筆者近期因工作上所需,特別研究一番中東地區約二十個國家對於個人資料跨境傳輸的規範,雖然中東地區與我們身處的亞太距離遙遠,旅遊都不見得成行,開發事業或許機率更小,然而相對歐美亞太地區,中東地區的立法演進似乎鮮少有人著墨或研究,可搜尋資料也相對貧乏。加上該地區戰事頻繁,經濟水準相對落後,在這樣的區域內個人資料保護或執行的狀態,筆者以為也是值得稍微窺探,無論是以歐盟個資保護法GDPR影響程度觀之,或是以立法研究比較觀之。
首先,或許也不出意外的,二十個國家裡有近一半對於個人資料保護沒有特別制定專法保護個人資料,在這樣的情況下,自然回歸到民法或是憲法相關保護規範。筆者進行研究時,深感政治與經濟的穩定才是人權發展的基礎,國家或邊境在戰亂之中,個人生命都難以保護,恐難以期待個人資料得以妥善受到保護。
另外有些國家針對網路安全有立法保護如巴勒斯坦及塞爾維亞。黎巴嫩是針對電子交易及個資立法保護。有訂立專法保護的國家包括阿爾及利亞、巴林、埃及、伊拉克、約旦、摩洛哥、阿曼、卡達、馬爾他、沙烏地阿拉伯、突尼西亞、阿拉伯聯合大公國。
至於筆者本次研究重心為個人資料跨境傳輸規範部分,一言以蔽之,中東各國個人資料保護法訂立仍可窺見係以歐盟個資保護法GDPR為範本,即原則上禁止,除被傳輸地符合適足性要求,提供與傳輸國相等同的個人資料保護,其餘合法跨境傳輸基礎與歐盟個資保護法GDPR大同小異。此外,取得個人資料主體之同意亦頗為廣泛被適用為跨境傳輸之合法基礎。然筆者深入研究後發現,雖然許多國家都提及個資保護法GDPR跨境傳輸之適足性認定,但卻無任何一個國家公布如同歐盟適足性認可國家白名單,甚至或許更強化國家在個人資料跨境傳輸時的審核權限,例如埃及要求跨境傳輸必須符合提供與埃及相等同的個人資料保護外,亦須取得許可,兩者併行。伊拉克亦僅公布歐盟成員國(包含英國與北愛爾蘭)認定符合適足性要求,然亦無完整之白名單國家清單。
經由此次研究,筆者可窺見中東國家個人資料保護立法例仍在發展中,而發展的方向應亦可以歐盟個資保護法GDPR為參考範本推演。唯恐因政治文化經濟發展之差異性,當地政府監控或較為嚴格,故建議如有心前往中東發展之公司仍應注意各國立法規範與動態。
