企業為求降低營運成本,全球化發展、業務委外已成常態,可能製造工廠在東南亞,客服中心卻設在印度,也或者在全球各地都設有分支據點,客戶資料卻集中在某一地的伺服器裡,在此情況下,企業所擁有的個人資料不只在境內流通,也可能跨境傳輸到世界上任何一個國家,這種做法是否會抵觸個資法?
首先來看歐盟與加拿大的規範,歐洲素來重視人權與隱私,對於個人資料跨境傳輸的限制也較為嚴苛。根據歐盟「個人資料保護指令(D95/45/EC)」,個資境外傳輸的前提是,輸入國具備充足的個人資料保障措施,但若傳輸至於境外的資料不涉及處理行為,則不受此規範。資策會科法所研究員張乃文表示,評估個資輸入國的保障措施是否充足的關鍵在於:資料傳輸環境及法令實施狀況,由於歐盟的認定標準相當嚴苛,目前僅瑞士、加拿大、阿根廷、根西島、曼島、法羅群島、及安道爾等國符合「可充分保障個資」的資格。
另外,針對不符合標準的國家,則採用特殊協議的方式,讓雙方業者滿足資料傳輸的需求。以美國為例,其採聯邦共和制,各州對個人資料保護的法令不同,因此不符合歐盟的標準,美國商務部乃與歐盟制定安全港協議(U.S-EU Safe Harbor),採自願加入的方式,滿足美國業者資料跨國傳輸的需求。換句話說,歐盟企業若要傳輸個資予境外第三方,則第三方需符合安全港協議所設定的個資保護規範,方可為之。
加拿大則要求資料輸出者應為跨境流通的資料安全負責,以契約或其他方式,確保傳輸予境外第三方的個人資料可受到充足保護。加拿大「跨境處理個人資料指導原則(Processing Personal Data Access Borders Guideline)」指出,資料輸出者的責任有:第一、防止第三方在處理資料過程中,出現未經授權使用或揭露的情形;第二、確認第三方具有完善的資料保護政策或流程;第三、3.定期稽核第三方處理或儲存個人資料的安全性。
回到台灣來看,資策會科法所組長顧振豪表示,台灣對跨境資料傳輸的規範,與歐盟法規相似,根據新版個資法第21條,非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:
一、涉及國家重大利益
二、國際條約或協定有特別規定
三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞
四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。
由此來看,台灣允許個資境外傳輸的關鍵在於,資料輸入國有沒有個資法規範,如果沒有最好還是不要傳輸的好。前不久,遠傳電信爆發客服中心委外、個資可能外洩的爭議,隔了1個月,通傳會便在網站上預告訂定「限制非公務機關國際傳遞個人資料之命令」,其內容為:衡酌大陸地區之個人資料保護法令尚未完備,通訊傳播事業於國際傳遞及利用個人資料時,應考量接受國家或地區對個人資料有完善之保護法令,爰依上揭法律規定,限制通訊傳播事業經營者將所屬用戶之個人資料傳遞至大陸地區。
顧振豪認為,個資母法只是提供一個規範方向,並沒有嚴格禁止個資境外傳輸,企業在什麼情況下可以將個資傳輸至境外?什麼才叫做完善法規?最終仍得視其所屬的目的事業主管機關來決定。