個人資料由於各國對個人資料的隱私保護程度不一,為了確保個人資料傳輸至歐盟境外時,也能受到與歐盟規範同等保障,歐盟之General Data Protection Regulation (GDPR)第五章針對「跨境傳輸個人資料」有嚴格的規定,僅在滿足特定條件時,才例外允許資料控管者或處理者進行個人資料的跨境傳輸。因台灣尚未取得歐盟的適足性認定[1],故我國企業與歐盟企業之間,面對個人資料的跨境傳輸需求時,多採行GDPR第46條第3項的「標準資料保護條款」(Standard Contractual Clauses, 下稱「SCC」)以符合跨境傳輸個人資料之要求。
所謂「SCC」,即是將GDPR的規範內容以「契約條款」方式,提供予個人資料傳輸的當事人簽署,讓即使不是GDPR適用範圍涵蓋的一方,也能受到GDPR對個人資料保護內容的實質拘束,以滿足歐盟對於個人資料傳輸的適足性要求。
然而,為了貫徹歐盟個人資料保護委員會(European Data Protection Board, 下稱「EDPB」)依2020年Schrems II判決所作成的「額外保護措施建議」,EDPB於2021年宣告舊版SCC失效、公告新版SCC,並就其適用傳輸型態、規範內容等修正更新。在新版SCC開始適用後,「如何因應並遵守GDPR和『額外保護措施建議』的規定」成為企業在跨境傳輸個人資料時將面臨的法遵議題。
新舊版SCCs之比較與重點
舊版SCC之適用主體僅限於「位於歐盟境內之資料控管者」將個人資料傳輸至「位於境外之資料控管或處理者」;而新版SCC則為了配合GDPR第3條第2項關於主體之域外適用效力規定,將得利用SCC作為跨境傳輸工具之主體擴張為「適用GDPR之主體,包含位於歐盟境內或境外之資料控管或處理者」將個人資料傳輸至「不適用GDPR之資料控管或處理者」。
此處應特別注意,若個人資料傳輸的輸入者「本身就是GDPR第3條所規範的主體,而須適用GDPR」,則在此情況下,因考量到SCC之條款內容本來就是按GDPR的個人資料保護內容訂定而成,故為了避免重複規範個人資料輸入者的相關個人資料保護義務,此種跨境傳輸型態不應直接使用此新版SCC作為傳輸機制。根據EDPB的指引[2],此情形仍構成「跨境傳輸」,但應該要利用「新版SCC以外的其他合法傳輸工具或機制」,並著重於解決GDPR與輸入國法律之間的落差,如輸入國之國內法與GDPR之衝突,或GDPR之境外執行等問題。
SCC之簽署與應履行措施
執委會於制定新版SCC時,明訂個人資料傳輸之雙方主體應於簽署SCC時,確保「個人資料輸入或個人資料受處理之第三國的法規環境,或其實務上的實踐慣例,並不會使資料輸入方無法履行其於SCC下所負有的契約義務」。其中,第14條規定資料傳輸雙方針對資料輸入國的法規環境及實踐情形,判斷GDPR和SCC所要求的個人資料保護水平是否會受影響所作之評估,稱為「傳輸影響評估」(Transfer Impact Assessment,下稱TIA),其具體內涵、評估時所參酌的考量因素如下:
- 「個人資料傳輸之具體情形」
如個人資料傳輸、處理鏈的長度、傳輸的目的、個人資料數據的種類和形式、受傳輸的個人資料之存取地點等。
- 「第三國之法規和實踐情形」
傳輸個人資料之當事國,得參考該第三國政府機構是否有「要求揭露個人資料的相關過往紀錄或經驗」、「要求揭露的具體情形為何」,或「是否有由政府機構授權存取受傳輸的個人資料」等情形,判斷是否會影響雙方履行SCC個人資料保護相關義務;與「該國的法規和其實踐情形,是否有逾越民主社會中,為保障國家安全、公共安全、司法等目的之必要性和比例性」等。
另EDPB於2021年公布的「確保個人資料傳輸符合歐盟之適足保護水平的傳輸工具補充保護措施建議」 中,亦提出評估第三國之法規環境可參酌之要素,包含但不限於:
- 根據個人資料相關有權監管者,如全球隱私大會(Global Privacy Assembly, GPA)所作之分析或決議判斷;
- 根據第三國之國內判決,或獨立之司法或行政機關所作成之相關決議判斷;
- 根據第三國之獨立監管機關或相關議會組織所作成之報告判斷;
- 根據學術界的報告,或私人單位所作成之對於企業在財務、監管、名聲等方面的風險報告判斷。
補充性措施
若TIA結果為負面,或因個人資料輸入國之法規環境等因素,而在個人資料保護上與GDPR標準有所落差,又或個人資料輸入方嗣後因故無法繼續遵守其SCC的義務,則傳輸雙方必須另外採取「補充性措施」(additional/supplementary safeguards),始得利用簽署SCC跨境傳輸個人資料。
具體措施包含但不限於「技術性補充措施」,如在傳輸個人資料前,使用加密技術(encryption)處理個人資料,保護受傳輸的個人資料在輸出國進到輸入國的過程中,不受輸入國公部門的介入,或由個人資料輸出方將個人資料進行假名化(pseudonymise)處理,使被傳輸的個人資料,不再被歸屬或指向特定的個人資料主體;「簽訂額外契約條款」,即個人資料傳輸雙方在SCC以外的其他契約中,約定「必須採取特定的技術保護措施始能進行個人資料傳輸」;或是要求個人資料輸入方履行其「透明化義務」,意即在契約中要求個人資料輸入方明列該國公部門機關得存取個人資料的相關法規等;「組織性措施」如個人資料控制或處理者,以自身(公司)的內部政策或組織方法和標準,加諸於個人資料輸入方,以確保個人資料傳輸在整個過程中皆受保障。
結語
跨國企業因違反歐盟關於個人資料跨境傳輸的相關規定,被處以罰鍰,多所耳聞,「如何合法的進行個人資料跨境傳輸」已然成為企業須格外注意的法遵課題。就現行新版SCC,無論作為個人資料的輸出或輸入方,在簽訂SCC時皆有相對應之特別義務須履行,而不能僅單純透過「簽訂SCC」此一動作即進行個人資料跨境傳輸。因此企業應審視自身之個人資料保護相關紀錄,並且考慮額外補充的保障措施,以透過簽署SCC,合法地達成跨境傳輸個人資料的目的。
如果您想知道更多有關執行「傳輸影響評估」之相關事宜,歡迎聯絡本所合夥人陳絲倩律師,電子郵件地址為cchen@winklerpartners.com。
[1] GDPR第45條規定,若第三國的個人資料保護水平達到GDPR「充足程度的保護」標準,取得歐盟「適足性認定」,即可跨境傳輸個人資料。我國於2018年向歐盟申請適足性認定,目前仍在協商中,尚未取得認定。
[2] Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR, p.9
2023年12月25日作者: 陳絲倩, 滕學明.