歐盟將修正公部門資訊再利用（PSI）指令

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

　　美國最高法院於2010年6月28日對Bilski v. Kappos案作出5比4的拉距判決。原告Bilski為一家能源產品公司，其就一種讓買家或賣家在能源產品價格波動時，可用來保護、防止損失或規避風險的方法申請商業方法專利（Business Method Patent）。但美國商標專利局審查人員以此發明只是一種解決數學問題，而為抽象而無實體呈現的想法為理由而拒絕。經該公司於專利上訴委員會上訴無效後，繼續上訴至聯邦巡迴法院與最高法院。 　　最高法院拒絕適用前審以美國專利法第101條（35 U.S.C. §101），創造發明是否為有用的、有形的及有體的結果作為認定方法專利的標準。而最高法院多數意見係採用「機械或轉換標準」（machine or transformation test）為專利法第101條可專利性之標準，認定如果創造發明的方法能與機械器具或配件相結合或轉換為另外一種物品或型態時，即認定此方法具可專利性。惟經法院適用此標準後，仍認定原告的商業方法不具可專利性。 　　一些批評認為，目前「方法」和「轉換」等關鍵字的定義還不清楚，而該判決並沒有澄清這些爭議，甚至帶來更多的疑惑。美國律師Steven J. Frank認為，雖然最高法院的意見放寬了可專利性的標準，但是並沒有提及認定可專利性的其他標準。 　　該判決亦未明確指出商業方法究竟要符合哪些實質要件，方具有可專利性。相當多的電子商務中所使用的「方法」都有專利，最有名的大概就是亞馬遜公司的「一鍵購買（one-click）」的網路訂購方法，還有Priceline公司「反向拍賣」（reverse auction）的方法等。許多電子商務、軟體及財務金融相關業者在這個判決之後，對於商業方法的可專利性也感到相當的困惑。如果有方法專利的存在，那麼擁有這些專利的公司就可以放心了；但是，如果方法沒有可專利性，那麼對於現在擁有方法專利的權利人不啻是一個很壞的消息。是否一些比較不抽象的方法就具有可專利性，而比較抽象的方法就專利性，判定的標準又在哪裡，對此，法院並沒有加以說明，在法院明訂出更明確的標準之前，目前仍留給美國商標專利局來判定。

　　2014年2月12日，美國發表「網路安全框架(Cybersecurity Framework)」，該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成，其蒐集了全球現有的標準、指引與最佳實務作法，最後由國家標準技術局（National Institute of Standard and Technology, NIST）彙整後所提出。 　　本框架主要可分成三大部份： 1.框架核心（Framework Core） 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期，藉由這五項功能的要求項目與參考資訊的搭配運用，可使組織順利進行網路安全管理。 2. 框架實作等級（Framework Implementation Tiers） 共分成局部（Partial）、風險知悉（Risk Informed）、可重複實施（Repeatable）、合適（Adaptive）四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察，瞭解組織目前的安全防護等級。 3. 框架側寫（Framework Profile） 框架側寫係組織依照本框架實際操作後所產出的結果，可以協助組織依據其企業需求、風險容忍度，決定資源配置的優先順序，進一步調整其網路安全活動。 　　此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考，而針對已有建立網路安全架構者，該框架並未意圖取代組織原先的風險管理程序和網路安全計畫，而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。

澳大利亞國庫部（Department of the Treasury）於2023年10月11日發布《支付系統管理法》（Payment Systems（Regulation）Act 1998）修正草案，擬擴張法案適用主體，將Apple Pay、Google Pay等數位支付或提供此項支付服務事業納入規範，其目的在於提升企業的開放性及責任，並關注大型科技企業在其中扮演的角色。 本次修正案中，將修改現行支付系統的定義及適用主體，擴大至提供支付服務平臺企業，將被視為金融機構受到拘束，並授權澳大利亞準備銀行（the Reserve Bank of Australia，下稱RBA）監管數位支付平臺。修正草案內容整理如下： 1.重新定義「支付系統」。現行法定義為「透過任何形式或方式促進貨幣流通的系統」，草案則納入非貨幣（non-monetary，如數位貨幣）及提供便利支付服務的支付平臺系統。 2.擴大「參與者」定義。現行法規中參與者僅包含管理、運作支付系統的企業，草案則擴張至與支付價值鏈（payments value chain）具直接或非直接相關連之所有企業。 3.現行規範中，僅RBA在可能涉及使用者財務安全及公共利益（下述）考量時，有指定支付系統的職權，並有權監管該支付系統，包含決定新參與者的加入、訂定制度內參與者應遵守的標準及指引、對相關爭議問題進行仲裁等。修法後國庫部部長（Minister）將擁有相同權力。規範所稱之「公共利益」，指有助提升財務安全、高效率並具有競爭性，且不會導致金融體系風險增加。 4.提高法案中刑事處罰的罰金金額。現行法規授權RBA訂定支付制度之相關標準及指引，若制度內參與者未依標準或指引行事，RBA會提出要求企業為特定行為或不行為之指示，仍未依循可能會科處澳幣5,500元的罰金（約臺幣11萬3千元），修法後將提高至2倍，惟罰金之處罰權最終仍須法院審判決定。 我國針對電子支付產業有電子支付機構管理條例、金融消費者保護法規範，並要求第三方支付服務業者落實洗錢防制法規定，避免淪為洗錢或地下匯兌工具，未來可持續觀察澳大利亞及其他國家對於支付平臺議題之討論及發展趨勢，作為我國評估相應治理措施及手段參考基礎。