歐盟GDPR保護適足性審核與因應作為
歐盟GDPR保護適足性審核與因應作為
資訊工業策進會科技法律研究所
法律研究員 吳柏凭
2018年04月10日
壹、事件摘要
歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1],對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速,網際網路與各項應用興起,既有歐盟個人資料保護指令面對這些變化已經難以為繼,歐盟執委會(European Commission) 出新的資料保護規則(General Data Protection Regulation, GDPR),於2016年4月27日通過,5月4日公布,正式成為歐盟第2016/679號規則(Regulation (EU) 2016/679)[2]。由於歐盟原則上禁止個人資料跨境傳輸,只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸,因此如何獲得歐盟保護適足性認可,就成為能否跨境傳輸歐盟個資的關鍵。
貳、重點說明
一、個人資料保護指令保護適足性審查規定
1995年的個人資料保護指令,就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中,對於保護適足性的審查,包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等,透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準,則依照第29條規定資料保護工作小組(Article 29 Data Protection Working Party)的指導文件[5],其中對於法律規範審查,除了內容外,更重視個資保護的執行面。
二、GDPR保護適足性審查規定
GDPR延續了個人資料保護指令的規定,原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定,適足性的評估包括以下要素:
- 法治、對人權與基本自由之尊重、一般與部門之相關立法,包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。
- 有一個或以上獨立監管機關之存在及有效運作,或對象為國際組織時,確保及執行資料保護規則之遵守,包括充足之執行權,以協助及建議資料主體行使其權利,並與會員國之監管機關合作;
- 個人資料向其他第三國或國際組織進一步移轉,該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟;第三國或國際組織所加入之國際協定,或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務,尤其關於個人資料保護者。
以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化,同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定,填補原本個人資料保護指令的漏洞。
三、保護適足性認可程序與現況
保護適足性認可的程序[7]為:
- 來自歐盟執委會的提案。
- 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。
- 得到歐盟各國代表的承認。
- 歐盟執委會合意認可。
縱然取得認可,之後也會每四年檢驗一次[8],如果被判定不具保護適足性,則仍會取消原本的認可[9]。
現階段已通過保護適足性審核的國家地區包括:安道爾、阿根廷、加拿大(民間機構)、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭,另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。
參、事件評析
(一)保護適足性認可的效益
除了取得適足性認可外,個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC);2.拘束企業準則(Binding Corporate Rules, BCR);或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本,減輕企業負擔,同時也有助於整體產業突破歐盟貿易壁壘。
(二)通過保護適足性審核的困難
雖然現行通過適足性審核的國家地區有11個,惟需注意的是,根西島、馬恩島、以及澤西島都是英國屬地,法羅群島是丹麥屬地,而安道爾和瑞士都是在歐洲境內,這些國家地區的法規範本來就與歐盟差距不大,加上美國及加拿大國家本身不被認可具適足性,實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間,因此也不能作為短期的因應措施。
此外,在要件方面,規範上雖然我國個資保護規範與GDPR未有極大歧異,但只要存有差異,要取得認可就有極高困難度,這些都需要與歐盟執委會溝通。而在監管機關要求方面,雖然沒有要求單一機關,但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準,但在歐盟法院判決中,有因為德國的州對州層級的資料監管機關進行調查的權力,而被認為不具獨立性[11]。
(三)通過適足性審核的具體作為
以日本為例,為了取得歐盟適足性認可,在2015年9月就其個人資料保護法(個人情報保護法)進行修正,其中設立個人資料保護委員會(個人情報保護委員会)即是為了符合適足性要求中「獨立監管機關」規定,而第24條跨境傳輸的規定更是重要。
日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12],同時在2017年發出共同聲明[13]。在不修正法律的狀況下,日本個人資料保護委員會頒布一指導方針來消除差異,並於於2018年2月9日先揭示調適方向[14],包括:
- 將歐盟視為敏感性個人資料而日本未明文規定者,解釋上一律視為敏感性個人資料。
- 歐盟不管個人資料保管期間,一律可以主張權利,而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資,不管保管期限一律許其主張權利。
- 對歐盟跨境傳輸的個資將要求揭露特定利用目的。
- 對於歐盟跨境傳輸的個資再移轉,必需要透過契約等規制,確保資料受保護水準。
- 關於歐盟跨境傳輸的個資,在去識別化一定要確認無法再識別,以與歐盟去識別化資料定義相符。
肆、結語
歐盟GDPR已施行在即,如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰,更是跨越歐盟貿易壁壘的重要關鍵,而在眾多例外許可跨境傳輸的方法中,又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高,但仍有許多能努力的空間,目前我國也著手申請適足性認可的準備,未來能得到何種程度的回應,值得後續觀察。
[1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data.
[2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018).
[3] Data Protection Directive, art. 25(1).
[4] Data Protection Directive, art. 25(2).
[5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998.
[6] General Data Protection Regulation, art. 45.
[7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018).
[8] General Data Protection Regulation, art. 45(3).
[9] General Data Protection Regulation, art. 45(5).
[10] General Data Protection Regulation, art. 46.
[11]European Commission v. Federal Republic of Germany(C-518/07).
[12]個人情報保護委員会,個人情報保護委員会の国際的な取組について,https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018).
[13]JETRO,個人データ保護の「十分性認可」取得の好機に-日EU首脳が共同声明-,https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018).
[14]個人情報保護委員会,EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ,https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳柏凭
法律研究員 編譯整理
日本電信事業個人資料保護指針(電気通信事業における個人情報保護に関するガイドライン)自2011年修訂後至今即未有任何改變。然而,隨著現代行動通信軟硬設備技術的進步,智慧型手機中已有許多應用程式可透過GPS衛星定位功能準確獲取使用者之位置資訊,倘若司法機關也能於搜查辦案過程即時取得此定位資訊,將可提高偵查效率並縮短破案時程。 為此,日本總務省擬將原先須事先通知行動設備使用人與獲得法院令狀後,方得利用GPS衛星定位獲取位置資訊之電信事業個人資料保護指針第26條修訂為司法機關取得法院令狀後,即可利用GPS衛星定位獲取行動設備使用人位置訊息。 然此項修訂除將可能造成行動通訊業者營運上的額外負擔之外,亦有侵害設備使用者之個人隱私與個人資料疑慮。因此,為了抑止濫為偵查,法院令狀之發出須有其必要性,搜查機關亦必須向行動通訊業者為必要性之說明。 再者,此項利用GPS衛星定位獲取位置訊息之方式也僅限於使用Android系統設備且將定位功能開啟之使用者,對於使用Apple iOS系統設備之使用者則不但須使用者開啟定位功能,還須經過美商蘋果公司同意方能取得亦是一項難題。 日本總務省已於2015年4月17日發布此項法令修訂訊息並徵詢公眾意見,預計於6月完成修法並公布之。
授權合約不公 飛利浦挨罰600萬公平交易委員會於上( 4 )個月 20 日對巨擘等三家光碟廠商檢舉荷蘭商菲利浦電子公司專利授權合約不公一案做成決議,飛利浦的 CD-R 專利技術授權合約,要求被授權人提供「製造設備清冊」及「書面銷售報告」,已足以影響交易秩序、顯失公平行為,違反公平交易法第 24 條規定,處新台幣 600 萬元罰鍰。這是公平會對飛利浦的 CD-R 光碟專利授權行為,作成的第二件處分案,第一件為飛利浦、 日本 新力及日商太陽誘電被檢舉,在台的 CD-R 光碟片產品專利授權行為,違反聯合行為的規定,飛利浦被處新台幣 800 萬元罰鍰,該案目前仍在行政訴訟中。 公平會認為,飛利浦與新力公司共同制定 CD-R 光碟片技術規格書,國內光碟廠商如生產符合「橘皮書」規格的 CD-R ,必須取得飛利浦專利授權,在 CD-R 專利授權的締約過程中,飛利浦具有相對優勢地位。飛利浦並在授權合約要求被授權人,提供「製造設備清冊」及「書面銷售報告」,內容涉及被授權人的產能利用率、產量、客戶名單及個別客戶交易量等重要資訊;但這些資料與權利金總數額的計算,並無密切相關。飛利浦除為此專利的專利權人,也授權其他製造廠商產製 CD-R 光碟片,並以 Philips 品牌從事光碟片販賣,與被授權人在市場是處於競爭地位。因此,飛利浦利用此優勢地位,取得被授權人公司經營成本的重要資訊,雙方在市場會產生不公平競爭。 飛利浦則表示,授權合約要求被授權人提供「製造設備清冊」及「書面銷售報告」,是為確認被授權人授權產品報告的正確性,這是國際授權實務上的慣例。飛利浦在合約已保證相關內容,不為合約目的外的使用,並無違法行為;該公司將循正常程序提出訴願。
英國為救受Covid-19影響之小型企業成立簡易辦理之復興貸款計畫新冠病毒業務中斷貸款計畫(CORONAVIRUS BUSINESS INTERRUPTION LOAN SCHEME,CBILS)係因應疫情於3月23日由隸屬於英國政府之英國商業銀行(British Business Bank為推動中小型企業發展之政策性銀行)所提供八成信用擔保的中小型企業紓困貸款計畫,但承辦銀行授信緩慢或不願承貸,導致成效不彰飽受批評。 英國商業銀行正視小型企業具規模小、缺少抵押物、信用不足、營業資訊不透明及缺乏與銀行間的往來紀錄之特徵,易有不易通過授信徵審,難以獲得融資紓困之問題。業於5月4日另行啟動復興貸款計畫(BOUNCE BACK LOAN SCHEME,BBLS),小型企業只需於受理該計畫之承貸銀行網站填寫1份簡易申請表,輸入公司名稱、地址、公司註冊編號、2019年之預估年營業額與銀行代碼跟帳號,即可申請承貸金額為2,000英鎊以上,最高至企業營業額之25%(上限為50,000英鎊)之六年期之小規模貸款,該貸款提供十成擔保,銀行無需進行授信評估,亦不得要求小型企業進行任何其他形式之個人擔保,BBLS開放至今僅一週,申請件數已高於CBILS。 我國中央銀行之小規模營業人簡易申貸方案以十成信用提供小額貸款,與BBLS相似,惟我國小規模營業人簡易申貸方案採取簡易評分表進行審核,評分表內仍就負責人個人信用及不動產擔保設定進行分數評比,與英國無須進行授信評估頗有差異,雖我國受疫情影響程度未如英國嚴重,但小規模營業人仍受有衝擊,兩國之小額貸款同為十成擔保,我國或可參酌英國授信放寬之作業,提供小規模營業人更寬一點、快一點、方便一點的活水挹注,使小規模營業人度過疫情難關及加速復甦。
德國民眾對奈米科技關切評估報告出爐為了瞭解德國消費者對於市面上眾多應用「奈米」科技之消費產品的想法,德國聯邦風險評估研究所(Bundesinstitut für Risikobewertung,BfR)於2007年抽樣調查一千位消費者,並於該年底公布調查結果。根據該問卷調查結果顯示,超過三分之二(66%)受訪者對於奈米科技發展持樂觀態度,並認為應該支持奈米科技的持續發展,並且認為奈米科技改善了生活品質以及其帶來的效益勝過風險。 但是,對於不同領域所應用之奈米科技,受訪者卻表現出不同的態度。因此該研究所所長Andreas Hensel認為,消費者不是依據事實為評價,而是依據「感性標準」。也就是說,他們所「感覺到」的風險在他們理解新科技時扮演重要角色。 相較於2004年所做的問卷調查,目前約有52%的受訪者聽過奈米概念,之前的調查結果只有15%。多數受訪者相信奈米可以幫助醫學領域的發展;其也相信應用奈米於顏料、漆料可提高耐刮與耐磨之能力。在紡織品領域也一樣,民眾相信防污的產品;受到民眾接受的還包括奈米科技在包裝材料以及防曬產品領域之應用。不過,對於其他化妝品卻只有53%的受訪者相信奈米的改善功能。絕大多數受訪者都拒絕將奈米科技應用於食品:69%受訪者拒絕添加「奈米」於調味料,即使奈米可以防止結塊;而就算因此可以延長食物保存期限,也有高達84%的受訪者拒絕在食物中添加奈米微粒。 多數的消費者獲取奈米科技資訊主要來自於大眾媒體,如電視、報紙、期刊與網際網路。但是他們是否相信該資訊,則取決於提供者為何,最受信賴之資訊來自於消費者組織,如消費者保護團體以及產品檢測基金會(Stiftung-Warentest)以及科學界(92%),最不受信賴的資訊則來自於經濟(32%)與政治(23%)。