美國專利商標局更新專利標的適格性暫行準則

淺談個人資料跨境傳輸之管理 科技法律研究所 2013年04月03日 　　由於資訊科技與全球商務型態之快速發展，企業將個人資料為跨境處理或利用的情況已相當的普遍，例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而，企業將個人資料為跨境處理或利用時，時常因為各地法令之不一，而面臨阻礙，進而影響其商務活動的進行。我國為一海島型國家，長年倚賴國際通商，是以，有關於個人資料跨境傳輸之課題，為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明，並提出我國公務機關可能採取之作法建議。 壹、事件摘要 　　對於個人資料跨境傳輸議題的管理，涉及了多個面向的課題，其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態，其基於政治以及經濟上利益，皆致力推動與調和國際間個人資料保護原則。 　　以歐盟為例，因對於人權的尊重與個人隱私的重視，歐盟所建立的跨國個人資料傳輸規範較為嚴格，而此舉對企業為個人資料之跨境處理或利用造成困擾，阻礙個人資料的自由流動。為此，歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款，以及具有拘束力之合作規則，以克服個人資料難以自由流動之困難。另一方面，觀察APEC之個人資料保護指令的內容，可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。 　　上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行，故其作法或可為重視國際通商的我國所參考。 貳、重點說明 一、歐盟對於個人資料跨境傳輸議題的管理 （一）標準契約範本之提出 　　歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本（the Contractual Model and Standard Contractual Clauses），此標準契約範本之起草精神為，會員國簽訂標準契約後，即可不需徵求該國個人資料保護機關之准許，增進個人資料跨國傳輸之效率以及速度。雖然，此標準契約範本仍有發展空間，但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。 　　目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考，分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容，資料傳送者將個人資料傳輸至第三國時，縱使個人資料接收國已經採取合適的個人資料保護措施，個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中，2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者，而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外，亦賦予當事人更廣泛之契約求償權利，亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償，若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時，當事人可以向受個人資料進口者委託者（sub-processor）提出請求，要求就其責任範圍負擔損害賠償責任。 　　標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化，是以，該契約範本所定之要件過於嚴格又缺乏彈性，同時增加個人資料跨境傳輸之行政費用負擔，故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言，造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時，不見得會設立完整傳輸系統，時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料，而標準契約條款並無法完全因應現況，故產生難以適用之情形。 （二）共同約束條款（Binding Corporate Rules）之提出 　　如前所述，歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益，歐盟執委會增加了共同約束條款（Binding Corporate Rule, BCR）機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出，為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時，得以遵循之規則。 　　BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出，並可以更有效率地於其集團內跨境傳輸個人資料。但，BCR僅適用在組織內部跨境移轉個人資料之情形，若是不同公司、企業或組織跨國傳輸個人資料情形時，則不適用BCR。 （三）安全港協議之簽署 　　為了犯罪偵查機關執行公務之目的，政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例，二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜，同時，亦設定個人資料跨境傳輸保護之相關標準，以供歐盟及美國政府遵循之。 　　對於個人資料的保護，美國採取分散式之法律規範模式，此與歐盟各會員國之作法不同。此外，因為美國並未被歐盟執委會認定為具備充分（adequate）之個人資料保護措施地區，因此於個人資料跨境傳輸時，依歐盟個人資料保護指令，歐盟內之個人資料似不能傳輸至美國，除非符合其他例外情形。對此，為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形，美國商務部與歐盟執委會協議採取安全港架構，此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。 二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理 （一）資訊隱私開路者合作計畫之提出 　　APEC透過亞太經濟合作組織資訊隱私開路者合作計畫（APEC Data Privacy Pathfinder Projects）建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫，期能夠在符合APEC隱私保護綱領之原則下，推動APEC跨境隱私保護規則（Cross-Border Privacy Rules, CBPRs）。總結來說，開路者計劃透過設計一連串的制度，提供企業經營者得以建立其內部之跨境資料傳輸規則，並且透過認證機制（Accountability Agents）之建立，使企業得以提供消費者可信之標章。 （二）APEC跨境隱私執行機制之提出 　　為使會員經濟體間個人資料之跨境傳輸更為流通，並且調合各國因個人資料保護法令要件不同而產生扞格之情形，APEC跨境隱私執行機制（APEC Cross-Border Privacy Enforcement Arrangement, CPEA）因應而生，而目前己加入本機制之會員經濟體，包括澳洲、加拿大、香港、紐西蘭以及美國。 （三）與其他區域之合作與整合 　　APEC已開始思考除了亞太地區之個人資料跨境機制之加強外，也思考如何與其他區域之跨境隱私機制進行合作或者整合，以歐盟為例，APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和，以促進全球間之個人資料跨境傳輸。 　　2012年，APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外，也希望區域內之會員經濟體可踴躍參與跨境隱私機制。 三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理 　　經濟合作與發展組織（Organization for Economic Co-operation and Development, OECD）於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」（Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data），列出七項原則，包括： （一）通知（Notice）：當個資被收集時，應通知當事人。 （二）目的（Purpose）：資料僅得以說明之目的為使用，不得作為其他目的之使用。 （三）同意（Consent）：未獲得當事人之同意時，不得揭露當事人之資訊。 （四）安全保障（Security）：需保障被蒐集之資料被濫用。 （五）揭露（Disclosure）：當事人應被告知誰在蒐集他們的資料。 （六）查閱（access）：當事人應可查閱其個人資料並且可改正任何不精確之個人資料。 （七）責任原則（Accountability）：當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。 　　個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識，亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。 參、事件評析 　　我國目前已加入APEC跨境隱私規則機制之實驗小組，希望能透過國際參與之方式，推動個人資料跨境傳輸活動，並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此，我國企業如欲從歐盟會員國之地區接收個人資料時，必須注意援用其他之機制，例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外，我國可比照美國與歐盟間所建立之安全港模式，與歐盟會員國簽訂安全港協議，以符合歐盟隱私權保護指令之要求。 　　在國際間，我國政府除了持續參加APEC所建立之跨境傳輸機制外，對於非APEC會員經濟體之地區，建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式，建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂，可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全，亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。

　　美國加州於2019年9月通過AB-5法案（Assembly Bill No. 5），預計於2020年1月正式施行，本法目的在於強化零工經濟下非典型勞務提供者（如平台外送員）的權益保護，於加州現行勞動法令之基礎上，增訂關於各類勞務提供者之特別規定。 　　依本法主要規範，係推定替雇主（hirer）提供服務的工作者為僱傭契約關係下之僱員（employee），就最低工資、失業保險、勞災、醫療保險等面向，業者應對這些工作者提供等同受僱人之相關權益及保障；若要被例外認定為非成立僱傭關係之獨立承包商，則必須滿足不受公司於工作方面的控制指示、從事與公司通常業務範圍無關之業務、以及有實質接案自由等三要件，並要求業者應以上列標準判定其勞務提供者為僱員或獨立承包商，同時需於例外認定為獨立承包商時提出相關證明。 　　同時，本法亦考量到施行後其效力對既有營業形態之衝擊，分別採取以下措施： 針對例如派報員、商業捕撈（commercial fishermen）等業別，於本法正式施行後一定期間內，豁免前述列舉之特定領域勞務提供者適用本法來認定其與業者間的契約關係。亦即，在法案生效後的短期內，特定業者暫時不需適用該法所定要件來檢視與勞務提供者間之契約關係，避免本法貿然實施可能導致其無法經營日常業務的困境。 對於醫療保健專業人員、持有牌照之律師、建築師、會計師、證券經紀商等法明文列舉之特定職業，排除適用本法判定勞動關係的特別規定，而非暫時豁免適用。

　　日本國土交通省（国土交通省）於2021年6月25日公布「無人機載運貨物指引2.0」（ドローンを活用した荷物等配送に関するガイドラインVer.2.0）。2021年3月公布之「無人機載運貨物指引1.0（法令編）」（ドローンを活用した荷物等配送に関するガイドラインVer.1.0（法令編））係針對涉及之相關法令進行彙整，而本次則聚焦於應用方面進行詳細說明。 　　本指引首先於第一編指出，在引進物流無人機前，業者應先盤點該地區存在的課題，並確認無人機是否能有效解決該問題，接著嘗試提出具體解決方案，如拉長無人機飛行距離、增加使用次數，或建立可多次往返的飛行航道以增加使用頻率等。在初步確立無人機業務藍圖後，業者尚須設定物流無人機服務之目標受眾，並聯繫可提供貨物之商店及無人機業者，著手建立相關服務之運作模式。此外，為順利推動物流無人機服務，還需提高民眾對物流無人機之社會接受度，以獲得當地居民的理解及支持。最後，為確保飛航安全，業者除遵守本指引第二編所列相關法令飛行外，亦應制定安全飛行操作手冊，審慎評估起降地點之安全性，並建立一套安全管理系統。

　　為了落實提供高速、穩定的寬頻服務，新加坡資訊通訊發展管理局（IDA）今( 2013)年4月針對新建物，修訂「建築物資通訊設施實施條例」(Code of Practice for Info-Communication Facilities in Buildings)，以加速家庭寬頻網路發展，滿足新興服務之所需。 　　本條例以光纖普及為前提，賦予新建物開發商或是業者諸多義務，以「用戶需要開放項目」與「限制建物內空間技術」最為重要。所謂的「用戶需要開放項目」，是指開發商或是屋主須讓新建物具有6項基礎設施，包括：(1)引進管(Lead-in pipes)、地下管(Underground pipes)與人手孔(Manholes)；(2)電信主配線箱(Main Distributor Frame, MDF)；(3)電信設備機房(Telecommunication Equipment Room, TER )；(4) 行動通訊布放室(Mobile Deployment Space，MDS)；(5)電信櫃豎版(Telecommunication risers)；(6)寬頻同軸電纜系統(a Broadband coaxial cable system)或具有光纖電纜(Optical Fibre Cable)等級之終端點。其中，第六項是要求開發商與擁有者鋪設線路範圍，包含現有道路至電信主配線箱之管道，且其線路等級必須是同軸電纜或光纖以上，以確保屋內終端線路皆得以承載100M以上速率。至於，「限制建物內空間技術」，是指屋內配線至家中客廳與每個房間，應鋪設同軸電纜或是非屏蔽雙絞線(六類以上)，使民眾能無所不在享受快速網路之便利。 　　除上述固網建設規範外，為了達成行動寬頻戶外覆蓋率99%、室內覆蓋率85%之規定，本條例亦要求開發商或擁有者須無償提供電信業者行動通訊佈放室。雖然，MDS的大小視行動寬頻涵蓋範圍與發展大小而定，最小的行動通訊發展室範圍是18平方米。不過，本條例允許MDS可不必是一個連續的空間，以兼顧開發商與擁有者對新建物空間之規劃。本草案落實後，預計不僅可減少電信商租賃放置基地台之成本外，亦可解決與管理委員會或業者交涉之時間，讓電信商能更為迅速完成行動寬頻覆蓋率。 　　IDA預計本條例實施後，將可達成「下一代國家資通訊基礎建設發展計畫」中，規劃2015年光纖覆蓋率100%、提供民眾1Gbps固網速度之理想，使新加光纖覆蓋率可達到95%。