美國廣告網路平台服務提供業者針對抑制網路侵權發佈作業準則

淺談個人資料跨境傳輸之管理 科技法律研究所 2013年04月03日 　　由於資訊科技與全球商務型態之快速發展，企業將個人資料為跨境處理或利用的情況已相當的普遍，例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而，企業將個人資料為跨境處理或利用時，時常因為各地法令之不一，而面臨阻礙，進而影響其商務活動的進行。我國為一海島型國家，長年倚賴國際通商，是以，有關於個人資料跨境傳輸之課題，為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明，並提出我國公務機關可能採取之作法建議。 壹、事件摘要 　　對於個人資料跨境傳輸議題的管理，涉及了多個面向的課題，其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態，其基於政治以及經濟上利益，皆致力推動與調和國際間個人資料保護原則。 　　以歐盟為例，因對於人權的尊重與個人隱私的重視，歐盟所建立的跨國個人資料傳輸規範較為嚴格，而此舉對企業為個人資料之跨境處理或利用造成困擾，阻礙個人資料的自由流動。為此，歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款，以及具有拘束力之合作規則，以克服個人資料難以自由流動之困難。另一方面，觀察APEC之個人資料保護指令的內容，可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。 　　上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行，故其作法或可為重視國際通商的我國所參考。 貳、重點說明 一、歐盟對於個人資料跨境傳輸議題的管理 （一）標準契約範本之提出 　　歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本（the Contractual Model and Standard Contractual Clauses），此標準契約範本之起草精神為，會員國簽訂標準契約後，即可不需徵求該國個人資料保護機關之准許，增進個人資料跨國傳輸之效率以及速度。雖然，此標準契約範本仍有發展空間，但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。 　　目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考，分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容，資料傳送者將個人資料傳輸至第三國時，縱使個人資料接收國已經採取合適的個人資料保護措施，個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中，2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者，而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外，亦賦予當事人更廣泛之契約求償權利，亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償，若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時，當事人可以向受個人資料進口者委託者（sub-processor）提出請求，要求就其責任範圍負擔損害賠償責任。 　　標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化，是以，該契約範本所定之要件過於嚴格又缺乏彈性，同時增加個人資料跨境傳輸之行政費用負擔，故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言，造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時，不見得會設立完整傳輸系統，時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料，而標準契約條款並無法完全因應現況，故產生難以適用之情形。 （二）共同約束條款（Binding Corporate Rules）之提出 　　如前所述，歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益，歐盟執委會增加了共同約束條款（Binding Corporate Rule, BCR）機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出，為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時，得以遵循之規則。 　　BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出，並可以更有效率地於其集團內跨境傳輸個人資料。但，BCR僅適用在組織內部跨境移轉個人資料之情形，若是不同公司、企業或組織跨國傳輸個人資料情形時，則不適用BCR。 （三）安全港協議之簽署 　　為了犯罪偵查機關執行公務之目的，政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例，二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜，同時，亦設定個人資料跨境傳輸保護之相關標準，以供歐盟及美國政府遵循之。 　　對於個人資料的保護，美國採取分散式之法律規範模式，此與歐盟各會員國之作法不同。此外，因為美國並未被歐盟執委會認定為具備充分（adequate）之個人資料保護措施地區，因此於個人資料跨境傳輸時，依歐盟個人資料保護指令，歐盟內之個人資料似不能傳輸至美國，除非符合其他例外情形。對此，為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形，美國商務部與歐盟執委會協議採取安全港架構，此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。 二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理 （一）資訊隱私開路者合作計畫之提出 　　APEC透過亞太經濟合作組織資訊隱私開路者合作計畫（APEC Data Privacy Pathfinder Projects）建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫，期能夠在符合APEC隱私保護綱領之原則下，推動APEC跨境隱私保護規則（Cross-Border Privacy Rules, CBPRs）。總結來說，開路者計劃透過設計一連串的制度，提供企業經營者得以建立其內部之跨境資料傳輸規則，並且透過認證機制（Accountability Agents）之建立，使企業得以提供消費者可信之標章。 （二）APEC跨境隱私執行機制之提出 　　為使會員經濟體間個人資料之跨境傳輸更為流通，並且調合各國因個人資料保護法令要件不同而產生扞格之情形，APEC跨境隱私執行機制（APEC Cross-Border Privacy Enforcement Arrangement, CPEA）因應而生，而目前己加入本機制之會員經濟體，包括澳洲、加拿大、香港、紐西蘭以及美國。 （三）與其他區域之合作與整合 　　APEC已開始思考除了亞太地區之個人資料跨境機制之加強外，也思考如何與其他區域之跨境隱私機制進行合作或者整合，以歐盟為例，APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和，以促進全球間之個人資料跨境傳輸。 　　2012年，APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外，也希望區域內之會員經濟體可踴躍參與跨境隱私機制。 三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理 　　經濟合作與發展組織（Organization for Economic Co-operation and Development, OECD）於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」（Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data），列出七項原則，包括： （一）通知（Notice）：當個資被收集時，應通知當事人。 （二）目的（Purpose）：資料僅得以說明之目的為使用，不得作為其他目的之使用。 （三）同意（Consent）：未獲得當事人之同意時，不得揭露當事人之資訊。 （四）安全保障（Security）：需保障被蒐集之資料被濫用。 （五）揭露（Disclosure）：當事人應被告知誰在蒐集他們的資料。 （六）查閱（access）：當事人應可查閱其個人資料並且可改正任何不精確之個人資料。 （七）責任原則（Accountability）：當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。 　　個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識，亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。 參、事件評析 　　我國目前已加入APEC跨境隱私規則機制之實驗小組，希望能透過國際參與之方式，推動個人資料跨境傳輸活動，並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此，我國企業如欲從歐盟會員國之地區接收個人資料時，必須注意援用其他之機制，例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外，我國可比照美國與歐盟間所建立之安全港模式，與歐盟會員國簽訂安全港協議，以符合歐盟隱私權保護指令之要求。 　　在國際間，我國政府除了持續參加APEC所建立之跨境傳輸機制外，對於非APEC會員經濟體之地區，建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式，建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂，可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全，亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。

　　美國舊金山監事會（San Francisco Board of Supervisors，編按：監事會是舊金山市的立法部門，性質類似議會）於2019年05月通過停止秘密監察條例（Stop Secret Surveillance Ordinance），並將其訂入行政法規（San Francisco Administrative Code）條文，包括增訂第19B章及修訂第2A.20節、第3.27節、第10.170-1節和第21.07節。根據行政法規第19B章，舊金山政府及執法機構未來將不能使用臉部辨識科技，也不能處理或利用任何自臉部辨識科技取得的資訊。 　　易言之，在公共場所安裝具備臉部辨識科技的監視器，或暗自使用臉部辨識科技尋找嫌疑犯都構成違法行為。然而，法規的修訂不代表舊金山內所有臉部辨識系統將全面停止。由於舊金山機場及港口屬美國聯邦政府管轄，不受地方政府法律所規範，仍可使用臉部辨識科技；而民眾及私人企業並非修訂條文的規範對象，亦可繼續採用。 　　此次法規的修訂引發高度關注，各界也熱烈討論。反對者表示，法規的修訂使執法機關打擊犯罪的努力付之一炬，危害民眾安全；贊成者則認為，臉部辨識科技過分侵害人民的隱私權和自由權，應對其有所限制。畢竟，臉部辨識科技並非萬無一失，尤其當受辨識者為女性或深膚色人種時，準確率往往下降許多，而有歧視的疑慮。舊金山首開先例立法，成為全美第一個限制政府使用臉部辨識科技的城市，其他城市或國家未來是否會仿效而相繼立法，值得繼續關注。

　　新加坡將從八月起發行擁有生物認證辨識晶片和更多防偽功能的電子護照。為確保新加坡人使用新護照在國外不會遇到困難，有必要進行周全的測試，從使用者的實際經驗中查知不易察覺的問題，確保新護照不會對出國者在各國出入境時造成不便。因此，新加坡移民與關卡局將從 四月二十九日 開始，讓新加坡官員和新加坡航空公司空服員率先試用。第一階段測試完成後，移民與關卡局將全面推廣電子護照，所有在今年八月以後發出的護照，都將是電子護照，取代現有的傳統護照。 　　移民與關卡局也將與夥伴國對新加坡電子護照進行測試，以便在新加坡推出電子護照時，外國的入境處判讀儀器能判讀電子護照內的資料。事實上早在今年一月，新加坡即與美國、澳洲和紐西蘭三國聯合展開三個月的電子護照測試，測試將在 五月十五日 結束。如果測試進展順利，相關國家的機場都將安裝可以判讀電子護照的儀器，蓋唯有各國都安裝相關系統配合運作，電子護照才能發揮功效。目前，美國已經確認新加坡電子護照符合美國免簽證入境第二級認證，這意味著美國國土安全部測試證實新加坡電子護照與美國的護照判讀儀器相容。此外，新加坡移民與關卡局也將持續積極參與國際民航組織會議，確保新加坡了解國際電子護照的最新發展與概況，以取得同步進展。

歐洲人權法院（European Court of Human Rights，簡稱ECtHR）於2025年4月8日就Green v. The UK案作成判決，針對國會議員發言揭露個資是否構成隱私權侵害之爭議，強調國家就衡平立法權與司法權的界線、言論自由與隱私保護等利益享有裁量權，駁回了申訴人之請求。 一、事實背景 本案起源於英國每日電訊報（Telegraph）試圖就英國零售集團Arcadia的前員工針對其董事長Philip Green的職場性騷擾與霸凌指控進行報導。先前，Arcadia及Green已與涉及相關糾紛的員工達成了和解協議，依據協議所附保密協定，員工除正當揭露（如向警察揭露犯罪）外不得洩露相關資訊。Green於Telegraph於報導前徵求當事人評論時發現資訊遭洩露，隨即向法院申請禁制令與暫時禁制令，英國上訴法院嗣後批准了暫時禁制令，認定Telegraph獲得的資訊很可能來自違反保密協定的揭露，也不認為欲報導的內容當然具備凌駕當事人可能蒙受之損害的公共利益。Telegraph最終尊重了暫時禁制令。惟隔日，一位英國上議院議員援引言論免責權，於議會發表了雖不涉及細節，但具體提及Green身分和關於其性騷擾、霸凌的指控，並提及Telegraph遭禁制報導一事。Green因此向議會申訴，認為議員違反了司法保密規則（sub judice rule）（編按：上議院曾做成決議，認除非具全國重要性，議員不得於動議、辯論或質問中論及繫屬於法院中的個案）及濫用免責權，但上議院標準專員（House of Lords Commissioner for Standards）認為司法保密規則不屬於《上議院行為準則》。Green嗣後在法院中試圖向Telegraph請求賠償，認為Telegraph應要為議員的發言負責，違反了禁制令，並要求提供線人身分。Telegraph抗辯，在議員享有免責權的前提下，法院毋庸受理本案處理其責任問題。Green向ECtHR提出申訴，主張國家對議員使用免責權揭露受禁制令約束的資訊的權力缺乏事前和事後控制，侵犯了其受歐洲人權公約（ECHR）第8條保障的私生活權。 二、法院判斷 法院認為由於受暫時禁制令保護的資訊被揭露，Green的私生活權利確實受到干預。然而，法院不認為國家違反了公約課予國家保護私生活權之積極義務（positive obligation）。核心理由在於：國家對如何履行積極義務有廣泛的裁量權，且於各國就保護方式較無共識，或涉及基本權利間之衡平時，法院尤應尊重裁量空間。 針對本案，法院認為：（1）議會中的言論自由享有較高程度的保護，對其干涉需要非常重大的理由（very weighty reasons）；（2）涉及司法權與立法權的具體界線，以及言論自由與隱私保護的利益衡量；（3）必須考量議會自治原則在多國之間有廣泛共識；（4）英國並非完全沒有針對國會議員發言的事前、事後控制措施。儘管非屬《上議院行為準則》，但上議院所做成的司法保密規則決議，仍屬一定程度的事前控制。事後來看，國會議員若確實構成濫用免責權，法院也可以判處蔑視法庭罪。 法院總結認為，基於原則上各國議會較國際法院，更適合評估限制議會行為之必要性與手段，法院要取代這個判斷須要非常重大的理由，但本案中Green並無法成功論述這個理由存在，因此駁回Green的主張。