雖然個人資料(以下簡稱為個資)的跨境傳輸在前面文章中已經簡單討論過,然由於目前幾乎所有蒐集的個資都是儲存於雲端空間,而提供雲端技術與設備的公司多半都不會在本國當地,所以
無論是員工或是客戶之個資幾乎一旦蒐集,在尚未處理前,就面臨上傳跨境傳輸議題。按縱使境外無法資料下載,惟如在境外已可接觸或看到個資,由於接觸者可以電腦或手機視頻解取,故認為已構成跨境傳輸。於是乎跨境傳輸常成為跨國公司在處理個資遇上的首要解決問題之一,因此筆者想再深入一點討論這塊應注意事項,以及簡介亞太各國立法例,僅供參考。
同樣的,先簡單看一下GDPR的規範,GDPR第四十四條至四十六條做了詳盡的規範,包含國家的適足性認定標準、企業有拘束力之企業守則、經主管機關檢視之標準資料保護條款等等。然而,由於適足性認定國家目前全世界只有十幾個,實務上多半採行方式還是以簽署標準資料保護條款合約為主。
亞太國家多半依循GDPR標準,但對於適足性認定通過國家名單更不明確,不少國家也將當事人的同意視為跨境傳輸之許可(GDPR在第四十九條下也有取得明確同意之例外許可跨境傳輸的規定)—此為亞洲國家常見之立法例,即以取得當事人同意作為個資蒐集處理之合法基礎,這當然是對於跨國企業提供便宜行事之解套,然亦被詬病。直言之,當事人是否真正閱讀或理解隱私權條例,若對此持存有疑問,如此設計是否已對當事人揭露的個資提供充分保護?值得深思。
另外,美國倡導的CBPR也是在解決跨境傳輸的問題,然而同樣的會員國亦僅十國左右。且CBRP的設計是在會員國境內有當責機構,當責機構得對於企業符合該國個資法法遵進行認定,不過,會員國間的跨境傳輸仍回歸各國法規規範,且筆者以為,最主要的問題是CBPR與GDPR並不接軌,當然這也是美國倡導個資流通的目的,與歐盟著重個資保護出發點有所不同,兩者之間自然存有差異,然以歐盟角度來看,CBPR的遵循無法取代適足性認定或成為跨境傳輸之例外允許,對於跨境傳輸需求極高的跨國公司,可能最終還是必須以較嚴格的標準(即GDPR規範)進行內部隱私權政策的設計與規範,方能做好完善的全球佈局。
