歐美跨境資料傳輸與個人資料保護之衝突

目前全球的雲端市場中，無論Saas、Iaas 或 Paas 的服務型態，主要的服務 提供者皆為美國公司。對於這些大型雲端服務提供者，歐盟整體而言為其最大 且最有潛力的海外市場。但歐盟境內的雲端服務使用者（無論是個人、企業抑 或是政府組織）在選擇是否採用美國業者所提供的雲端運算服務時，會衡量雲 端運算服務所帶來的利益與可造成的風險。對於使用雲端運算服務的企業而 言，使用雲端服務固然可減少大量IT 成本，並提供企業更多投入科技創新或新 的業務以提升企業整體表現的機會，然而雲端運算產業的特性在於利用遠端的 處理設備與技術匯集大量資料，依照個別使用者的需求動態分配資料處理的資 源，以增加處理效率。因此想要透過雲端科技更有效率的完成個人資料的處理

50 Konstantinos K. Stylianou, An Evolutionary Study of Cloud Computing Services Privacy Terms, 27 J.MARSHALL J.COMPUTER &INFO.L. 593 (2010).

51 OECD, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofperso naldata.htm. (last visited: June 1, 2018).

52 有時候更會有基礎設施、平台提供和應用程式分別由不同服務提供者提供的狀況。

必然涉及資料在使用者與雲端服務提供者之間的傳輸，而此傳輸的過程引發對 於個人資料隱私保護的疑慮。而且在現在的雲端產業中，如果由美國雲端業者 提供資料伺服器和處理服務，個人資料必然要進行跨大西洋的傳輸，此現象也 引起歐美之間資料保護法要求保護程度不同的疑慮。尤其是一直以來歐盟被認 為對於隱私重視的程度較其他國家高，為了使用美國雲端業者所提供的遠端雲 端服務，隱私保護成為最主要的法律障礙⁵³。另外，不同於傳統資料的保護問 題，儲存在雲端的個人資料的法律權利歸屬也引發疑慮。哪些組織及個人有權 利及在何種情況之下得取得與使用該些資料，這個議題也涵蓋政府基於國家安 全和法律執行的目的取得資料的爭議，而且儲存在位在美國伺服器內的資料，

其資料隱私的保護是否要適用歐盟的法律亦具爭議⁵⁴。此外如上所述，通常為 了完成更有效率的資料處理服務，雲端業者可能會將一項雲端的資料處理切割 成不同部份分別外包給不同的雲端服務提供者。以最簡單的情況為例，一個 APP 開發的新創公司（SaaS）可能僅提供雲端的軟體服務，其所使用的平台

（PaaS）和平台（IaaS）還是由其他雲端業者提供。基於這些特性雲端運算服 務對於隱私保護造成的威脅被廣泛認為是最複雜的問題。歐盟和美國採用完全 不同的方法對個人資料進行保護，讓在美國業者進入歐盟市場時的隱私保護衝 突和疑慮最為嚴重，如果美國的雲端運算服務提供業者想要將其在歐洲蒐集到 的資料傳送到美國，除非美國可以提供和歐盟法律相同程度的保護，否則將會 被禁止進行跨境傳輸行為⁵⁵。因為不能達到歐盟對於資料保護要求而導致「禁 止資料傳輸」的後果，可能直接影響雲端運算服務存在的可能性。以歐盟境內 使用者的角度觀之，美國公司如果不能確定可以符合歐盟對於隱私保護的要 求，即使該服務對其有成本減少、刺激創新等正面效益，這些雲端運算服務都 是不可得的。本文認為美國雲端服務提供業者所需承擔的法律成本為歐盟境內

53 OECD, supra note 6, at 19.

54 Id.

55 Konstantinos K. Stylianou, supra note 50, at 597.

使用者是否採用雲端運算服務的決定性因素。第三章將分析美國和歐盟對於個 人資料隱私保護規範的具體落差，並說明法規落差對於業者而言的問題為何，

以及雲端運算業者是否因其產業特性而遭遇更多挑戰。