標準契約範本內容 標準契約範本內容 標準契約範本內容 標準契約範本內容

第二節 第二節 標準契約範本內容 標準契約範本內容 標準契約範本內容 標準契約範本內容

第一項 第一項

第一項第一項 規範目的規範目的規範目的及適用範圍規範目的及適用範圍及適用範圍 及適用範圍

標準契約範本係介於合約雙方及法律規範之特殊契約，由於各國法 令對個人資料保護程度各有不同，透過標準契約範本得補充資料接收國 有關資料保護法律規範之不足，簡化國際傳輸之程序及降低傳輸成本，

惟採用標準契約範本畢竟僅能拘束契約雙方，尚無法取代各國資料保護 之立法，採用標準契約範本之目的如下¹¹⁵：

一、解決各國因資料保護規範之差異產生國際傳輸複雜之法律問題。

二、在尊重個人隱私權之前提下，協助個人資料之自由流通。

三、承認國際貿易因資料傳輸獲取之利益。

四、推動各國對個人資料保護規範之重視。

在全球對於個人資料保護缺乏一致性之規範下，由於採用標準契約 範本能對當事人權益提供額外之保障，故為企業國際傳輸個人資料時所 常見採行之方法。標準契約範本由於係以契約模式約束雙方應履行之契 約義務，故僅適用於個人資料於二個獨立之經濟個體間之傳輸、集團內 不同公司間（不同法律主體間）之資料傳輸，以及資料管理者與提供資 料處理服務公司間之資料傳輸。

相對於資料之接收，歐盟委員會更為重視自歐盟輸出個人資料之管 理（含資料輸出前及輸出後），故在整體資料保護法律架構下，係賦予 資料輸出者較大之監督義務。當標準契約範本之一方違反契約條款時，

自應由資料輸出者負主要責任（或與資料接收者負連帶責任），故當資

115 Lingjie Kong, supra note 10, at 449.

料接收者違反契約條款時，當事人除得依據契約條款直接向輸出者請求 損害賠償外，並要求資料輸出者採行適當措施¹¹⁶。

第二項 第二項

第二項第二項 條款內容條款內容條款內容 條款內容

目前經歐盟委員會核准採用之標準契約範本計有三種，二種為資料管 理者輸出資料至第三國家之資料管理者適用，另一種則適用於資料管理者 輸出資料至第三國家之資料處理者，三種類型之標準契約範本依條款內容 得分為一般條款及其他條款內容：

一一

一一、、、、一般一般一般一般條款內容條款內容條款內容（條款內容（（general clauses）（ ）））

（一）名詞定義：明定標準契約範本所稱「個人資料」、「資料之 分類」、「資料處理」、「管理者」、「處理者」、「個人 資料之當事人」及「監理機關」等名詞之定義與歐盟指令之 規範相同，資料輸出者係指負責傳輸資料之資料管理者、資 料接收者係指因資料處理需求，而自資料輸出者接收資料之 資料處理者。另於範本三明定複委託者（sub-processor）係指 接受第三國家之資料接收者之委託，再進行資料處理之處理 者。

（二）國際傳輸之資料內容：標準契約條款明定資料輸出者應依據 附件格式填列所欲傳輸個人資料之內容、性質及傳輸目的等 詳細資訊，並將該附件列為標準契約範本之一部分，另因傳 輸資料之內容可能涉及商業機密，故除依據法律、監理機關、

其他政府機關或當事人之要求外，該等資訊內容不得揭露予 第三人知悉。

（三）契約管轄法律：標準契約條款應明定契約應適用資料輸出者 當地國之資料保護法律。

116 Lingjie Kong, supra note 10, at 450-451.

（四）契約條款之變動：明定契約雙方不得以任何理由，變動或調 整標準契約範本所訂之條款內容（除通知監理機關變更傳輸 資料之內容外）。

二二

二二、、、、其他其他其他其他條款內容條款內容條款內容 條款內容

（

（

（

（一一一一））））2001 年發布之年發布之年發布之範本一年發布之範本一範本一範本一（（（（管理者傳輸予管理者適用管理者傳輸予管理者適用管理者傳輸予管理者適用管理者傳輸予管理者適用））））¹¹⁷

1、第三人利益條款：當事人應能向資料輸出者及接收者主張本 契約條款訂定之第三人利益條款，契約雙方並不得拒絕當事 人行使其權利。（第 3 條）

2、資料輸出者之義務（第 4 條）

(1)處理個人資料應持續遵循契約條款內容，且不得違反資 料保護法律之相關規定。

(2)傳輸之資料若包含敏感性資料，輸出者應於傳輸前，應 通知當事人個人資料可能被傳輸至尚未有適當資料保護 法律規範之第三國家。

(3)輸出者應依據當事人之申請，提供與其個人資料傳輸之 相關資訊。

(4)輸出者應於合理時間內回復監理機關詢問有關個人資料 由資料處理者進行處理之相關問題。

3、資料接收者之義務（第 5 條）

(1)資料接收者不得以任何理由，阻礙輸出者對其所為之監 督行為，若因資料保護法令變動造成資料接收者可能違反 契約義務，致對當事人權益產生重大負面之效果時，接收

117 Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC, available at

http://eur-lex.europa.eu/LexUriServ/site/en/oj/2001/l_181/l_18120010704en00190031.pdf （last visited November, 2011）

者應立即通知資料輸出者，輸出者並有權停止資料之傳輸

9、 自動化之個別處理（Automated individual decisions）：除符合歐盟指令第 15 條(2)之情形 外，若個人資料處理之產生將對資料當事人產生法律效果或重大影響當事人之權利時，

例如經由個人資料自動化之處理以評估當事人之工作績效、信用狀況、信賴程度、管理 能力等，不得採行任何之自動化之處理。

(3)接收者應於合理時間內適當處理輸出者或當事人提出之 詢問，並遵循監理機關對於個人資料傳輸提出之建議。

(4)輸出者得依據監理機關之規定，自行或委託外部獨立之 人員對接收者處理個人資料程序是否符合契約約定進行 查核。

(7)資料接收者應依據當事人之申請，提供其處理個人資料 之契約內容（但得移除涉及商業機密之條款）。

4、契約雙方之責任（第 6 條）

(1)當事人因契約雙方違反標準契約範本第 3 條規定，造成 當事人權益之損害時，除契約雙方能證明未違反契約條款 外，對當事人應負損害賠償之責。

(2)資料輸出者及接收者對於因違反契約義務，致對當事人 權益造成損害，應負連帶賠償之責。

(3)契約雙方同意，當一方違反契約條款，致另一方須先對 當事人負損害賠償之責時，另一方於支付當事人相關賠償 後，得向違反契約條款之一方請求賠償。

5、爭議處理機制與司法管轄權（第 7 條）

(1)契約雙方同意，若當事人與契約之一方產生爭議，並依 據第三人利益條款主張其權利時，應同意當事人所作之下 列決定：

A.要求將爭議案件交付監理機關進行調解。

B.要求將爭議案件於資料輸出者之管轄法院提起訴訟。

119標準契約範本第 5 條(b)第 2 段規定，資料接收者應遵循有關(1)目的性限制、(2)取得、更正、

刪除及凍結資料之權利，以及(3)資料再傳輸限制等 3 項資料保護原則。

(2)契約雙方同意，當事人與契約之一方產生爭議時，若該 方國家已納入國際仲裁紐約公約（New York convention）

之會員國時，得依該公約規定進行仲裁。

(3)契約雙方應同意當事人所作之選擇，並不得以遵循當地 法律或因其他契約條款之限制，損害當事人之訴訟權。

6、與監理機關之合作：契約雙方同意將契約內容之影本，依據 資料保護法律之規定提供給有關之監理機關（第 8 條）。

7、契約之終止：契約雙方同意契約條款得於任何時點、任何情 況下終止（第 9 條）。

（（

（（二二二二））））2004 年發布之年發布之年發布之範本二年發布之範本二範本二範本二（（（（管理者傳輸予管理者適用管理者傳輸予管理者適用管理者傳輸予管理者適用管理者傳輸予管理者適用））））¹²⁰

為強化標準契約範本對當事人權益之保護，歐盟委員會於 2004 年發布範本二，並修訂範本一之條款內容，包括賦予資料輸 出者得查核接收者對於所接收個人資料之保護、要求資料接收者提 供其財務能力之證明，以確保當事人個人資料遭受損害時，接收者 有損害賠償之能力、加強當事人行使第三人利益條款之權利，例如 當接受者違反契約條款，但輸出者仍繼續輸出個人資料時，當事人 得採行之措施、當事人有權要求於輸出者所在國提起訴訟、授權監 理機關得於接收者拒絕合作時，終止或暫緩個人資料之傳輸等，範 本二之條款內容如下：

1、資料輸出者之義務

(1)個人資料之蒐集、處理及傳輸應遵循資料輸出者所在國 適用之資料保護法律等相關規定。

120 Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries, available at http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:

385:0074:0084:EN:PDF（last visited November, 2011）。.

(2)輸出者應採行適當評估程序以決定接收者是否能履行契 約之法定義務。

(3)資料輸出者應提供其所在國之資料保護法令等相關規定 予資料接收者。

(4)若資料接收者不願或無法回復當事人及監理機關提出之 之相關問題，輸出者應協助答復其知悉之相關資訊。

(5)資料輸出者應依據當事人之要求提供契約影本。

2、資料接收者之義務

(1)資料接收者應有適當技術及安全措施以保護個人資料不 被意外或非法之破壞或損失、或未經授權之揭露或存取。

(2)接收者應訂定經授權之第三人（含資料處理者）能存取 個人資料之適當作業程序。接收者應重視及維持個人資料 之機密性及安全性，任何經接收者授權之人，對於個人資 料僅能依據接收者之指示進行處理。惟本條款不適用於依 法律或命令經授權或要求存取個人資料之人（如監理機

(2)接收者應訂定經授權之第三人（含資料處理者）能存取 個人資料之適當作業程序。接收者應重視及維持個人資料 之機密性及安全性，任何經接收者授權之人，對於個人資 料僅能依據接收者之指示進行處理。惟本條款不適用於依 法律或命令經授權或要求存取個人資料之人（如監理機