什麼是「瑞典創新夥伴計畫」？

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

數位建設在數位化浪潮以及AI來臨的年代，顯得非常重要，也是世界各國重視的議題之一，歐盟於2024年2月提出了「如何掌握歐洲的數位基礎建設需求？」（WHITE PAPER How to master Europe's digital infrastructure needs?）白皮書來匯集專家意見至6月30日止。 數位基礎建設所涵範圍甚廣，包含資訊科技所有的技術系統以及網際網路等等。如果沒有這些建設，將無法順利完成數位轉型及提升競爭力，況且人工智慧以及物聯網時代的到來，正在改變全球消費者的習慣，因此落實數位基礎建設佈建具有相當之必要性。白皮書開門見山地提到數位基礎建設的諸多優點，但要完成目標，需克服許多難題。 數位基礎建設的佈建需投入大量資金，更需仰賴公私協力才可順利達標，因此難題主要圍繞在企業實力以及是否能夠有相當之吸引力，促使企業投資者以龐大的金流支援，而企業投資者之目標以獲利為原則，因此如果要吸引大量投資人進場，必須提出成功施行並獲利的案例來拋磚引玉。白皮書內也提到，歐洲境內固網行動匯流尤其光纖及5G網路覆蓋率較世界各國來的低，且歐盟因為成員國眾多，缺乏單一的市場，難統籌規範，更何況歐盟對於複雜的數位基礎建設生態中，針對參與者沒有明確規範，諸如投入電子通訊網路建置之雲端供應商其權利義務關係，使得參與者無所適從，如何去克服這些絆腳石將會是歐盟的重大挑戰。 為克服數位基礎建設的難題，白皮書建議以三個支柱作為框架，其一為打造共同連結的運算網路系統（Connected Collaborative Computing）作為歐盟經濟體的中樞神經；其二為建立單一的數位市場，整合各國市場機制並建立完善法規制度；最後為所有數位基礎建設須安全且富有韌性，否則遭到攻擊，將會威脅歐盟各國。 數位化的時代，不僅可提提升運作效能，更能促進永續發展，然而工欲善其事，必先利其器，數位基礎建設為不可少之一環，鑒於我國推動數位建設佈建也可能面臨投資誘因的難題，歐盟白皮書所提到的建議以及後續的發展，或許值得我國持續關注。

　　美國法官駁回Viacom公司對Google之影片分享網站YouTube所求償美金10億元之訴訟，這個重要的勝利潛在地強化眾多網路服務提供者所獲得之法律保護。。 　　此一判決結果並非表示這場爭執3年的法律大戲已結束，因為紐約媒體大亨Viacom立刻承諾對於這判決提起上訴。如最後此一判決是被確認，將可能使得影片創作在現今這數位時代中更難受到保護。 　　Viacom是在2007年3月對Google提起此一侵權訴訟，內容指出其電影、電視節目及其他內容被廣泛的置於YouTube網站，涉及故意侵權。Google是在2006年10月以16億5千萬買下YouTube，於本訴訟中Google以其符合數位千禧年著作權法（Digital Millennium Copyright Act)之要求，即時取下經權利人所通知後之侵權內容作為抗辯。此案因涉及數位千禧年著作權法中之安全港條款，因而被受關注。 　　美國紐約南區地方法院法官Stanton於判決中，表示數位內容之著作權保護，非取決於網路服務提供者是否監控其所提供的服務，而在於其於接獲著作權權利人通知後之反應。更進一步表示YouTube已盡其責任，2007年初在接獲Viacom通知其網站約有10萬件受著作權保護影片後，幾乎於接到通知之下一個工作天內便將這些影片取下。並且表示Viacom於本案所提出之法律論點太薄弱。不意外地，Viacom對此不悅的表示：此一判決基本上是有缺點的，並試圖訴諸於美國第二巡迴上訴法院。 　　然而，Google的法務長Kent Walker表示這是一場重要的勝利，不僅只是對Google也是對全球幾十億利用網路溝通與經驗分享的使用者，並期待將焦點集中在鼓勵毎天於全世界YouTube網站張貼並瀏覽這數量龐大且驚人的想法與創作表達。

　　繼eBay 於 今年6月4日因未制止網拍業者於eBay 網站上拍賣仿冒品被法國法院( The Tribunal de Grande Instance in Troyes)判決敗訴 、 須與網拍業者共同賠償精品業者愛瑪士 (Hermes)2萬歐元後，不到一個月的時間，另一法國法院( The Tribunal de Commerce in Paris) 於6月30日再度判定eBay因任由網拍業者拍賣仿冒物品而需賠償LVMH集團共3860萬歐元並禁止eBay在其網站上販賣LVMH集團旗下包括迪奧(Dior)、嬌蘭(Guerlain)、紀梵希(Givenchy)及Kenzo 4個品牌之香水。 　　eBay 表示為了保護品牌業者的智慧財產權，其已投資了超過2000萬美元建置相關機制(The Verified Rights Owner) 讓品牌業者可以容易的發現仿冒的網拍品並通知eBay 將該物品下架。但愛瑪士及LVMH集團皆認為該機制尚不足以杜絕仿冒品的銷售。 　　針對LVMH之判決，Vanessa Canzini, eBay 的發言人表示 “如果有仿冒品出現在eBay 的網站上， eBay會迅速地將該物品下架，但此次的判決非關仿冒品”。 Sravanthi Agrawal, eBay 的另一發言人表示 “此次判決的重點在銷售管制 (指LVMH集團企圖壟斷其銷售管道)，因eBay 並非LVMH集團所授權的銷售管道之一”。 eBay 表示LVMH集團的壟斷行為將對消費者造成傷害，將代表消費者提起上訴。 　　以上兩案經由法國法院針對拍賣網站提供平台販售仿冒品之判決結果預計將於國際間引發連鎖效應。一位美國智財律師表示美國法院目前認為在美國商標法下，eBay 有義務將仿冒品從其網站上移除。而法國法院的判決則更進一步要求拍賣網站在仿冒品被放上網站拍賣前就有義務制止其被拿出來販售。法國法院的見解如未被推翻將可能鼓勵其它國法院針對類似案件做出相同的判決結果。