歐盟與日本就跨境資訊傳輸達成適足性協議
- 吳承憲
- 2018/07/26
- 已被閱讀 600次
- WTOepaper610
歐盟與日本於今(2018)年7月17日簽署「日歐經濟夥伴協定」(Japan-EU Economic Partnership Agreement, EPA),預計2019年生效。協定生效後,雙方將立即或分階段取消大部分關稅。與此同時,雙方也於簽署EPA當日就個人隱私保護達成「適足性協議」(adequacy deal)之草案。
歐盟對個資保護主要規定為《一般資料保護規則》(General Data Protection Regulation, GDPR),於今年5月25日正式生效。GDPR允許歐盟境內資訊使用者有權決定如何運用其個人隱私資訊,更強化有關資訊取得同意權及處理敏感性資訊之規範。同時,對於違反該規定的資料管理者,最高可課予2,000萬歐元或以其全球營業總額的4%作為罰鍰。此外該法亦規定,若要將歐盟公民之個資傳輸至歐盟以外國家,須先由歐盟執委會認定其個人資料保護水平已符合GDPR標準,且該國或地區必須取得「適足性認定」(adequacy decision),方可與歐盟進行跨境個資傳輸。
目前取得歐盟「適足性認定」之國家或地區共有12個,包括阿根廷、加拿大、以色列、紐西蘭、瑞士、烏拉圭等國,以及採用「隱私盾架構」(Privacy Shield Framework)之美國。至於日本,其與歐盟於簽署歐日EPA時,已就消除電子商務和跨境資訊流通的法律障礙達成「適足性協議」之草案。於該協議下,歐盟將視日本的資訊保護能力實質上同等於歐盟標準,且日本也將承認歐盟的保護措施符合日本的《個人資料保護法》。此舉意味著歐日雙方將取消彼此對資訊流通之限制,位於歐盟或日本的公司將可自由地於兩地間轉移個人資訊。
不過該資訊協議尚屬草案性質,未來仍須待雙方完成批准程序方能施行。為使協議順利運作,歐盟執委會(European Commission)初步研擬提案後,將進一步送至歐洲資料保護委員會(European Data Protection Board, EDPB)徵詢意見,其後並提交至歐洲議會公民、司法與內政事務委員會(Committee on Civil Liberties, Justice and Home Affairs)審議,最終送回歐盟執委會進行批准程序。歐盟執委會已表示,希望歐日雙方於今年秋季完成協議。
至於日本,其未來在批准程序時亦將討論是否對資訊移轉採取額外的防護措施,並且針對「被歐盟歸類為敏感性個人資訊」及「從日本輸出之歐盟公民資訊」兩者,加以防衛。同時,日本亦計畫建立一項調查系統以調查歐盟公民提起之隱私投訴案件。EDPB主席耶利尼克(Andrea Jelinek)則表示,歐日「適足性協議」將有助消弭目前日本個資保障系統和GDPR間的差異,使雙方資訊流通更加順暢。歐洲日本商會(Japan Business Council in Europe)亦對該協議表示歡迎,期盼歐日雙方盡快完成批准程序,使協議早日生效。
最後,歐盟執委會指出,未來協議正式生效後,歐盟將持續關注日方在資訊保障標準上的任何變動,並將在協議實施兩年後進行首次檢討,往後則每四年進行定期檢討,以落實個人隱私權保護。
【由吳承憲報導,取材自International Trade Daily,2018年7月18日】