歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
日本學術會議於2020年9月15日提出「邁向感染症對策與社會改革之ICT基礎建設強化和數位轉型推動」(感染症対策と社会変革に向けたICT基盤強化とデジタル変革の推進)法制建議。新冠肺炎疫情突顯出日本ICT基礎建設不足和急需數位轉型之問題,日本學術會議從「醫療系統之數位轉型」、「社會生活之數位轉型」和「資安與隱私保護」等觀點提出建議,希望能在確保資安及隱私的前提下,達到防止感染擴大與避免醫療崩壞,以及減少疫情對社會經濟影響等目標。針對「醫療系統之數位轉型」,未來應建立預防和控制感染症之綜合平台,統一地方政府感染資訊之公開內容、項目,檢討遠距醫療和數位治療法規,進行相關法制環境和基礎設施之整備;針對「社會生活之數位轉型」,日後應積極推動遠距醫療、遠距工作和遠距教育,並進行所需基礎建設、設備和人才培育之整備;針對「資安與隱私保護」,除檢討建立利用感染者個人資料,以及可知悉個人資料利用狀況之制度,亦應擴大及強化信用服務(trust service)和感染資訊共享系統等措施。
美國將針對匯流通訊服務下的網路中立概念進行檢視在數位匯流的發展下,設備與服務之應用更為多元化,越來越多電信服務使用者透過電信公司提供的無線網路,來使用網路電話服務,例如Skype、Google Voice等,以達到通話與簡訊收發的目的,也因此造成電信公司通話收益的下滑。為了因應這樣的情況,美國提供行動通話的電信公司,例如AT&T、Verizon等,都採取了若干行動來維護本身的利益,包括長期以遲延此類服務之封包為手段,阻礙網路電話之通訊效益,降低用戶的使用意願;之前AT&T專賣之iPhone手機,也被設定無法安裝Google Voice服務,限制用戶的使用方式,以降低網路電話服務對行動通信業者的衝擊。 有鑑於此類狀況將日漸增加,為了促進多元產業的良性競爭,近日美國聯邦通訊委員會(Federal Communication Commission, FCC)依據「網路中立」(Internet neutrality)的法理原則,針對AT&T的iPhone事件開始展開調查,並且計畫禁止行動通訊公司利用封包延遲的手法,來妨礙網路電話服務的提供,以確立其網路中立的立場。以目前來看,這樣的行動與計畫將嚴重打擊行動通信公司的收益,畢竟行動通信公司以客戶的通話費與簡訊費為其主要獲利來源,但是從另一方面來說,消費者可以透過Skype、Google Voice等網路電話服務,來節省其通話與簡訊費,因此FCC此項計畫獲得消費者團體的支持。FCC的計畫預計將引領未來數位匯流發展一個初步的方向,而FCC擬於十月會議中提出相關的規則草案,確定的規則公告預計會在明年春天發布。
預先擬定的事故應變計畫可降低資料外洩成本根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。 依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。 專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
馬爾他政府針對電子商務法之建議修法內容尋求公眾意見馬爾他競爭力暨通訊部 (Ministry for Competitiveness & Communications, MCMP) 部長 Censu Galea 九月二日公布了「電子商務法」建議修法內容之公開諮詢文件。部長特別強調了電子商務的重要性,尤其對地理位置孤立的島國如馬爾他,電子商務更能有效克服其競爭力上的缺憾。 馬爾他「電子商務法」 自 2002 年生效以來,該國的電子商務呈現蓬勃發展之勢,亦達到 為資訊社會鋪路之目的 。 此次修法建議欲建立一輕度但有效的管理機制,此機制不但能確保網路服務提供者切實遵循法律義務,並加強了消費者權益的保護。另外,此修法建議也計劃完整移植歐盟電子商務指令及電子簽章指令之規定。 馬爾他通訊局 (Malta Communications Authority, MCA) 身為修法建議中的主管機關,將獲授權得於法庭外調解網路服務提供者與消費者間之爭議。 該修法建議亦設計相關措施,確保在馬爾他成立的資訊社會服務提供者不受不必要的官僚體系而阻礙發展。在馬爾他設立之資訊社會服務提供者不論其在何國提供服務,都將只受馬爾他法律規範。再者,這些服務也不必經過任何形式的許可。 該修法建議亦要求網路服務提供者必須揭露基本資訊,讓客戶了解其交易對象,並維持網路交易過程一定的透明度。