淺談個人資料跨境傳輸之管理

刊登期別
2013年05月01日
 

淺談個人資料跨境傳輸之管理

科技法律研究所
2013年04月03日

  由於資訊科技與全球商務型態之快速發展,企業將個人資料為跨境處理或利用的情況已相當的普遍,例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而,企業將個人資料為跨境處理或利用時,時常因為各地法令之不一,而面臨阻礙,進而影響其商務活動的進行。我國為一海島型國家,長年倚賴國際通商,是以,有關於個人資料跨境傳輸之課題,為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明,並提出我國公務機關可能採取之作法建議。

壹、事件摘要
  對於個人資料跨境傳輸議題的管理,涉及了多個面向的課題,其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態,其基於政治以及經濟上利益,皆致力推動與調和國際間個人資料保護原則。
  以歐盟為例,因對於人權的尊重與個人隱私的重視,歐盟所建立的跨國個人資料傳輸規範較為嚴格,而此舉對企業為個人資料之跨境處理或利用造成困擾,阻礙個人資料的自由流動。為此,歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款,以及具有拘束力之合作規則,以克服個人資料難以自由流動之困難。另一方面,觀察APEC之個人資料保護指令的內容,可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。
  上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行,故其作法或可為重視國際通商的我國所參考。

貳、重點說明
一、歐盟對於個人資料跨境傳輸議題的管理

(一)標準契約範本之提出
  歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本(the Contractual Model and Standard Contractual Clauses),此標準契約範本之起草精神為,會員國簽訂標準契約後,即可不需徵求該國個人資料保護機關之准許,增進個人資料跨國傳輸之效率以及速度。雖然,此標準契約範本仍有發展空間,但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。
  目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考,分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容,資料傳送者將個人資料傳輸至第三國時,縱使個人資料接收國已經採取合適的個人資料保護措施,個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中,2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者,而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外,亦賦予當事人更廣泛之契約求償權利,亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償,若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時,當事人可以向受個人資料進口者委託者(sub-processor)提出請求,要求就其責任範圍負擔損害賠償責任。
  標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化,是以,該契約範本所定之要件過於嚴格又缺乏彈性,同時增加個人資料跨境傳輸之行政費用負擔,故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言,造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時,不見得會設立完整傳輸系統,時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料,而標準契約條款並無法完全因應現況,故產生難以適用之情形。
(二)共同約束條款(Binding Corporate Rules)之提出
  如前所述,歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益,歐盟執委會增加了共同約束條款(Binding Corporate Rule, BCR)機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出,為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時,得以遵循之規則。
  BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出,並可以更有效率地於其集團內跨境傳輸個人資料。但,BCR僅適用在組織內部跨境移轉個人資料之情形,若是不同公司、企業或組織跨國傳輸個人資料情形時,則不適用BCR。
(三)安全港協議之簽署
  為了犯罪偵查機關執行公務之目的,政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例,二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜,同時,亦設定個人資料跨境傳輸保護之相關標準,以供歐盟及美國政府遵循之。
  對於個人資料的保護,美國採取分散式之法律規範模式,此與歐盟各會員國之作法不同。此外,因為美國並未被歐盟執委會認定為具備充分(adequate)之個人資料保護措施地區,因此於個人資料跨境傳輸時,依歐盟個人資料保護指令,歐盟內之個人資料似不能傳輸至美國,除非符合其他例外情形。對此,為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形,美國商務部與歐盟執委會協議採取安全港架構,此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。

二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理
(一)資訊隱私開路者合作計畫之提出
  APEC透過亞太經濟合作組織資訊隱私開路者合作計畫(APEC Data Privacy Pathfinder Projects)建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫,期能夠在符合APEC隱私保護綱領之原則下,推動APEC跨境隱私保護規則(Cross-Border Privacy Rules, CBPRs)。總結來說,開路者計劃透過設計一連串的制度,提供企業經營者得以建立其內部之跨境資料傳輸規則,並且透過認證機制(Accountability Agents)之建立,使企業得以提供消費者可信之標章。
(二)APEC跨境隱私執行機制之提出
  為使會員經濟體間個人資料之跨境傳輸更為流通,並且調合各國因個人資料保護法令要件不同而產生扞格之情形,APEC跨境隱私執行機制(APEC Cross-Border Privacy Enforcement Arrangement, CPEA)因應而生,而目前己加入本機制之會員經濟體,包括澳洲、加拿大、香港、紐西蘭以及美國。
(三)與其他區域之合作與整合
  APEC已開始思考除了亞太地區之個人資料跨境機制之加強外,也思考如何與其他區域之跨境隱私機制進行合作或者整合,以歐盟為例,APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和,以促進全球間之個人資料跨境傳輸。
  2012年,APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外,也希望區域內之會員經濟體可踴躍參與跨境隱私機制。

三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理
  經濟合作與發展組織(Organization for Economic Co-operation and Development, OECD)於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」(Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data),列出七項原則,包括:
(一)通知(Notice):當個資被收集時,應通知當事人。
(二)目的(Purpose):資料僅得以說明之目的為使用,不得作為其他目的之使用。
(三)同意(Consent):未獲得當事人之同意時,不得揭露當事人之資訊。
(四)安全保障(Security):需保障被蒐集之資料被濫用。
(五)揭露(Disclosure):當事人應被告知誰在蒐集他們的資料。
(六)查閱(access):當事人應可查閱其個人資料並且可改正任何不精確之個人資料。
(七)責任原則(Accountability):當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。
  個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識,亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。

參、事件評析
  我國目前已加入APEC跨境隱私規則機制之實驗小組,希望能透過國際參與之方式,推動個人資料跨境傳輸活動,並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此,我國企業如欲從歐盟會員國之地區接收個人資料時,必須注意援用其他之機制,例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外,我國可比照美國與歐盟間所建立之安全港模式,與歐盟會員國簽訂安全港協議,以符合歐盟隱私權保護指令之要求。
  在國際間,我國政府除了持續參加APEC所建立之跨境傳輸機制外,對於非APEC會員經濟體之地區,建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式,建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂,可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全,亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。

※ 淺談個人資料跨境傳輸之管理, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6084&no=86&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
美國普及服務再革新—由醫療照護服務主導的寬頻佈建計畫

  從2006年開始,FCC所推出的「偏遠地區醫療照護領航計畫」 (Rural Health Care Pilot Programs),扶植其國內50個不同的醫療照護寬頻網路。此計畫不僅強化了美國對於遠距醫療照護技術的需求,更被寄望發展成為一高效能之寬頻服務。而計畫中「聯盟」 (consortium-focused)的概念,更促進了城鄉醫療團隊的合作(rural-urban collaboration)。除了減低申請普及服務補助時所需花費之行政成本外,更提升了醫療業者購買所需頻寬時的議價地位。   不過美國政府並不以此為滿足,為進一步改善整體計畫的實施效益, FCC於2012年12月再次針對醫療照護普及服務進行新階段的革新,並提出「醫療照護網路基金」 (Healthcare Connect Fund),以取代原有之領航計畫(Pilot Program)。「醫療照護網路基金」規劃的目的,在於提供計畫參與者更多的彈性,以規劃其本身的網路。業者可透過購買所需之寬頻服務、自行佈建寬頻基礎建設或混合上述兩種方式,取得所需之頻寬。不過FCC亦訂定資格限制以及審查機制。目前僅有具備一定經濟規模的醫療聯盟,可自行佈建寬頻基礎建設,獨立醫療業者並不具佈建之資格。另外,FCC亦要求醫療業者須提出詳細證明,以供主管機關審查。審查文件中需證實所得頻寬資源,是透過公正的招標機制後,所採行最具成本效益之決定。   普及服務的延伸就如同規劃渠道,將水源引向一片匱乏與困境的孤島。美國在面對偏遠地區醫療資源的匱乏,以及該地醫療業者的困境時,運用寬頻網路來傳遞病患所需的服務,也透過城鄉醫療業者的結盟,讓城市醫療團隊所發展的技術,得以與偏遠地區藉提供服務後所得的實證資料,透過網路互通流通,甚至允許醫療業者佈建基礎寬頻建設,以提供更完善的服務。普及服務的概念,不應該偏離電信基礎建設的佈建,但更上一層樓的是以滿足人民基礎生存權利之必須所主導的概念。

美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理

  美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。   本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

日本《外包法》

  日本外包法,正式名稱為外包價金給付遲延等防止法(下請代金支払遅延等防止法,又簡稱下請法),其制定目的在於確保大型企業外包其業務予中小型企業時之交易公正性,防止外包業者濫用其相對於承包業者之優勢地位,並保護承包之小型業者的利益,而該法的主管機關為公平交易委員會(公正取引委員会)。   依該法規定,於以下情形有本法之適用:(1)業者發包委託承包業者製造、修理物品與委託承包商提供該法授權行政命令訂定列舉的資訊成果產品(製作程式)或服務(運送、將貨品保管在倉庫、資訊處理),且發包之大型企業資本額 3億日圓以上、承包之小型企業資本額3億日圓以下,或發包企業資本額於3億元以下1000萬日圓以上、承包企業資本額在1000萬日圓以下時;或(2)業者發包委託承包業者作成非屬上述行政命令所列舉之資訊成果產品(如製作電視節目或廣告、設計商品、產品之使用說明書等)、或提供非屬行政命令列舉之服務(如維修建物或機械、提供客服中心服務等),且發包業者資本額5000萬日圓以上、承包業者資本額在5000萬日圓以下,或發包業者資本額在5000萬日圓以下1000萬日圓以上、承包業者資本額於1000萬日圓以下。   符合上開法定要件時,發包業者應訂定契約價金之給付期日,不得遲延給付價金,若給付遲延則有義務支付遲延之利息等,同時禁止發包業者拒絕受領承包業者交付的履約標的,禁止無故減少契約價金、退貨、或對承包業者採取報復性措施。若發包業者違反上述規定,則由日本中小企業廳或該發包業者之事業主管機關請求日本公平交易委員會(公正取引委員会)採取相應措施,該會則得據此針對該違反行為向發包業者作出書面勸告,同時對外公開該發包業者之公司名稱、其違反行為之事實概要、以及勸告內容的概要。此外,為防止口頭約定造成日後衍生交易糾紛,發包業者於下單時,應以書面明確約定並記載例如承包業者的履約標的、契約價金數額等法定應記載事項,並在下單後立即交付該書面予承包業者,如違反,得對該發包業者課予50萬日圓以下罰金。

OFCOM將重新檢討商業廣播電視節目贊助規定

  英國廣播電視主管機關OFCOM於今年十月下旬公布,其將修酌廣播電視規則(Broadcasting Code),放寬商業廣播電視節目/頻道贊助規定。   現行的廣播電視規則禁止特定類型的節目接受贊助,例如新聞和時事節目不得接受贊助,也禁止特定種類之商品或服務廠商贊助特定節目,例如禁止酒商贊助兒童節目。   OFCOM表示將修酌現行規定,放寬節目/頻道贊助之規定,惟在兼顧節目編輯權以及兒童閱聽人之收視權益的考量下,將訂定相關的節目/頻道贊助限制,包括     1.必須使閱聽人知道節目有接受贊助,贊助廠商之資訊必須與節目和廣告內容所有區隔。     2.頻道贊助廠商之資訊不得出現於禁止接受贊助之節目內容中或播放時間之前、後。     3.贊助廠商資訊之呈現不得過於明顯。     4.節目頻道不得以贊助廠商之名稱命名。

TOP