授權框架。[11] (三) 國際合作與技術標準:形塑自律框架 在法律規範之外,國際組織正積極透過軟法與技術標準化,試圖緩解內容產製者與 AI 開發者間的緊張關係。目前,觀察標竿組織重點如下: 1. OECD:探索產業自律與授權框架 在國際合作層面,經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)在報告中,探討透過資料爬取行為準則(Code of Conduct)與定型化契約等手段,形塑產業自律框架[12]的可能性,期望能透過標準化的授權條款降低雙方磋商成本,並為開發者提供更明確的法遵指引,以減輕司法事後判決不確定性所帶來的衝擊。 2. IETF:研議以「利用目的」為基礎之技術協定 針對現有技術訊號(如 robots.txt)無法精確承載法律意願之缺陷,網際網路工程任務組(IETF)相關工作小組正嘗試研發新一代技術協定(如 train-ai 標籤)。研究焦點在於建立以利用目的為基礎的識別機制,探討自然語言與機器語言銜接的技術路徑,使權利人未來能更精確地表達其授權意向(如:區分搜尋索引與 AI 訓練),進而試圖彌補技術訊號與法律意思表示間的落差。[13] 二、 國內外司法實務案例分析 觀測近期司法實務,各國法院對爬蟲行為邊界之判定趨向細緻化,且美、歐兩地在司法判斷標準與關注焦點上各具特色。 (一)美國實務:從默示授權轉向契約與反競爭之平衡 在美國實務方面,爭議核心從早期有關默示授權轉向近期契約效力與競爭政策間平衡發展的演進。法院雖曾於 Parker v. Yahoo! [14]等早期案件中認為,若網站未以技術手段(如 robots.txt)限制爬取,在搜尋快取情境下可能視為默示授權。然而,此見解在AI時代已難以擴張至大規模重製以訓練模型之範疇。 近期法院判斷標準更傾向於認為,單純缺乏技術設定並不等同於達成全面授權的意思合致。在此種技術訊號與授權意向脫節的現狀下,網站經營者轉而強化服務條款之規範,試圖以契約債權彌補技術控制之不足。然而,這也引發了服務條款拘束力邊界的法律論辯。具體而言,在 hiQ Labs v. LinkedIn [15]等案中,法律爭議核心在於《電腦詐欺與濫用法》(Computer Fraud and Abuse Act,CFAA)的適用邊界。針對技術上無需登入即可存取的公開資料(Public Data),平台方不得僅憑撤銷授權(如寄發停止並終止函或阻斷 IP)便主張資料爬取者構成CFAA之無權限存取。法院在裁定中展現其法律見解:若容許平台透過服務條款對未登入狀態下即可存取之公開資料建立壟斷性控制權,將損及資訊自由流通與競爭之公共利益。[16] (二) 歐盟實務:聚焦權利保留(退出權)之有效性認定 在歐盟司法實務方面,司法實務判斷的重點則由單純的存取權限轉向權利保留之有效性認定。此轉變反映司法機關試圖確認,在技術中立原則下,法律要求之機器可讀性應如何解釋。德國法院在 Kneschke v. LAION 案[17]中提出重要觀點,認為機器可讀性之判定應取決於利用行為發生時之技術發展水平。該判決傾向認定,若 AI 應用程式在技術上已能實質理解自然語言,則僅以自然語言撰寫的服務條款亦可能被視為有效的機器可讀聲明;相對地,荷蘭法院在 DPG Media v. HowardsHome案[18]中則採取較嚴格的檢視標準,認為若出版商僅以自然語言註解或針對特定機器人進行封鎖,但在技術執行上未能達成適當且明確之辨識程度,致使自動化工具無法將其識別為法律上的權利保留指令,該聲明仍可能被判定為無效。 上述案例顯示歐盟實務正處於探索期,試圖在法律規範與技術現狀間尋求對齊,以確立法定例外制度下權利人與利用人之間的權利義務邊界。 (三) 我國實務:側重對權利人財產權之保障 相較於美、歐司法實務傾向於在競爭政策或著作權例外框架下進行權衡,我國司法實務現階段對於權利人利益之保障呈現更為嚴謹的審視態度,且在法律適用上展現出獨特的刑事定性。在國內有關網路資料爬取的指標性案例(法源與七法案)[19]中,法院認定即便爬取之資料本身不具著作權(例如法規內容),但若行為人明知網站已設有禁止規範,卻仍利用自動化程式大規模爬取資訊,且該利用行為具備直接商業競爭目的、實質損及原告之潛在市場,則此種行為除可能構成著作權侵害外,亦將涉及《刑法》第359條之無故取得他人電腦電磁紀錄罪。此見解凸顯出我國實務高度側重保護內容產製者對於電磁紀錄之支配權與商業投資成果之完整性,使得網路爬蟲行為在臺灣法制環境下,不僅面臨民事侵權責任,更具備顯著的刑事責任風險。 三、 我國現況與產業環境觀察 我國目前針對網路爬蟲之治理模式主要由司法實務主導,且現行法制環境對於權利人利益之保障維持一貫保守且嚴謹的認定態度。在法律層面,由於我國尚未引進類似歐盟之TDM法定例外制度,我國 AI開發者在進行大規模語料收集時,僅能仰賴《著作權法》中關於合理使用之不確定法律概念進行個案認定。此類高度依賴司法事後認定的現狀,使研發過程籠罩在法遵風險之下,對產業創新形成明顯的寒蟬效應。 在技術與商業實務層面,robots.txt 等傳統技術協定在生成式AI 時代,已顯現出語義表達能力不足之侷限,難以在機器語言中精準區分流量引導與資料訓練內化兩類本質差異甚廣的授權意願。觀察整體產業環境,內容產製者與AI開發者間的衝突核心,在於資料利用已具備高度商業替代性競爭意涵,且開發者無償利用巨量資料行為,與內容產製者要求合理對價之間產生巨大鴻溝,而非單純的技術存取議題。此外,《刑法》第359條無故取得電磁紀錄罪於網路爬蟲案件中適用邊界之不確定性,不僅加劇AI開發者對於技術行為入罪化的恐懼,更因缺乏明確的付費授權路徑或法定例外,成為我國AI生態系發展中難以跨越的法律屏障。 參、事件評析 綜觀國際趨勢,網路爬蟲治理的爭議已跨越單純的技術存取爭議,演進為在AI時代下治理路徑的策略選擇。 美國雖以合理使用作為事後裁決標準,但觀察其司法實務發展,實質上已有仰賴私法契約與其他多重法規構築防護網之傾向;相對於此,歐盟則採法定例外搭配權利保留(退出權),將治理重心提前至事前規範。兩種路徑雖規範密度有別,但均試圖在著作權人與利用人之間建構可資依循的權利義務框架。 歸結而言,我國現行網路爬蟲治理困境,似並非單純的法規空白問題,更涉及技術訊號與法律表述之結構性落差。首先,我國未引進類似歐盟法定例外制度,僅能仰賴具高度不確定性之合理使用概念;其次,即便欲從私法契約角度建立事前約束,仍面臨傳統技術協定因語義表達之侷限性,難以精確傳達權利人對於導流索引與AI訓練利用之差異化授權意願,其結果往往導致技術訊號與法律服務條款內容產生落差。 面對此困境,我國未來治理路徑首要之務,或可思考建構足以縮短技術訊號與法律意思表示落差的緩衝空間,調和當前導流互惠轉向替代競爭所引發的價值分配矛盾。 [1] Yichen Zhang, Kneschke v LAION: Are Text and Data Mining Exceptions a “Get-Out-of-Jail-Free Card” for AI Training?(2025),15, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5439454 (last visited Nov. 22, 2025). [2] Inbar Cohen, From Headlines to Al: Narrowing the Bargaining Gaps between News and AI Companies(2024), 9, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4878254 (last visited Nov. 22, 2025). [3] UK Dep’t for Sci., Innovation & Tech., International AI Safety Report 2025 (2025), 2.3.6. Risks of copyright infringement, https://www.gov.uk/government/publications/international-ai-safety-report-2025/international-ai-safety-report-2025 (last visited Sept. 29, 2025). [4] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 32-33,https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [5] United States Copyright Office, Copyright and Artificial Intelligence Part 3: Generative AI Training pre-publication version(2025) , 26-31,https://www.copyright.gov/ai/Copyright-and-Artificial-Intelligence-Part-3-Generative-AI-Training-Report-Pre-Publication-Version.pdf (last visited Nov. 24, 2025). [6] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [7] Federal Trade Commission, “FTC Cracks Down on Mass Data Collectors: A Closer Look at Avast x-Mode,” Technology Blog, Mar. 15, 2024, https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2024/03/ftc-cracks-down-mass-data-collectors-closer-look-avast-x-mode-inmarket (last visited Nov. 24, 2025). [8] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 35-36, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [9] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 120, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [10] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [11] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 128-129, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [12] Organisation for Economic Co-operation and Development (OECD). Intellectual Property Issues in Artificial Intelligence Trained on Scraped Data. OECD Artificial Intelligence Papers No. 33, February 2025, 10, https://www.oecd.org/content/dam/oecd/en/publications/reports/2025/02/intellectual-property-issues-in-artificial-intelligence-trained-on-scraped-data_a07f010b/d5241a23-en.pdf (last visited Nov. 19, 2025). [13] IETF, Progress on AI Preferences(2025), https://www.ietf.org/blog/ai-pref-progress/ (last visited Nov. 26, 2025). [14] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [15] hiQ Labs, Inc. v. LinkedIn Corp., 31 F.4th 1180 (9th Cir. 2022). [16] Meta Platforms, Inc. v. Bright Data Ltd., 661 F. Supp. 3d 1086 (N.D. Cal. 2023). [17] Kneschke v. LAION, e.V., Case No. 310 O 227/23, Hamburg Regional Court (Landgericht Hamburg), Sept. 27 2024. Available at: https://www.wipo.int/wipolex/en/judgments/details/2381 (last visited Oct. 7, 2025). [18] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [19] 臺灣新北地方法院 114 年 6 月 24 日 111 年度智訴字第 8 號刑事判決。
淺談個人資料跨境傳輸之管理淺談個人資料跨境傳輸之管理 科技法律研究所 2013年04月03日 由於資訊科技與全球商務型態之快速發展,企業將個人資料為跨境處理或利用的情況已相當的普遍,例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而,企業將個人資料為跨境處理或利用時,時常因為各地法令之不一,而面臨阻礙,進而影響其商務活動的進行。我國為一海島型國家,長年倚賴國際通商,是以,有關於個人資料跨境傳輸之課題,為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明,並提出我國公務機關可能採取之作法建議。 壹、事件摘要 對於個人資料跨境傳輸議題的管理,涉及了多個面向的課題,其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態,其基於政治以及經濟上利益,皆致力推動與調和國際間個人資料保護原則。 以歐盟為例,因對於人權的尊重與個人隱私的重視,歐盟所建立的跨國個人資料傳輸規範較為嚴格,而此舉對企業為個人資料之跨境處理或利用造成困擾,阻礙個人資料的自由流動。為此,歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款,以及具有拘束力之合作規則,以克服個人資料難以自由流動之困難。另一方面,觀察APEC之個人資料保護指令的內容,可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。 上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行,故其作法或可為重視國際通商的我國所參考。 貳、重點說明 一、歐盟對於個人資料跨境傳輸議題的管理 (一)標準契約範本之提出 歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本(the Contractual Model and Standard Contractual Clauses),此標準契約範本之起草精神為,會員國簽訂標準契約後,即可不需徵求該國個人資料保護機關之准許,增進個人資料跨國傳輸之效率以及速度。雖然,此標準契約範本仍有發展空間,但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。 目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考,分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容,資料傳送者將個人資料傳輸至第三國時,縱使個人資料接收國已經採取合適的個人資料保護措施,個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中,2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者,而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外,亦賦予當事人更廣泛之契約求償權利,亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償,若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時,當事人可以向受個人資料進口者委託者(sub-processor)提出請求,要求就其責任範圍負擔損害賠償責任。 標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化,是以,該契約範本所定之要件過於嚴格又缺乏彈性,同時增加個人資料跨境傳輸之行政費用負擔,故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言,造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時,不見得會設立完整傳輸系統,時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料,而標準契約條款並無法完全因應現況,故產生難以適用之情形。 (二)共同約束條款(Binding Corporate Rules)之提出 如前所述,歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益,歐盟執委會增加了共同約束條款(Binding Corporate Rule, BCR)機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出,為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時,得以遵循之規則。 BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出,並可以更有效率地於其集團內跨境傳輸個人資料。但,BCR僅適用在組織內部跨境移轉個人資料之情形,若是不同公司、企業或組織跨國傳輸個人資料情形時,則不適用BCR。 (三)安全港協議之簽署 為了犯罪偵查機關執行公務之目的,政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例,二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜,同時,亦設定個人資料跨境傳輸保護之相關標準,以供歐盟及美國政府遵循之。 對於個人資料的保護,美國採取分散式之法律規範模式,此與歐盟各會員國之作法不同。此外,因為美國並未被歐盟執委會認定為具備充分(adequate)之個人資料保護措施地區,因此於個人資料跨境傳輸時,依歐盟個人資料保護指令,歐盟內之個人資料似不能傳輸至美國,除非符合其他例外情形。對此,為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形,美國商務部與歐盟執委會協議採取安全港架構,此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。 二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理 (一)資訊隱私開路者合作計畫之提出 APEC透過亞太經濟合作組織資訊隱私開路者合作計畫(APEC Data Privacy Pathfinder Projects)建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫,期能夠在符合APEC隱私保護綱領之原則下,推動APEC跨境隱私保護規則(Cross-Border Privacy Rules, CBPRs)。總結來說,開路者計劃透過設計一連串的制度,提供企業經營者得以建立其內部之跨境資料傳輸規則,並且透過認證機制(Accountability Agents)之建立,使企業得以提供消費者可信之標章。 (二)APEC跨境隱私執行機制之提出 為使會員經濟體間個人資料之跨境傳輸更為流通,並且調合各國因個人資料保護法令要件不同而產生扞格之情形,APEC跨境隱私執行機制(APEC Cross-Border Privacy Enforcement Arrangement, CPEA)因應而生,而目前己加入本機制之會員經濟體,包括澳洲、加拿大、香港、紐西蘭以及美國。 (三)與其他區域之合作與整合 APEC已開始思考除了亞太地區之個人資料跨境機制之加強外,也思考如何與其他區域之跨境隱私機制進行合作或者整合,以歐盟為例,APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和,以促進全球間之個人資料跨境傳輸。 2012年,APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外,也希望區域內之會員經濟體可踴躍參與跨境隱私機制。 三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理 經濟合作與發展組織(Organization for Economic Co-operation and Development, OECD)於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」(Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data),列出七項原則,包括: (一)通知(Notice):當個資被收集時,應通知當事人。 (二)目的(Purpose):資料僅得以說明之目的為使用,不得作為其他目的之使用。 (三)同意(Consent):未獲得當事人之同意時,不得揭露當事人之資訊。 (四)安全保障(Security):需保障被蒐集之資料被濫用。 (五)揭露(Disclosure):當事人應被告知誰在蒐集他們的資料。 (六)查閱(access):當事人應可查閱其個人資料並且可改正任何不精確之個人資料。 (七)責任原則(Accountability):當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。 個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識,亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。 參、事件評析 我國目前已加入APEC跨境隱私規則機制之實驗小組,希望能透過國際參與之方式,推動個人資料跨境傳輸活動,並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此,我國企業如欲從歐盟會員國之地區接收個人資料時,必須注意援用其他之機制,例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外,我國可比照美國與歐盟間所建立之安全港模式,與歐盟會員國簽訂安全港協議,以符合歐盟隱私權保護指令之要求。 在國際間,我國政府除了持續參加APEC所建立之跨境傳輸機制外,對於非APEC會員經濟體之地區,建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式,建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂,可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全,亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。