淺談個人資料跨境傳輸之管理
淺談個人資料跨境傳輸之管理
科技法律研究所
2013年04月03日
由於資訊科技與全球商務型態之快速發展,企業將個人資料為跨境處理或利用的情況已相當的普遍,例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而,企業將個人資料為跨境處理或利用時,時常因為各地法令之不一,而面臨阻礙,進而影響其商務活動的進行。我國為一海島型國家,長年倚賴國際通商,是以,有關於個人資料跨境傳輸之課題,為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明,並提出我國公務機關可能採取之作法建議。
壹、事件摘要
對於個人資料跨境傳輸議題的管理,涉及了多個面向的課題,其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態,其基於政治以及經濟上利益,皆致力推動與調和國際間個人資料保護原則。
以歐盟為例,因對於人權的尊重與個人隱私的重視,歐盟所建立的跨國個人資料傳輸規範較為嚴格,而此舉對企業為個人資料之跨境處理或利用造成困擾,阻礙個人資料的自由流動。為此,歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款,以及具有拘束力之合作規則,以克服個人資料難以自由流動之困難。另一方面,觀察APEC之個人資料保護指令的內容,可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。
上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行,故其作法或可為重視國際通商的我國所參考。
貳、重點說明
一、歐盟對於個人資料跨境傳輸議題的管理
(一)標準契約範本之提出
歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本(the Contractual Model and Standard Contractual Clauses),此標準契約範本之起草精神為,會員國簽訂標準契約後,即可不需徵求該國個人資料保護機關之准許,增進個人資料跨國傳輸之效率以及速度。雖然,此標準契約範本仍有發展空間,但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。
目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考,分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容,資料傳送者將個人資料傳輸至第三國時,縱使個人資料接收國已經採取合適的個人資料保護措施,個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中,2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者,而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外,亦賦予當事人更廣泛之契約求償權利,亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償,若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時,當事人可以向受個人資料進口者委託者(sub-processor)提出請求,要求就其責任範圍負擔損害賠償責任。
標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化,是以,該契約範本所定之要件過於嚴格又缺乏彈性,同時增加個人資料跨境傳輸之行政費用負擔,故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言,造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時,不見得會設立完整傳輸系統,時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料,而標準契約條款並無法完全因應現況,故產生難以適用之情形。
(二)共同約束條款(Binding Corporate Rules)之提出
如前所述,歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益,歐盟執委會增加了共同約束條款(Binding Corporate Rule, BCR)機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出,為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時,得以遵循之規則。
BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出,並可以更有效率地於其集團內跨境傳輸個人資料。但,BCR僅適用在組織內部跨境移轉個人資料之情形,若是不同公司、企業或組織跨國傳輸個人資料情形時,則不適用BCR。
(三)安全港協議之簽署
為了犯罪偵查機關執行公務之目的,政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例,二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜,同時,亦設定個人資料跨境傳輸保護之相關標準,以供歐盟及美國政府遵循之。
對於個人資料的保護,美國採取分散式之法律規範模式,此與歐盟各會員國之作法不同。此外,因為美國並未被歐盟執委會認定為具備充分(adequate)之個人資料保護措施地區,因此於個人資料跨境傳輸時,依歐盟個人資料保護指令,歐盟內之個人資料似不能傳輸至美國,除非符合其他例外情形。對此,為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形,美國商務部與歐盟執委會協議採取安全港架構,此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。
二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理
(一)資訊隱私開路者合作計畫之提出
APEC透過亞太經濟合作組織資訊隱私開路者合作計畫(APEC Data Privacy Pathfinder Projects)建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫,期能夠在符合APEC隱私保護綱領之原則下,推動APEC跨境隱私保護規則(Cross-Border Privacy Rules, CBPRs)。總結來說,開路者計劃透過設計一連串的制度,提供企業經營者得以建立其內部之跨境資料傳輸規則,並且透過認證機制(Accountability Agents)之建立,使企業得以提供消費者可信之標章。
(二)APEC跨境隱私執行機制之提出
為使會員經濟體間個人資料之跨境傳輸更為流通,並且調合各國因個人資料保護法令要件不同而產生扞格之情形,APEC跨境隱私執行機制(APEC Cross-Border Privacy Enforcement Arrangement, CPEA)因應而生,而目前己加入本機制之會員經濟體,包括澳洲、加拿大、香港、紐西蘭以及美國。
(三)與其他區域之合作與整合
APEC已開始思考除了亞太地區之個人資料跨境機制之加強外,也思考如何與其他區域之跨境隱私機制進行合作或者整合,以歐盟為例,APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和,以促進全球間之個人資料跨境傳輸。
2012年,APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外,也希望區域內之會員經濟體可踴躍參與跨境隱私機制。
三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理
經濟合作與發展組織(Organization for Economic Co-operation and Development, OECD)於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」(Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data),列出七項原則,包括:
(一)通知(Notice):當個資被收集時,應通知當事人。
(二)目的(Purpose):資料僅得以說明之目的為使用,不得作為其他目的之使用。
(三)同意(Consent):未獲得當事人之同意時,不得揭露當事人之資訊。
(四)安全保障(Security):需保障被蒐集之資料被濫用。
(五)揭露(Disclosure):當事人應被告知誰在蒐集他們的資料。
(六)查閱(access):當事人應可查閱其個人資料並且可改正任何不精確之個人資料。
(七)責任原則(Accountability):當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。
個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識,亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。
參、事件評析
我國目前已加入APEC跨境隱私規則機制之實驗小組,希望能透過國際參與之方式,推動個人資料跨境傳輸活動,並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此,我國企業如欲從歐盟會員國之地區接收個人資料時,必須注意援用其他之機制,例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外,我國可比照美國與歐盟間所建立之安全港模式,與歐盟會員國簽訂安全港協議,以符合歐盟隱私權保護指令之要求。
在國際間,我國政府除了持續參加APEC所建立之跨境傳輸機制外,對於非APEC會員經濟體之地區,建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式,建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂,可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全,亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。
科技與創新委員會(Commission of Technology & Innovation,以下簡稱CTI)係瑞士重要之創新推進機構,成立於1943年,2011年新修正之研究與創新促進法實施後,CTI正式從經濟部聯邦職業教育及科技局(Federal Office for Professional Education and Technology, OEPT)獨立出來,成為一個具決策權的獨立機關,直接隸屬於聯邦經濟事務部(Federal Department of Economic Affairs, FDEA)。 CTI為擴大高科技創業並創造研發成果商品化之效益推動創業家計畫。該計畫主要係由CTI出資成立的「創業實驗室」(Venture Lab)來執行。創業實驗室針對大學生及創業家推出了一系列創業推廣及訓練課程,從單日的工作坊、五日之創業實務密集課程到在大學開設的創業學期課程,每一個訓練課程都有專家評審,針對創新構想及商業模式給予參與課程者具有建設性的建議。 資料來源:Venture Lab網站 圖 Venturelab 創業課程
歐盟「第五洗錢防制指令」將新科技於金融體系的應用納入管制歐盟於2018年4月19日宣布通過「第五洗錢防制指令」(the Fifth Anti-Money Laundering Directive),並於同年6月19日公布確定案文,其要求歐盟成員國必須於18個月內將該命令納入國內法律中。 歐盟在本次指令中,特別針對恐怖主義組織財政和運作方式揭示出所觀察的新趨勢,其指出某些作為替代金融體系的新技術服務越來越受歡迎,但卻不受法令所拘束,或是被豁免於相關法律適用外等不合理情事,因此「第五洗錢防制指令」為了跟上不斷進步的科技環境,乃要求法人、其他法律實體(legal entities)、信託及具有與信託類似結構或功能的法律協議(類似的法律協議) 應採取進一步措施,以確保提高金融交易的透明度,並藉此改進現有的預防框架,達到更有效地打擊資助恐怖主義行為的目的;另外歐盟亦於該指令中提醒所有採取的措施應和洗錢風險成比例。 有關「第五洗錢防制指令」主要新增及修正包含: 迎接新技術:託管錢包供應商(custodian wallet providers)和虛擬貨幣交換平臺將被視為新的義務主體而納入於洗錢防制法的範圍。另外「第五洗錢防制指令」還允許使用電子身分證明進行客戶盡職調查。 改進執法:各成員國須建立自身國家的銀行帳戶登記系統,以便執法當局能夠方便地查閱在該成員國內的所有銀行帳戶資訊。另外該登記系統須與其他成員國互相連線,並且即便在沒有提交可疑活動報告的情況下,執法當局也可以要求義務主體提供資料。 明確定義"重要政治性職務人士":各成員國都必須發佈一份清單,列出哪些屬於 "重要的公共職能"。 針對高風險第三國為更嚴格的管制:「第五洗錢防制指令」要求涉及高風險第三國的商業關係或交易須採取強化盡職調查措施,,並允許成員國限制義務主體在高風險第三國設立分支機搆或子公司,亦禁止總部設在高風險第三國的義務主體於成員國設立分支機搆。 提高公司實質受益權的透明度:各成員國的公司實質受益權登記將放寬查詢限制,公眾無須提出任何合法權益證明即可查閱基本資訊。另外還要求企業(登記義務主體)必須針對持有資訊與在登記系統上資訊的差異提出報告。 信託的實質受益權:「第五洗錢防制指令」擴大實質受益權申報義務主體範圍,要求任何類似信託的法律安排及租稅中立性的信託均須申報;另外還擴大該實質受益權申報的查閱至任何能提出具有合法利益的人,但其並未對合法利益提出定義,而是讓各成員國自行訂定。然而「第五洗錢防制指令」指出,該合法利益的定義不應侷限在行政或法律訴訟未決的案件,而是應針對洗錢防制及反資助恐怖組織領域的預防工作為考量。 禁止匿名保險箱。 調整預付工具(prepaid instruments)需進行盡職調查的門檻(如禮品卡、旅遊卡):價值要求從250歐元降低到150歐元。
英國衛生部發布基因檢測與保險自律行為準則英國衛生部(Department of Health and Social Care)於2018年10月23日發布基因檢測與保險自律行為準則(Code on genetic testing and insurance-A voluntary code of practice agreed between HM Government and the Association of British Insurers on the role of genetic testing in insurance),該準則係由英國政府及英國保險業者協會(Association of British Insurers, ABI)共同制定,旨在取代先前的「基因與保險之協定與延期實施」(Concordat and Moratorium on Genetics and Insurance)文件,並以更易於理解的方式呈現原「基因與保險之協定與延期實施」之內容。 準則中列出八項承諾,此八項承諾為ABI代表其成員議定: 承諾一:保險業者(Insurers)會公平對待要保人(applicants)。保險業者不會要求或迫使任何要保人進行預測性或診斷性基因檢測;若要保人已進行預測性基因檢測,保險業者亦不會對其作出差別待遇,除非有如下之情況。 承諾二:列入附錄一之疾病類型並超過以下金額之保單,保險業者始得要求要保人提供預測性基因檢測之結果: 人壽保險-500,000英鎊 /人。 重大疾病險-300,000英鎊 /人。 收入保障險-30,000英鎊 /年。 目前列入附錄一之類型僅有亨丁頓氏舞蹈症(Huntington’s disease)之人壽保險總額超過500,000英鎊之情形。 承諾三:保險業者不會要求要保人提供: 要保人或被保險人於承保期間所進行之預測性基因檢測結果。 非為要保人或被保險人本人(如要保人或被保險人血親)之預測性基因檢測結果。 於科學研究背景下獲得之要保人或被保險人預測性基因檢測結果。 承諾四:若保險業者基於承諾二之規定要求要保人提供預測性基因檢測結果,亦不會針對該結果制定過於苛刻(disproportionate)的條款或條件。 承諾五:保險業者須於要保人簽約前提供明確之訊息,以說明: 根據本準則,要保人在何種情況下必須或無須提供相關預測性基因檢測結果。 若要保人自願提供對其有利的預測性基因檢測結果,保險決策將如何被影響。 承諾六:若要保人基於意外或自願向保險業者提供預測性基因檢測結果,保險業者可考量要保人之利益調整保單內容;若檢測結果對要保人不利,除非符合承諾二之情形,否則保險業者將忽略該檢測結果。 承諾七:販售人壽保險、重大疾病或收入保障保險之保險業者將: 每年向ABI報告其遵守本準則之情況。 根據本準則問答部分之詳細資訊,建立投訴程序(complaints procedure)。 每年向ABI報告與本準則運作上相關之投訴情形。 承諾八:販售人壽保險、重大疾病或收入保障保險之保險業者將指定至少一名經培訓之基因核保人(Nominate Genetics Underwriter, NGU),負責與遺傳資訊(genetic information)及遵守本準則相關之事項,且NGU之人數應與業務規模成比例。
日本智慧財產推進計畫2015分析(上)日本智慧財產推進計畫2015分析(上) 資策會科技法律研究所 法律研究員 蘇彥彰 104年08月26日 日本智慧財產戰略本部於今年6月19日公布了最新一期的「智慧財產推進計畫2015」[1],分析其內容,除仍以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨外,並以少子高齡化與地方經濟衰退、智財糾紛處理機制的使用狀況和便利性、以及內容產業海外拓展的潛力及對智財戰略之重要性為背景,特別提出了「推動中小企業智財活用」、「活化智財紛爭處理機制」、「推動內容產業及週邊產業整體性的海外拓展」等三項核心議題,並分別剖析各項議題其現狀課題及主管部會應努力之方向,其內容如下: 一、推動中小企業智財活用 (一)現狀與課題 日本全國目前約有385萬間中小企業,不僅對於支持日本經濟具有重要地位,同時也是產業競爭力的來源。若中小企業能發展自身的智慧財產(包括技術、品牌等),以經營策略為基礎,有效透過智財戰略的權利化、標準化、隱密化等方式,應可將智慧財產活用於商業行為中,並且成功連結地域經濟的發展。然而以2013年而言,日本中小企業之中,將所擁有之技術或知識等加以權利化,申請發明專利、新型專利或商標其中之一的企業只有約3.3萬間,不到全部中小企業總數的1%[2],可知日本目前將智慧財產活用於商業活動的中小企業非常有限。 而於2015年度的智財推進計畫中,日本依據對智財的掌握度將中小企業區分為「智財活用挑戰型」和「智財活動發展型」二類,前者是指能將自身所擁有的智慧財產和構想加以權利化後,將之活用於產品的開發、生產乃至於拓展海外市場等挑戰性活動之中小企業,後者則是指尚未擁有足以權利化之智慧財產(尤其是技術),對智財的意識尚屬薄弱,生產產品的通路和交易對象偏向固定,多半處於承攬者地位之中小企業。 關於強化中小企業智財戰略的作法,就「智財活用挑戰型」之中小企業而言,有鑑於對於非都會區之中小企業,能從智慧財產和商業經營兩個不同角度提供建言的機能,在現行體制下仍有所不足,故有必要針對如何策略性取得並活用智財,以助於事業經營之經營意識進行強化,特別是思維上應不侷限於申請並取得專利權,而是針對關於權利化、標準化、隱密化進全面性強化輔導的專門體系實為重點;另就「智財活動發展型」之中小企業而言,則將重點置於利用各種可能機會,協助喚起其對智財的認知及意識,特別是對金融機構等中小企業的相關事業人員進行智財啟發。 另一方面,關於對非都會區十分重要的農林水產領域,隨著近年來全球化和資訊化的高度發展,日本認為除需要對於仿冒品和技術外流提出對應作法外,也有必要活用2015年6月開始採用的「地理標示保護制度」[3],以提高品牌價值、強化產業國際競爭力並活化地方經濟。 (二)今後施政方向 日本根據上述的現狀與課題,為強化中小企業等的智財戰略,同時促進大企業、大學和地方中小企業合作活用其智財,指示各主管部會應著手推動下列的施政方向: 1.強化地方中小企業智財戰略: 強化在各個都道府縣的支援據點數量,並且進行諮商體制及支援資源的強化,經由與中小企業的商業活動相關諮詢,發掘中小企業中與智慧財產相關的潛在需求,並且進一步透過智財綜合支援窗口,促進地域性中小企業活用自身之智慧財產,例如將其設計、品牌與活化產業或地域資源連結加以活用,提高中小企業所具有之無形資產之「能見度」,創造高附加價值的產品。 2.強化地方中小企業、大企業以及大學之智慧財產互助: 充實開放專利資料庫,使企業、大學、研究機關等之開放專利可直接透過網路進行整體性檢索,並在各地方行政機關配置支援人力,協助大企業將其所保有但未能有效利用之智慧財產(例如所謂之「休眠專利」),透過相對缺乏外部知識和技術等經營資源,但有意願接受技術移轉之中小企業進行事業化,以達成智財的有效活用;另針對大學與企業間共同研發情形進行調查,了解包括共同研發的專利申請型態、運用狀況和契約實務,以檢討共同研發之專利申請和契約內容的處理方式妥適性,進而從促進大學智財活用目標,以及兼顧中小企業、大企業、大學等個別需求和立場觀點下,設計具有彈性、可有效應用於在大學和企業間的契約內容。 3.推動農林水產領域智財戰略: 為推進農林水產領域的品牌化,在對於新導入的「地理標示保護制度」進行徹底宣導時,也應一併針對與地域品牌戰略有關的「地域團體商標制度」[4]間的選擇/搭配進行介紹,促進兩項制度的實際運用;對於海外市場,則透過與已導入地理表示保 護制度國家間的合作,使正牌日本特產能為當地市場所熟悉,整頓日本各地農林水產品向外輸出的環境。 (三)小結 與日本類似,我國的產業結構亦以中小企業為主,依經濟部中小企業處之統計,2013年我國中小企業有133萬1182家,占全體企業97.64%,就業人數858萬8000人,亦占全國就業人口78.3%[5],足見中小企業不僅是我國經濟之命脈,更是支撐就業及分配所得的基石。 經濟部中小企業處於2013年至2014年6月間,為協助企業經營體質創新發展、創新中小企業智財價值,協助具技術創新之中小企業,進行智慧財產經濟價值及多元智財運用之評估,並輔導企業強化重視智財權及協助導入智財管理制度,以縮短研發時程及節省相關研發投入成本,已完成67家中小企業智財權之短期診斷服務、完成4家中小企業專案輔導、完成2家中小企業產品安規及檢測服務、輔導6家中小企業導入智財管理制度、為企業節省研發先期投入成本650萬元/年、帶動後續投資金額及流通運用衛生收入金額達3085萬元/年等[6],已見相當成效。 我國後續或可參考前述日本作法,除持續加強中小企業智財戰略思維外,對於中小企業與大學或大企業間之智財互助,以及製造業以外之農林水產領域智財品牌化工作投注心力,以進一步實現中小企業之智財活用目標。 [1] 〈知的財産推進計画2015〉,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku20150619.pdf(最後瀏覽日:2015/08/14) [2] 〈中小企業・地域知財支援研究会 参考資料〉,特許庁, https://www.jpo.go.jp/shiryou/toushin/kenkyukai/pdf/chusho_chizai_shien/betten.pdf(最後瀏覽日:2015/08/13) [3] 〈地理的表示保護制度(GI)〉,農林水産省,http://www.maff.go.jp/j/shokusan/gi_act/(最後瀏覽日:2015/09/02) [4] 〈地域団体商標制度〉,特許庁,https://www.jpo.go.jp/torikumi/t_torikumi/t_dantai_syouhyou.htm(最後瀏覽日:2015/09/02) [5] 〈2014中小企業白皮書〉,經濟部,頁2(2014),http://book.moeasmea.gov.tw/book/doc_detail.jsp?pub_SerialNo=2014A01203&click=2014A01203#(最後瀏覽日:2015/08/26) [6] 同前註,頁252。