企業正式加入跨境隱私保護規則體系（CBPR）應關注跨境傳輸資料關鍵議題

GDPR逐步建構形塑資料保護標準與各種實務做法

歐盟一般個人資料保護規則（General Data Protection Regulation, GDPR）自2018年5月25日正式實施後，明定違反GDPR者可能會被處以2000萬歐元或全球營業額4%（兩者取其高者）而受世人矚目；歐洲資料保護委員會（European Data Protection Board, EDPB）隨後陸續發布各項指導方針及實作建議，提供業者最新發展合規實務做法，對於資料保護之領域，逐步建構形塑資料保護標準與各種實務做法。

歐盟資料傳輸標準契約條款最新改版發展

資料無國界，為了增進國際貿易與國際合作，資料流動已不可避免，歐盟一般個人資料保護規則（GDPR）對於資料跨境傳輸有其嚴謹規定，原則採禁止傳輸，例外許可傳輸，除在取得適足性認定與部分例外情形下，企業應採取適當之保護措施以彌補第三國對資料保護之欠缺，依照GDPR規定，該等措施可能包括利用：標準契約條款（Standard Contractual Clauses）、有拘束力之企業守則（Binding Corporate Rules）、行為守則（Codes of Conduct）、取得特定驗證（Certification），才能對資料進行傳輸。而在適足性認定取得前，企業最有可能採取使用歐盟執委會公布之標準契約條款，以達GDPR對資料保護之要求。

參考今年1月國際律師事務所DLA Piper Global Law Firm的報告，自GDPR於2018年5月正式施行以來，對一系列違反GDPR行為，處以2.725億歐元（約3.324億美元/2.453億英鎊）的罰款，裁罰類型有資料外洩、資料透明度、缺乏有效同意等為大宗，並於同份報告內，預測於未來一年，隨著歐洲最高法院對C-311/18 （Schrems II）案判決，將依GDPR規定限制，未來可能向跨境傳輸個人資料執行執法行動。

有鑑於歐洲最高法院於C-311/18 （Schrems II）案判決，法院表示如以標準契約條款為依據，將資料進行跨境傳輸至第三國前，應確保「已符合相當於歐盟境內的資料保護程度」，否則資料保護監管機關有權要求暫停或終止資料的傳輸。而後歐洲個人資料保護委員會（European Data Protection Board, EDPB）為因應歐盟法院Schrems II案判決，推動資料保護新行動，於今年6月制定並公布《關於確保遵守歐盟資料保護水準的傳輸工具輔助措施之建議01/2020》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data），此建議文件重申，資料保護監管機關應依個案判定是否符合GDPR跨境傳輸相關規定，且如發現組織進行跨境傳輸資料時，若資料無法獲得基本相同保護（相當於歐盟境內的資料保護程度），資料保護監管機關有權暫停或禁止組織進行資料傳輸的行為。

嗣後，歐盟執委會前有依1995年《資料保護指令》（Directive 95/46/EC），曾於2001年和2010年分別發布不同版本之資料境外傳輸標準契約條款。今年，歐盟執委會於6月4日正式通過標準契約條款之改版，分別依GDPR第46條與GDPR第28條，制定個人資料境外傳輸標準契約條款、與資料控制者與資料處理者間標準契約條款，兩項新版標準契約條款，已於2021年6月7日在歐盟官方公報公布，並將於公布滿20日後施行。此兩項的舊版境外傳輸標準契約條款將在新版生效滿3個月後被廢止，但歐盟執委會額外有給予15個月緩衝期。此即表示，如企業前採用資料傳輸標準契約條款，以滿足GDPR對資料保護之要求者，至遲於明年12月，如不及時調整使用之資料傳輸標準契約條款，將會面臨無法進行資料傳輸至歐盟地區之窘境。

台灣加入亞太經合組織（APEC）建立之跨境隱私保護規則體系（CBPR）

2011年亞太經合組織（Asia-Pacific Economic Cooperation , APEC）建立跨境隱私保護規則體系（Cross Border Privacy Rules, CBPR），其方式為由獲得認可的評估機構，對商業機構保護個人隱私與資訊的水準進行認證並公佈，CBPR旨在為APEC會員之間跨境流通的資料提供統一、有效的隱私資料保護。

台灣國家發展委員會為使台灣跨境隱私保護、資料傳輸保護，能與APEC會員接軌，2019年已向APEC提出CBPR當責機構之申請，而於今年6月3日接獲APEC正式通知，成功推動財團法人資訊工業策進會成為台灣當責機構(Accountability Agent, AA)，以期未來能協助台灣企業進行境內外資料保護法令遵循，提升消費者對跨境資料傳輸之信賴，促進國際商務推展，甚至進一步建立爭端解決機制。

企業未來面對跨境傳輸資料的重點

• 企業自身保護傳輸資料的能力

有鑑於推展國際商務，資料跨境傳輸已無法避免，企業如何建立檢視資料傳輸管理制度、如何管控資料流向、是否具有一定程度資料跨境傳輸管理能力等，而如不幸發生資料事故是否能快速應變等，均仰賴企業自身保護傳輸資料的能力。

• 跨境傳輸資料保護的證明

對於跨境資料傳輸保護，企業投入大量的資源與人力，但如何證明已盡力滿足傳輸資料安全的各項合規要求，有賴觀察各國資料保護最新發展，資料保護相關標準與各種實務做法。

企業如何因應資料跨境傳輸

• 優化企業資料管理制度

企業應能分析與洞察組織資料管理流程的各項環節，持續強化資料管理制度薄弱之處，以期透過資料管理制度，瞭解本身對資料生命歷程的各種管理，不論是部門間的管理聯繫、工作流程的協調、同仁間的認知與落實等，型塑企業資料保護的文化。

• 判斷企業自身資料跨境傳輸需求

為推展跨國貿易，企業應考量本身主力市場為何，跨境傳輸資料之必要性，跨境傳輸資料保護方式與保護程度等，思考應採取何種可實現的合規方式。

• 掌握歐盟新版標準契約條款的重點

歐盟新版標準契約條款要求企業於資料進行傳輸前，需做資料傳輸影響評估，自行設計資料傳輸影響評估之流程與將其文件化，應包含評估內容與評估結果，且應留存紀錄。如資料保護監管機關執行稽核或認為必要時，企業應配合提供此資料傳輸影響評估內容，供其查驗。

企業如適用新版標準契約條款，應可預先考量：

1. 通盤檢視組織擁有之資料，以確認新版標準契約條款適用之範圍。
2. 設計資料傳輸影響評估之流程與將其文件化。
3. 檢視組織傳輸資料之類型，於做資料傳輸影響評估時，區別是個人資料或一般資料，對其影響衝擊分別判斷。
4. 判斷組織本身於資料跨境傳輸時所扮演的角色，係擔任資料控制者或資料處理者，依其角色檢視所應擔負之權利與義務。
5. 針對重點議題如：個人資料跨境傳輸時，受到保護水準是否持續/連續、資料保護適足性認定、標準契約條款是否有增補其他條款或附加保障措施之情形、使用分包處理者之契約是否與歐盟法規要求相同、企業與當地資料監管機關之協力義務、發生個人資料外洩的通知等等，預先研析與因應準備。
6. 適時檢視組織資料傳輸制度，適度重新評估組織各部門傳輸資料情形、所採取資料的保護措施等，並留存相關紀錄。

• 掌握CBPR跨境傳輸的重點

台灣個人資料保護法施行已久，經濟部商業司有TPIPAS認證與標章，TPIPAS除依循境內個人資料保護法之外，其架構亦有遵循PDCA之精神，未來TPIPAS認證將與CBPR認證結合，由財團法人資訊工業策進會擔任APEC跨境隱私規則之台灣當責機構，對企業進行審查與認證，判斷是否符合APEC的跨境隱私保護程序。

展望未來

面對資料保護的風潮，企業為了邁向卓越，必須持續精進資料管控能力與優化資料管理制度，資料傳輸必須在資料保護法令規範、同業競爭、市場競爭等各項因素中取得平衡。

資料跨境傳輸議題，勢必會越來越受到關注，企業不論是利用雲端單純儲存或交換資料，或是委託第三方蒐集、處理、利用資料之行為都是越來越普遍，許多大企業都已陸續建置或優化組織現有之資料管理制度，為資料跨境傳輸跨國合規提前因應與續做準備。台灣企業除面對歐盟GDPR規定外，如其市場主力為APEC會員國家如：日本、韓國、澳大利亞、新加坡、菲律賓等亞太地區，更將直接面對CBPR體系下資料保護要求的衝擊。

勤業眾信風險諮詢顧問團隊當持續關注境內外資料保護議題，積極為企業介接各項資源，尋求與政府機構對話，並與台灣當責機構（財團法人資訊工業策進會）互助合作，可採取如：合作舉辦資料跨境傳輸相關議題研討會、意見交流工作坊等各種形式，進一步協助企業處理資料跨境傳輸可能面臨的各種情境，並及早協助企業掌握最新的關鍵議題。