歐盟資料保護指令之跨境傳輸規範

174 Working Party on the Protection of Individuals with Regard to the Processing of Personal Data, Opinion 1/99 Concerning the Level of Data Protection in the United States and the Ongoing Discussion Between the European Commission and the United States Government, Jan. 26, 1999, WP 15, 5092/98, at 4.

根據歐盟1995 年 DPD 第 25 條第 1 項之規定，會員國應該確保任何傳輸至 第三國後將欲處理之個人資料的傳輸，僅得在遵循符合本指令之國內法的情況 下得以進行，該第三國應該確保對資料的充足保護¹⁷⁵。意指資料傳輸的目的地 國對個人資料應該要有「充足的保護水準（adequate level of protection）」。而所 謂充足的保護水準根據歐洲法院（Court of Justice of the European Union ,

CJEU）的見解，應該依照指令第 25 條第 2 項所有的情況進行權衡¹⁷⁶。第25 條 第2 項所羅列應納入考量的相關標準包含資料的性質、資料處理目的、處理期 間、資料來源國以及傳輸之目的地國與第三國現行有效之一般法律規定及特別 規定等¹⁷⁷。但資料傳輸的目的地國（第三國）的資料保護水準未必需要和歐盟

「完全相同」，但需達到本質上相當（essentially equivalent）的水準¹⁷⁸。第三國 的資料保護法規是否提供資料充足的保護水準是由執委會評估，並做出「適足

176 Case C-362/14, Maximillian Schrems v. Data Protection Commissioner, Judgement of 6 October 2015, ¶ 70.

177 Directive 95/46/EC art. 25(2).

178 Id. ¶ 73.

179 Directive 95/46/EC art. 26(a).

180 Directive 95/46/EC art. 26(b).

181 Directive 95/46/EC art. 26(c).

182 Directive 95/46/EC art. 26(d)

183 Directive 95/46/EC art. 26(e).

者，但僅限於滿足該歐盟或會員國法所列之特定條件的情況¹⁸⁴。第26 項第 2 條 則說明如果控制者得提供適當的保護措施（adequate safeguards），以確保資料隱 私、資料主體之基本權利受到保護，則即使傳輸之目的地不符合25 條的充足保 護水準，控制者仍得進行傳輸。

因此任何企業或組織如果欲將資料跨境傳輸到歐盟境外，只得在該目的地 國的規範具充足保護水準，或該傳輸行為符合DPD 所列之特定例外的情況下才 得進行。根據此規範原則，本節將介紹在DPD 的法律制度下，美國業者進行跨 境傳輸的主要途徑。另外，因雲端運算產業為近年來快速發展的新興產業，具 有特殊之產業型態，故本節最後將分析現況下一般美國企業用以作為跨境資料 傳輸之途徑於雲端運算產業是否適用。

第一目 DPD 下之傳輸途徑

首先，雖然美國從未主動要求歐盟執委會對其資料保護法規之進行「適足 性」的審查，並做出認定，但歐盟各會員國的共識為美國的隱私法並未達到充 足的資料保護水準¹⁸⁵。因此，美國業者很難以執委會對美國整個資料保護法規 之適足性認定作為傳輸的基礎。在此情況下，美國業者解決資料傳輸困境的途 徑如下：

1. 資料主體的同意（consent）

依據DPD 第 26 條第 1 項（a）款，資料主體對於資料跨境傳輸給予清 楚地（unambiguously）同意則得例外進行跨境資料傳輸，而這項同意必須 由資料主體主動給予（freely given），且必須針對「特定（specific）」的傳 輸行為¹⁸⁶。通常這項方法用於一次性的資料傳輸（specific one-off

184 Directive 95/46/EC art. 26(f).

185 Paul M. Schwartz, supra note 83, at 1980.

186 Directive 95/46/EC, art. 26(1)(a)

transfer），重複且持續進行的跨境資料傳輸要取得資料主體對於特定傳輸行 為明確的同意非常困難。

2. 標準化條款（Standard Contractual Clause, SCC）

根據DPD 第 26 條第 2 項，資料控制者提供適當保護措施亦得做為合 法傳輸的依據，據此，歐盟執委會訂定2 項標準化條款，提供企業作為適 當的保護措施。企業或組織在簽定契約時，於契約中納入SCC，即得認為 資料控制者與資料傳輸的接受者願意遵守歐盟指令中關於資料保護的原 則，而SCC 即為進行跨境資料傳輸的法律依據。目前的 SCC 包含一項適 用於歐盟境內的資料控制者將資料傳輸到歐盟或EEA 境外的資料控制者的 情況（controller-controller）¹⁸⁷，另一項則適用於位於歐盟境內之資料控制 者將資料傳輸到歐盟或EEA

境外的資料處理者的情況（controller-processor）¹⁸⁸。

然而，SCC 是否得以提供跨境資料傳輸有效的隱私保護現階段仍有爭 議，其中最受矚目的案件是

Irish Data Protection Commissioner v. Facebook and Max Schrems 一案。該案起源於一名奧地利公民 Max Schrems 向愛爾蘭

資料保護主管機關（Irish Data Protection Commissioner, 以下簡稱愛爾蘭 DPC）提起控訴，認為美國 Facebook 公司和愛爾蘭 Facebook 公司使用 SCC 作為資料傳輸的法律依據，並不能有效確保其資料受到歐盟指令要求 的充足保護。其主張美國政府在SCC 的規範下仍可以透過大規模的監控來 取得個人資料，認為歐盟法律制度賦予個人的基本隱私權利受到侵犯¹⁸⁹。

187 Commission Decision 2001/497/EC of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries under Directive 95/46/EC, at 19, O.J. (L 181), July 4, 2001;

2004 年執委會針對 2001 年的 SCC 進行修改。

188 Commission Decision 2002/16/EC of 27 December 2001 on standard contractual clauses for the transfer of personal data to processors established in third countries, under Directive 95/46/EC, at 52, O.J. (L 6) (Jan. 10, 2002). .

189 Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems, [2016] No.

4809 (H. Ct.) (lr.).

愛爾蘭DPC 認為美國政府授權對於從歐盟傳送到美國的個人資料進行電子 監控，且在美國的法律制度下受影響的資料主體未有有效的救濟途徑，違 反歐洲基本權利憲章第47 條的規範，同時也違反憲章第 7、8 條賦予人民 的基本隱私權¹⁹⁰。因此愛爾蘭DPC 主張以歐盟執委會訂定的 SC 作為保護 措施也未能有效保護資料隱私。然而SCC 係由歐盟執委會的決議訂定，故 SCC 是否無效應由歐盟法院裁定，相關的法律程序目前被提交到歐盟法院 進行先行裁決。SCC 的法律效力面臨可能會被宣判無效的不確定性。

3. 企業內部約束規則

同樣根據DPD 第 26 條第 2 項，具拘束力之企業規則（Binding

Corporate Rules, BCR）亦是提供適當保護措施的途徑之一。BCR 指的是同 一個企業集團內部，在將個人資料轉移到一個或多個EEA 境外之第三方國 家同一集團的資料控制者或處理者時，必須遵守企業針對個人資料保護訂 定的內部規範。透過BCR 的保護，個人資料得以例外被傳輸到歐盟境外。

BCR 主要是藉由企業足夠的內部控制來確保個人資料的隱私，但 BCR 必 須由各會員國的資料主管機關確認後方得作為跨境資料傳輸的法律基礎。

即使目前歐盟內已經有許多關於企業訂定BCR 的指導¹⁹¹，但企業採納 BCR 的狀況卻不理想，主要是因為現在取得主管機關同意的程序冗長又昂 貴，很多企業認為訂定BCR 非常麻煩且費時費力。

4. 歐美跨境資料傳輸協議

190 歐洲基本權利憲章第 47 條保障歐盟公民尋求司法救濟和公正裁判的權利。

191 Working Document Establishing a Model Checklist Application for Approval of Binding Corporate Rules, Apr. 14, 2005, WP108, 05/EN; Recommendation 1/2007 on the Standard Application for the Approval of Binding Corporate Rules for the Transfer of Personal Data, Jan. 10, 2017, WP 133;

Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, June 24, 2008, WP153, 18/EN; Working Document Setting up a framework for the structure of Binding Corporate Rules, June 24, 2008, WP154, 1271-00-01/08/EN.

如前所述，美國的資料保護法規本身未能達到歐盟DPD 第 25 條規範 的「充足保護水準」，故原則上歐盟公民的個人資料被禁止傳送到美國。為 了解決法規上的落差，美國商務部（U.S. Department of Commerce, DOC）

和歐盟執委會共同發展出「美國—歐盟安全港架構（U.S.-EU Safe Harbor Framework）」。DOC 於 2000 年發布了安全港協議隱私原則¹⁹²，而歐盟執委 會對此也做出適足性的認定，同意如果美國企業符合安全港協議之原則及

192 U.S. Department of Commerce, Safe Harbor Privacy Principles and Related Frequently Asked Questions, July 21, 2000.

193 Commission Decision 2000/520/EC, of July 26, 2000 Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the Adequacy of the Protect Provided by the Safe Harbor Privacy Principles and Related Frequently Asked Questions Issued by the U.S. Department of Commerce, July 26, 2000, C(2000) 2441, 2000/520/EC.

194 安全港協議的 7 項基本原則分別是：1. 通知（Notice）：組織必須要告知個人關於蒐集和使 用資料的目地、如果個人有疑問應該如何與組織聯繫以及個人資料將會被揭露給哪些第三方。

2. 選擇（Choice）：組織必須提供個人下列事項的選擇權利：(a) 揭露資料給第三方；(b) 將資 料用於原本蒐集和後續被授權使用之目的不同的目地。3. 後續的傳輸（Onward transfer）：將資 料進一步傳輸給第三方，必須要遵守通知和選擇的原則，而該第三方也要提供相同的隱私保護

此認定安全港協議無效¹⁹⁵。CJEU 的判決對於美國和歐盟之間的貿易影響 重大，因為有將近4000 家企業是依靠安全港協議進行資料傳輸¹⁹⁶。雖然這 些企業還是得以SCC 或 BCR 等傳輸途徑進行傳輸，但執委會和 DOC 仍然 認為歐美之間需要發展新的隱私保護框架，以確保跨大西洋資料傳輸的法 律穩定性。因此雙方於2016 年 7 月達成新的隱私架構協議的共識──「歐 盟—美國隱私屏障框架（EU-US Privacy Shield framework）」¹⁹⁷。新的協議 中加強原本安全港協議規範的程度，並針對美國業者設立新的義務，此協 議為許多雲端運算服務業者用以作為正當化依據的途徑，詳細規範內容將 於後續章節深入討論。

第二目 美國雲端業者適用 DPD 下傳輸途徑之困境

在DPD 的規範下，雖然已經存在可以做為跨大西洋資料傳輸法律依據的途 徑，但雲端運算服務如前面的介紹所述，為近年興起以資料處理為中心的產 業，在服務提供的過程通常涉及資料跨境傳輸，而這些過程必須要符合歐盟 DPD 下各歐盟會員國所採行的法律¹⁹⁸。然而歐盟在訂定DPD 時並未考量到此 種資料密集產業的快速發展，故法規的訂定也未考量到雲端運算服務的產業特 性，這些雲端運算獨有的產業特性也讓雲端服務提供者在適用現有途徑時面臨 到許多挑戰。因此接下來將說明在DPD 的規範下，雲端運算業者在適用跨境傳 輸途徑時會遇到的問題。

首先，取得資料主體同意的方式並不可行。同意的方式通常用於特定的一

195 Case C‑362/14, supra note 176.

196 P. Chase, S. David-Wilp & T. Ridout,Transatlantic Digital Economy and Data Protection: State-of-Play and Future Implications for the EU's External Policies, 2016,

http://www.europarl.europa.eu/RegData/etudes/STUD/2016/535006/EXPO_STU(2016)535006_EN.pd f.

197 Privacy Shield Framework, https://www.privacyshield.gov/welcome.

198 Judith Rauhofer & Caspar Bowden, Protecting their own: Fundamental rights implications for EU data sovereignty in the cloud,EDINBURGH SCHOOL OF LAW RESEARCH PAPER (June 21, 2013).

次性資料傳輸（specific one-off transfer），而非像絕大部分雲端運算所使用的重 複以及持續進行的資料交換¹⁹⁹。對於資料控制者而言，要取得資料主體對於資 料控制「精確」的同意是非常困難的，或甚至是不可能²⁰⁰。此外以同意作為正 當化資料傳輸的方式，必須要在傳輸之前先取得同意，因此所有傳輸的細節必

次性資料傳輸（specific one-off transfer），而非像絕大部分雲端運算所使用的重 複以及持續進行的資料交換¹⁹⁹。對於資料控制者而言，要取得資料主體對於資 料控制「精確」的同意是非常困難的，或甚至是不可能²⁰⁰。此外以同意作為正 當化資料傳輸的方式，必須要在傳輸之前先取得同意，因此所有傳輸的細節必

在文檔中 歐盟與美國有關雲端運算產業從事跨境資料傳輸法制之比較研究 - 政大學術集成 (頁 52-61)