發展動態

一直以來，歐盟在強化貿易體系及個人隱私保護上可說是全球的領航者，於今（2018）年5月開始施行的《一般資料保護規則》（General Data Protection Regulation, GDPR）即是一例。該規則賦予歐盟對外國電子商務公司進行罰款和監管的權力，藉此保護歐盟公民免於非法的線上監控。部分人士因此認為，GDPR如同美國總統川普（Donald Trump）的保護主義般，要求外國企業在歐盟境內設立伺服器，並以嚴峻的罰款和繁複的條文對其施加壓力。因此GDPR的實施儘管有著象徵性的突破；然亦代表數位保護主義（Digital Protectionism）正在興起。

據統計，2017年全球電子商務銷售額達到2.3兆美元，顯示網際網路發展已對國際貿易產生重大影響。對此，相關人士表示若GDPR全面實施，則可能抑止歐洲貿易和經濟成長；華盛頓郵報即估計，歐盟國家其國內生產總值將因此下降0.4%。特別注意的是，中國大陸和俄羅斯等以往對資訊流通加以控制的國家，可能仿效GDPR的內容並用於該國法律中，以作為市場進入的限制。反觀日本，不同於歐盟對數據流通所持的保留態度，其係於數位貿易所涉及的「個人隱私保護」及「貿易保護主義」間取得完美平衡。此外，日本已於2017年5月修訂新的隱私法，規定在未取得當事人的同意下，個人資訊不可作為商業用途。

然而相較於GDPR允許歐盟可對違法取得個人資訊，以及濫用個人資訊之境外公司加以懲處，日本新修訂之隱私法效力則僅限於日本企業。雖然如此，日本仍承認國際組織所頒布有關「跨境數據流通」之證書；例如，由設立於亞太經濟合作會議（Asia-Pacific Economic Cooperation, APEC）下之「跨境隱私保護體系」（Cross Border Privacy Rules System, CBPR System）所頒發之證書，以強化國內企業與國際對接的能力。

另外，當初美國退出跨太平洋夥伴協定（Trans-Pacific Partnership, TPP）時，日本即時挺身而出，並發展出後來的「跨太平洋夥伴全面進步協定」（Comprehensive and Progressive Agreement For Trans-Pacific Partnership, CPTPP）。就數位貿易上，CPTPP內容維持原TPP規定，禁止不合理的電子商務歧視。除此之外，近期簽署的日歐經濟夥伴協定（Japan-EU Economic Partnership Agreement, EPA）中，亦可看出日本在數位貿易領域的開放；即使談判過程中歐盟試圖軟化日本開放數位串流的態度，卻遭日本堅決反對。日本認為，任何於非歧視性規則上的妥協勢必對未來產生重大影響，特別是CPTPP的終極目標係促使中國大陸開放國內數據匯流。

儘管歐盟和日本對數據流通所持的態度不同，歐盟仍讚許日本的隱私保護政策，且於日歐EPA下，雙方將逐步取消對資訊流通之限制，意即位於歐盟或日本的公司將可自由地於兩地間轉移個人資訊。在美國保護主義抬頭的情形下，歐盟雖看似全球貿易體系的領導者，然日本更能在個人隱私保護和貿易保護主義間尋求恰當的平衡點。

【取材自The Washington Post，2018年8月10日】

重點評析

在數位時代，資訊數據自由流通對於貿易之進行扮演著關鍵的角色。然而實務上，企業進行跨境貿易即會產生跨境傳輸個人資料的需求，然各國就規範個人資料保護措施之要求程度不同，導致資訊數據無法有效地自由流通。有鑒於此，歐盟起草資料保護指令（EU Data Protection Directive），該資料保護指令在1995年被採納並於1998年正式生效。隨後為了提升保護規範，歐盟於2012年對此加以更新與修改，2016年通過法律位階較高的《一般資料保護規則》（General Data Protection Regulation, GDPR），並已於2018年5月25日生效且全面施行。

歐盟新規範的重點可歸納如下：

（一）於第3條下，將適用範圍擴及至非設立於歐盟境內之資料控管者或處理者對歐盟公民提供商品或服務，以及對歐盟公民於歐盟內之行為監控的個人資料處理。

（二）第6條規定，個人資料處理之合法要件係歐盟公民同意該行為者處理其個人資料。處理乃履行契約所必須，且處理個人資料應在適當並具相關性之情況下，並確保個人資料之儲存期間於最小限度範圍內。

（三）第45條規定，惟當執委會認定該國之個人資料保護措施係符合歐盟標準（達適足性程度），兩地間資料移轉得不須取得任何授權。因此，凡蒐集含歐盟公民個人資訊在內之企業，都可能受到GDPR的管轄。個人資料處理者必須符合歐盟的規定，惟有獲得執委會同意，具保護適足性之國家或地區，其企業才可於不經授權下進行跨境資訊數據自由流通。

然而，通過歐盟保護適足性審核並不容易，現階段通過的國家地區包括：英國屬地（根西島、馬恩島、澤西島）、丹麥屬地（法羅群島）、歐洲境內（安道爾、瑞士）、阿根廷、以色列、紐西蘭及烏拉圭，加拿大限於民間機構，美國限於「隱私盾」架構（Privacy Shield framework）方可傳輸。可以注意的是，以色列、紐西蘭及烏拉圭在申請認可上皆耗時超過3年。

至於日本，歐盟執委會於審核日本適足性之情況前，雙方已進行為期兩年有關相互承認個人數據保護制度的對話，直到今（2018）年7月17日簽署「日歐經濟夥伴協定」（Japan-EU Economic Partnership Agreement, EPA）時，才同時簽署個人隱私保護之「適足性協議」（adequacy deal）草案，意即將對方的數據保護系統視為同等效力。歐盟執委會計劃於2018年秋季完成決定適足性協議草案的內部程序，即執委會將提案進一步送至歐洲資料保護委員會（European Data Protection Board, EDPB）以徵詢各成員國意見，其後再提交至歐洲議會公民、司法與內政事務委員會（Committee on Civil Liberties, Justice and Home Affairs）審議，最終送回歐盟執委會進行批准。未來協議生效後，歐盟將持續關注日本在資訊保障標準上的變動，並在協議實施兩年後進行首次檢討，往後則每4年進行定期檢討，以落實個人隱私權之保護。惟當行為超出了該法所規定的實施權力時，歐洲議會和理事會也可以要求歐盟執委會維持、修改或撤銷適足性決定。

在日本內部程序方面，承諾加強個人資料保護法（Personal Information Protection Act, PIPA）規則，並同意在執委會正式通過適足性決定前制定額外保障措施以保護歐盟公民的個人資訊。此外，今年4月日本個人資料保護委員會（the Personal Information Protection Commission, PPC）發布可適用於歐日間個人數據移轉之準則草案。根據該準則，內容涉及（1）擴展個人數據的基本定義和敏感個人資料的定義；（2）確保歐盟個人數據為基於個人確定的使用目的中使用；（3）進一步加強從日本轉移至歐盟之個人數據保護，以及（4）縮小可識別個人資料的範圍。基本上PPC對個人資訊保護提供額外的保障措施，並且有權對未遵守該準則之行為者採取適當的行政行動，以防止侵權行為。除此之外，日本更承諾建立投訴處理機制，並由PPC管理和監督，旨在確保歐盟公民提起之隱私投訴案件得以有效解決。

近年來電子商務等網路經濟活動普及，國外業者透過網路對居住於日本之住民販售商品或提供服務者日益增加，進而取得日本民眾之個資。針對個資保護缺口，日本已於PIPA中增訂第75條，加強管理境外之外國個資處理業者，然該責任僅及於第4章個人資料處理業務經營者的義務等。可見日本政府並不像歐盟，針對收集日本用戶資訊的境外企業設有罰款和懲罰的權力，此效力僅限於日本境內營運的企業。

從前述說明來看，我國企業與歐盟或日本進行貿易都將受到有關個人資料保護等相關法律的規範。日本確實於個資保護與發展數位貿易間取得的平衡；反觀歐盟則較重視保護自己的利益。為了使我國企業在對歐盟貿易上不受跨境資訊數據流通限制的影響，如日本般積極取得歐盟適足性的認可係最佳的解決方法，惟執行上相當困難。並且，即使我國爭取成功，該協議僅涉及歐盟與簽約國間的個人數據傳輸，若涉及從日本轉移至其他國家之個人數據流通，依舊具有限制。

我國企業因應歐盟GDPR的另外解決之道，可從GDPR規定著手。個別企業可透過符合歐盟檢驗程序使用於控制者與處理者間，以及處理者相互間的定型化契約條款與「有拘束力之企業守則」來獲得跨境資訊的自由流通。上述所說之「有拘束力之企業守則」為在企業集團中，移轉個人資料至其他國家之控管者或處理者，其所應遵守之個人資料保護政策。（靖心慈）