一、前言
網際網路(Internet)不僅改變人類社會生活的型態,也開啟經濟發展的另一個階段。由於網路基礎建設的完備與手持連網設備的普及,藉由網路而生的各種服務將傳統的經濟活動延伸至虛擬世界當中;同時經由虛擬與現實之間的整合,讓網路所產生的的經濟效益擴展至各個不同的創新應用領域。從網路經濟到數位經濟,傳統的通路、交易方式、金流及資料的運用都相應改變而產生新的模式。數位化的資料形式恰恰彰顯了數位經濟的躍進,儲存設施與資料分析,配合雲端服務、電子簽章等多元技術或服務的加入,使得資料的數位化運用呈現更多不同嶄新的樣態。創新科技發展的亦同時顯現了資料的重要性,無論是近年來所討論的人工智慧(artificial intelligence, AI)、物連網(Internet of Things, IOT)或是大數據(Big Data)都在強調資料的運用與擴散。不過也因為這些新興的運用涉及愈來愈多的個人資料,難免碰觸隱私保護的議題,也對於以資料運用為核心的各種服務產生一定的影響與衝擊。
二、個人資料跨境傳輸的限制
(一)個人資料跨境傳輸的管制模式
數位經濟除了資料的數位化外,多仰賴各式樣的雲端服務、電子商務及平台的串連,而這些服務也促成資料跨境傳輸的行為日趨頻繁。觀察世界各國對於個人資料保護之程度本有所差異,因而對於個人資料的跨境傳輸原係有不同寬嚴之對待,或基於國家安全、司法偵查、反恐或扶持產業發展等不同理由而為論述。基本上對於個人資料跨境傳輸之立場大致可區分為兩種:(1)自由立場:從資訊自由及貿易自由的角度出發,鼓勵個人資料跨境傳輸與分享;(2)限制立場:基於保護資料當事人隱私權、抵禦文化侵略、保障經濟利益及維護資訊自主等理由,限制個人資料跨境傳輸。
惟對於個人資料跨境傳輸的限制,多半還是必須基於一定公共利益或人權保障的基礎,否則仍有違反自由貿易精神之疑慮。只是目前國際間仍未有一共通的資料跨境傳輸的管理模式,伴隨著一些國家於資料在地化(data localization)[1]的明文規範,確實對於跨境資料的流動造成不利之影響,也使資料在地化的要求措施蒙上一定的保護主義色彩。
(二)歐盟一般資料保護規則
2016年4月27日歐盟通過「一般資料保護規則」(General Data Protection Regulation, GDPR),並訂於兩年後,即今(2018)年5月25日正式生效。該規則取代1995年資料保護指令(Directive 95/46/EC),直接對各會員國發生拘束的效力,並具有統一會員國之個人資料保護規範之意旨。歐盟新的個資保護規則擴張了適用的範圍、強化個資當事人的權利、強化告知及同意之規範、調整蒐集、處理與利用之要件並增加資料控管者及使用者之義務,整體而言強化了對個資保護的力度。但其對於前述之跨境服務貿易產生重大影響的莫過於對於個人資料的跨境傳輸採取原則禁止,例外允許之做法。
歐盟一般資料保護規則在第五章以下就允許個人資料跨境傳輸所訂定的原則包括:必須基於充足保護程度(adequate level of protection)決定之移轉,及必須遵守適當保護措施之移轉。除非係歐盟執委會認定傳輸的目的國家或國際組織對於個人資料有充足的保護程度[2],否則資料控管者須另外提供適當保護措施,包含:採取標準契約條款(standard contractual clauses, SCCs)、企業自我拘束規則(Binding Corporate Rules, BCRs)、行為守則(code of conduct)及通過其所認可之驗證(certification)等。簡言之,歐盟除了特定的例外條件,原則上涉及歐盟公民之個人資料的傳輸,僅能於可允許之清單國家內進行跨境資料的傳輸,或以符合上述的四種特別規定為之。
歐盟在新的一般資料保護規則中對跨境傳輸的規定確實完整保護了歐盟會員國人民之資料,但由於多數的非歐盟國家是否具備歐盟所認定的充足保護程度[3]本有釐清與討論之空間,此種管制風險勢必造成國際貿易中對於資料傳輸的一定障礙。
三、數位貿易與跨境資料的傳輸
在自由貿易與全球化的發展過程中,跨國商業模式的服務提供與相關資料的流動已經成為數位貿易之基礎。如前所述,數位經濟的推動必須借助於資料的多元利用,無論係服務貿易的何種模式,都會有跨境資料流動的問題。易言之,各類服務提供者將所蒐集之個人資料於各國間的流動不但普遍,而且已成為跨國服務的必備要素。
惟由於商業服務或多或少皆有可能涉及個人資料之蒐集與利用,各國不同之個人資料保護法制似已形成個人資料跨境流動的隱性障礙,相較於其它貿易障礙議題,各國對於跨境個人資料保護尚無法取得一致性的共識。故世界各國多有以雙邊關係的加強協商,甚而以自由貿易協定等方式,希冀能對個人資料保護等制度進行調和,避免資料跨境傳輸規範的不確定性。期能在促進個人資料跨境流動之效益下,兼顧個人資料之保護。
(一)USMCA之數位貿易規範
在2018年10月所簽訂的新版《美國-墨西哥-加拿大協定》(United States-Mexico-Canada Agreement, USMCA)[4]中除了原本跨境服務貿易的章節外,另針對數位貿易(digital trade)制訂專章。在該章節中,除了禁止對於數位產品(電腦程式、文字、影片、圖像、錄音或其他以數位方式編碼,為商業銷售或經銷為目的製造之產品)採取關稅與其歧視性措施外,亦強調對於資料流動的確保。從相關條文中可以看出,不但對於資料的儲存或處理必須以最小限制之方式為之,同時亦對於資訊服務設備(computing facilities)在地化有明文的禁止。
不過,在同一個章節中的第19.8條也對於個人資料保護之義務訂有一定的規範。本協定的簽署國必須體認保護個人資料將對於促進整體數位貿易有一定的助益,各簽署國亦應制訂一定的法律架構以保謢數位貿易服務下的個人資料。相關的架構規範除參採經濟合作暨發展組織(Organization for Economic Co-operation and Development, OECD)所發布的「隱私保護及個人資料跨境傳輸指導原則」(Guidelines on the Protection of Privacy and Trans-Border Flows of Personal Data)[5]外,亦採用APEC隱私綱領(APEC Privacy Framework)[6]的相關原則。除此之外,該條款中再次強調,對於個人資料的跨境傳輸如欲為限制,須以必要性為考量且所採取之限制措施與可能發生之風險必須要合於比例原則。
另外值得觀察的是在協定內容中,美國將其於APEC中所倡議的跨境隱私保護規則(Cross Border Privacy Rules system, CBPR)納入,將其視為一保護個人資料與促進資料跨境傳輸的有效機制。CBPR原係基於「隱私保護綱領」之目的所建立的制度,其透過一連串的制度設計,提供企業經營者得以建立其內部之跨境資料傳輸規則,並且透過認證機構(Accountability Agents, AA)之建立,使企業得以提供消費者可信之標章,俾使APEC各經濟體內的國際性組織能夠發展並致力於一個共通的個資保護制度,並於此機制下促進與加強隱私的保護,同時保持資訊流動的持續性。
(二)跨太平洋夥伴全面進步協定之電子商務規範
原「跨太平洋夥伴協定」(Trans-Pacific Partnership, TPP)歷經美國退出,其餘成員國於2017年發表聯合聲明,宣布就核心議題達成共識並將原名稱更改為「跨太平洋夥伴全面進步協定」(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP),其大致維持原TPP所簽署之內容,僅暫停適用原依美國要求而納入之部份條文。該協定第14章雖然以電子商務為標題,但其內容實已包括上揭所稱之數位產品。第14.11條對於以電子方式所進行的跨境傳輸如係因一定業務之所需,應允許以電子方式跨境傳輸資料,包括個人資料在內。基於正當公共政策目標而必須有所限制時,必須避免專斷與無理由的歧視或變相的貿易限制,且限制不得逾越為達成目的之必要程度。再者,第14.13條則再次述明除基於正當公共政策目標外,不得將資訊服務設施在地化列入於該國境內執行業務之必要條件。
觀察CPTPP的電子商務專章,可以確知CPTPP成員國對於資料跨境傳輸傾向於不予限制之態度;而就資料在地化措施的部分,成員國亦對不得要求執行業務之人須使用該國領土內之資訊服務設施或規定其需將資訊服務設施設置於所欲提供服務之該國境內有一定之共職。除非該等限制係為達成一定正當公共政策目的,且使用之方法不得造成專斷無理之歧視或變相貿易之限制,亦必須符合必要性原則。
四、結語
數位經濟奠基於資通訊技術與網路的快速發展,而資通訊技術與網路的加乘使我們得於任何時間、任何地點,使用任何的載具,擷取所需要的資訊或服務。固然資訊的內容可能為我們所需,但資訊的自由,甚或資訊主體權利的保障,卻常為便捷性之需求而掩蓋,甚而忽略。觀察現代社會多元的新興服務態樣,包含社群網路與電子商務等,皆係利用來源不同的資訊進行整合後,再予利用。其中所涉之資訊可能為本人所自主公開,亦甚為私人間的訊息流傳,此種資訊的混雜與多元的使用,不可諱言地,其隱含著對於個人資訊自主範圍保障的挑戰。
考量自由貿易所帶來的經濟利益,許多國際組織與國家都致力於調和國際間個人資料保護原則的建立。在數位經濟的發展過程當中,個人資料保護的機制可能只是健全貿易體制的一環;不過,個資保護的人權概念與經濟發展的貿易議題產生衝突時,便有如歐盟GDPR對於跨境資料傳輸的限制規定產生。參照前述二個自由貿易協定的內容亦可得知,在資料經濟的價值外,確實亦有對於個人資料自主與保護機制建立的重新反思,個人資料的保護與商業貿易之運用本來就不是極端的二條平行線。考量數位貿易未來發展的機會,臺灣確實應該在資料保護的措施上審慎以對,即便欲加以限制,亦應基於必要性與合於比例之限制為是。我國目前雖未被歐盟執委會認定為具個人資料保護適足性之地區,但根據國家發展委員會於本月初(12月)所發布的新聞稿
[7],臺灣已獲APEC秘書處通知成為APEC CBPR體系的新成員。透過國際參與之方式,推動個人資料跨境傳輸活動,並符合國際組織之隱私保護要求或許是目前最符合我國利益之作法。除了持續參與APEC所建立之跨境傳輸機制外,對於非APEC會員經濟體之地區,或可以雙邊擬定安全港架構或者簽訂合作備忘錄之方式,建立與他國間之個人資料傳輸跨境合作。
[1] 所謂的資料在地化係指基於國家主權,以國防、資訊安全、司法管轄、消費者保護或個人資料保護等理由,於內國法令規範上要求企業於儲存或處理資料時,將相關設備,如伺服器等設置於境內。
[2] 歐盟一般資料保護規則第45條第2項規定,於評估個資保護的充分程度時,執委會須將以下因素特別納入考量:(1)跨境傳輸目的地人權和基本自由相關法令規範;(2)跨境傳輸目的地之現存且有效的獨立監督機構;(3)跨境傳輸目的地所參加的國際承諾(international commitments),或其他多邊或區域條約/約定(conventions or instruments)所產生之義務,特別是與個資保護相關的部份。
[3] 目前經歐盟完成適足性認定的國家包括:安道爾、阿根廷、加拿大(商業組織)、法羅群島、格恩西、以色列、馬恩島、澤西島、紐西蘭、瑞士、烏拉圭以及美國(限於隱私盾協議範圍)等。12個國家或組織。
[4] 北美自由貿易協定(North American Free Trade Agreement, NAFTA)於1994年1月生效後,經美國重啟談判於2018年10月1日達成新版《美國-墨西哥-加拿大協定》(United States-Mexico-Canada Agreement, USMCA),共34個章節,被視為採取較高標準的新典範。
[5] OECD於1980年發布「隱私保護及個人資料跨境傳輸指導原則」,該指導原則整合國際間對於個人資料蒐集及管理制度的共識;雖然該原則對OECD 成員不具有實質拘束力,係以整合各國隱私權規範為目標,但其確也提供尚未施行隱私權保護規範的國家一個適當的立法樣本。
[6] APEC參考OECD 1980的Guidelines,以經濟促進為出發,研擬訂定了APEC隱私權保護原則(APEC Privacy Principles)。該保護原則於2004年經APEC部長會議認可,成員國得自願性地執行其中的規範,並可以其作為各國個人資料保護法制之參考。
[7] 我國獲准成為APEC跨境隱私保護規則體系CBPR成員https://www.ndc.gov.tw/News_Content.aspx?n=114AAE178CD95D4C&sms=DF717169EA26F1A3&s=3B2BE22B043A962A