第三章 資訊流通與資料保護議題在當前國際經貿體制中之發展
第二節 國際性資料保護制度框架
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
33
上述出現「個人資料保護」議題的 FTA 中,澳洲多參與其中,或可視為澳洲 對於該議題有相當的重視程度。而談判之結果不出維持各國現有對個人資料之保 護、資訊與經驗之分享,以及鼓勵各締約國採納相關的國際標準。相較於美國所 主導之 FTA 中,在考量個資保護下避免資訊流通障礙之目標,上表中之談判結果 顯然更重視對個人資料之保護。此外,雖然上表中之協議結果亦留給各國保護個 人資料之獨立空間,但不一樣之處在於,進一步鼓勵各締約國在制訂相關規範時,
參考既有的國際標準。
第二節 國際性資料保護制度框架
本文所主要聚焦的是在國際經貿整合場域中,各國為了在推動國際電子商務 發展與資料保護之間取得平衡所做的努力;在 WTO 中各國目前僅就不針對數位產 品課稅達成共識,而由本文所整理之 FTA 相關內容來看,議題走向又分為資料保 護與資訊自由流通,顯示出國際間在面對電子商務發展時對於管理跨境資訊所抱 持的態度,或許某種程度上,也顯示出該議題未來再次進行協商時,各國所將面 對的障礙。
不過,不論是哪一個議題走向,都奠基在既有的跨國性制度框架之上,其中 影響範圍較廣且較具代表性者,又可分為國際性手段與區域性手段來看。在國際 性手段方面,有 OECD 於 1980 年通過的 OECD 指導方針、1990 年聯合國通過發 布的「電腦化個人資料(computerized personal files)」之指導原則70;在區域性手 段方面,有 1981 年歐洲議會針對資料自動化處理中個人保護所施行的公約(又稱 為 Convention 108)71、歐盟資料保護指令72、2004 年由 21 位 APEC 成員73所同意
70 UN Guidelines concerning Computerized Personal Data Files of 14 December 1990, Doc E/CN.4/1990/72.
71 January 28, 1981, ETS 108 (1981).
72 Directive (EC) 95/46 of the European Parliament and of the Council of 24 October 1995 on the
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
34
的隱私權架構。
有許多國家的資料保護規範係以上述的方針為基礎,因此在一些基礎的、上 位的法律原則上,跨越不同地理區域的國家,其資料保護規範有著一定程度的相 似。然而,由於各國在文化、歷史、法律體系上的不同,一旦離開上位的法律概 念,深究更深一層的條文,往往也會發現各國的資料保護法之間有著許多差異。
就如同隱私權與資料保護的概念本身,即使各國將其納為基本權利之一,在世界 各個不同的角落可能有著不同的意義。
1970 年代時,OECD、歐洲議會與歐洲經濟共同體便開始研擬與推動國際性 的資料保護規範。在各國的互動上,如美國與歐盟在個人隱私保護權上有著不同 的法律機制,但基本上,兩國皆同意制訂共同的資料保護規範,只是在進一步機 制的範疇、施行手段(administrative)與裁判機制上,有不同的方式,需要進一步 制訂規則,減少各國間互相衝突之規範的數量。另外,針對此方面制度的整合,
也被視作是在「國家藉由限制那些握有資料之企業所獲得之利益」,與放棄控制所 造成之損失上進行調和。同時,這個議題下存在的各種利益,也使得不同組織在 面對是否需要強制性的國際規範這個問題時,採取不同的立場。
OECD 是推動這個議題的其中一個主要組織,歷經一連串的委員會研究、公 聽會與座談會後,OECD 擬訂了「隱私保護與個人資料流通之指導方針」。這個指 導方針對 OECD 成員不具有實質拘束力,以整合各國隱私權法律為目標,作用在 於提供各個還未施行隱私權法的國家一個「立法的樣本」,將這些方針納入已有的
protection of individuals with regard to the processing of personal data and on the free movement of such data, [1995] OJ L281/31.
73 The APEC member economies include Australia; Brunei Darussalam; Canada; Chile; the People’s Republic of China; Hong Kong, China; Indonesia; Japan; the Republic of Korea; Malaysia; Mexico; New Zealand; Papua New Guinea; Peru; the Republic of the Philippines; the Russian Federation; Singapore;
Chinese Taipei; Thailand; the United States; and Vietnam.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
35
法律或法案之中74,也可被視作一種立法上的建議。而負責擬定該指導方針的 OECD「 跨境資料障礙與隱私權保護專家團體」之代表指出,這個原則的效力不 足,他們認為應該制訂可做為法律執行的協定,而這個建議則是在往後歐洲議會 的相關討論中被採用。
有關跨境資料流通的規範如下:
1. 會員國在其國內法中,會將對於其他國家在國內資料處理以及資料輸出方 面的可能影響納入考量(第十五段)。
2. 會員國須採取一切合理且合適的手段確保跨境個人資料流通不被干擾且 受到保護(第十六段)。
3. 原則上會員國不應限制跨境個人資料之流通,除非資料傳輸的目的地國還 未充分注意(substantially observe)到此指導方針,或是該資料的再傳輸
(re-export)將會違反該國國內法。除此之外,會員國亦得在已有相關立 法以及傳輸目的地國未具有相同水準之保護下,限制特定領域的個人資料 之流通(第十七段)。
4. 若以保護隱私及個人自由為目的為出發點,所建立的法律、政策實務
(practices)將會對個人資料的跨境流通形成高於保護水準所需之限制,
則會員國應避免之(第十八段)。
有關個人資料保護的原則如下:
1. 蒐集限制原則(Collection Limitation Principle);蒐集應經本人認可,以合 法、公正手段取得75。
74 OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980, Preface.
75 Id. para. 7.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
36
2. 資料品質原則(Data Quality Principle);符合特定目的,並確保資料正確、
完整及個人資料保持最新狀態76。
3. 特定目的原則(Purpose Specification Principle);收集之目的應於收集時即 明確述明,同時不逾越初始特定目的之原則77。
4. 使用限制原則(Use Limitation Principle);除非(a)資料本人同意(b)法 令許可,個人資料皆不得洩漏78。
5. 安全防護原則(Security Safeguards Principle);個人資料必須採取合理的防 護,以避免遺失、未授權存取、毀壞、使用、竄改或洩漏之風險79。
6. 公開原則(Openness Principle);應有一般政策協助個人資料開發、實作及 策略等事項。同時應有方法協助辨識個人資料之存在、本質、使用目的及資 料的控管者80。
7. 個人參與原則(Individual Participation Principle);個人應有權利(a)向資 料控管者確認是否保有個人資料(b)資料控管者以合理時間、收費及清楚可 讀資料與本人溝通(c)若資料控管者拒絶上述兩項請求,個資本人可要求被 拒之理由(d)個資本人得要求資料之刪除、修改及其正確性81。
8. 歸責原則(Accountability Principle);資料控管者必須依據上述原則,落實
76 Id. para. 8.
77 Id. para. 9.
78 Id. para. 10.
79 Id. para. 11.
80 Id. para. 12.
81 Id. para. 13.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
37
個人資料保護責任82。
1990 年,聯合國以指導文件(guidance document)的形式發佈有關「電腦化 個人資料」之指導方針。文件的第九段提到,「當資料傳輸所涉及之兩個國家或多 個國家之法律對隱私皆提供相當(comparable)程度之保護時,應使資訊流通之自 由度有如其於同一國家領域內流通。若缺乏前述之保護,則對資訊流通的限制不 可過度,超出保護隱私所需的限制程度。」
1995 年,世界貿易組織(World Trade Organization)服務貿易總協定通過並實 施,其中亦有與跨境資訊流通的相關規範,也因此影響個人資料之傳輸。簡單來 說,對跨境資訊的管制可能影響國際服務貿易的進行,因此便有違反 GATS 之虞83。 在取得管制與服務貿發展的平衡之下,GATS 規定,各會員國必須在資料保護規範
(其中包括跨境資訊流通)不構成對貿易之變相限制(disguised restriction)的前 提下,施行該規範84。
2004 年,21 個 APEC 的成員國通過 APEC 隱私權架構,而成員國得自願性地 執行其中的規範,在跨境個人資料傳輸方面,該架構係以「當責原則」為主要準 則。該原則最初是在 OECD 指導原則下被提出,即「確保最初蒐集個人資料的行 為人,在蒐集行為地以及行為當下遵守相關隱私權規範,無論未來該行為人所蒐 集之個人資料將被傳輸至哪個國家或組織」。
某些 APEC 會員國陸續將「當責原則」寫入他們的資料保護法中。如加拿大 的「個人資訊保護與電子檔案法」,以及澳洲於 2010 年公布以徵詢意見的「隱私 權原則」草案。進一步而言,「當責原則」並不針對跨境資訊流通限制之,而是將
82 Id. para. 14.
83 Peter P. Swire, Robert E. Litan, None of Your Business: World Data Flows, Electronic Commerce, and the European Privacy Directive, Havard Journal of Law & Technology, Vol.12, No.3, 1998, p.693.
84 General Agreement on Trade in Services, Article XIV(c)(ii).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
38
遵循規範的責任加諸於進行國際資料傳輸的行為者身上。在實務上,當責原則可 能會促使相關組織採行由組織內管理層級(senior management)所認定適當的隱私 權政策,並指派足夠的人手執行之、訓練相關人員、採行內部監督與外部審核
(verification)計畫、加強相關政策落實的透明度,或是實施能確實執行該隱私權 政策的機制。
不過由於成員國係自願性地實施該架構,有多少成員國願意採用其中的原則,
仍在未定之天,除此之外,由於 APEC 隱私權架構為一相對新的規範,除了已採 用相似規則的成員國外,該架構在各國體制下實際應用的經驗仍有限。APEC 各成 員國對於隱私權保護所採行的方式各有不同,將前述原則落實於國內體制中可能 並不需要重新訂定法律,而僅需透過其他方式如:產業自我規範機制,換句話說,
即使在已採行「當責原則」的國家之間,保護跨境資料隱私權的方式亦可能有著 相當程度的差異。
對於個人資料保護,APEC 隱私權架構有以下九大原則:
1. 預防損害(Preventing Harm);考量個人資料的保護,以避免資訊遭誤用;
其次,對於個人資料之蒐集、使用及傳輸損害發生之可能與嚴重性,應有 適切的改善措施。
2. 告知(Notice);個人資料控管者應對於組織如何進行個資之實作與政策,
應提供清楚且容易取得之聲明,包括(a)個人資料以何種方式蒐集(b)
個人資料蒐集的目的(c)可能揭露個人資料的對象或組織(d)明示個人 資料管理者身分與所在,包括如何聯繫他們及處置個人資料的方法(e)
個人資料蒐集的目的(c)可能揭露個人資料的對象或組織(d)明示個人 資料管理者身分與所在,包括如何聯繫他們及處置個人資料的方法(e)