雲端運算(Cloud computing)市場近年來隨著科技的進展而快速成長。根 據統計,2018 年全球將會有半數以上的企業使用公共的雲端平台提供服務,且 雲端的應用、平台和服務將會持續快速地改變企業營運的模式1。所謂的雲端運 算可以被認為是透過網路,利用遠端或外部伺服器進行資料處理的方法2。此種 因應科技發展所興起的產業為各國帶來鉅額的經濟效益,卻也帶來同等的風 險,尤其是科技快速發展通常伴隨對現有法規制度的挑戰。對於雲端運算產業 而言,大量使用個人資料作為服務提供之基礎,引發各國對於侵害個人資料隱 私權的疑慮。而各國對於個人隱私權的看法和保護手段的差異,使得雲端產業 所面臨的法規挑戰更為複雜,尤其是歐盟和美國之間更是如此。歐盟將隱私權 視為公民之基本權利不得侵犯,且透過資料保護指令提供歐洲公民許多資料保 護的權利,但相反的,美國的法律體系在個人資料的保護上較為鬆散,使得作 為雲端運算產業主要服務提供者的美國業者,在進入歐盟市場時遇到莫大的阻 礙。法律關於隱私權的規範可能是雲端運算產業發展,以及各國雲端運算市場 連結之最大阻礙,且美國雲端業者提供服務予歐盟市場所涉及資料跨大西洋的 傳輸,更是引起歐盟內部許多個人與隱私保護倡議組織的疑慮,故詳細檢視歐 盟和美國資料保護之規則以及雲端業者進行跨境資料傳輸之行為對於隱私權的 影響有其必要。
第一節 研究動機與目的
1 Forrester, Predictions 2018: Cloud Computing Accelerates Enterprise Transformation Everywhere, Nov. 7, 2017,
https://www.forrester.com/report/Predictions+2018+Cloud+Computing+Accelerates+Enterprise+Trans formation+Everywhere/-/E-RES139611.
2 Kommerskollegium, Swedish National Board of Trade. How Borderless is the Cloud?: An Introduction to cloud computing and international trade. Sep., 2012, at 3, available at https://www.wto.org/english/tratop_e/serv_e/wkshop_june13_e/how_borderless_cloud_e.pdf
近年來,尤其是在美國前中央情報局官員史諾登(Edward Snowden)揭露 美國對於外國人大規模無差別的情報監控後,各國對於個人資料隱私越來越重 視。不只美國修改其國內關於情報蒐集的政策與法案,歐盟也加快改革資料保 護規則的腳步,以確保對於隱私權最高水準的保護。然而對於現今網路普及的 數位世代,資料的傳輸和使用為許多新興產業不可或缺的重要基礎,尤其是在 全球化市場中,資料的跨境傳輸更是常見。但目前國際上缺乏統一的隱私保護 規範,使得各國法律規範程度的落差形成產業發展的障礙。作為雲端產業主要 服務提供者的美國,以及主要市場之一的歐盟,就個人資料保護的爭議更是長 期存在。美國業者在進入歐盟市場提供服務時,在符合歐盟跨大西洋資料傳輸 規範的議題上遇到許多阻礙,失去進入歐盟市場的機會將使美國雲端業者蒙受 鉅額經濟損失。在此一背景下,如何確保美國業者取得合法且有效的跨大西洋 資料傳輸方法,實為重要且必須優先解決的議題。因此,本文將會首先說明大 西洋兩岸的法規落差,接著檢視現況下的制度是否得以提供美國雲端業者克服 法規障礙的方法,確保跨大西洋資料傳輸的穩定性。
另外,在2015 年前,多數美國業者都是以歐盟執委會與美國商務部共同發 展之「安全港框架協議(Safe Harbor Framework)」作為跨大西洋資料傳輸的法 律基礎,然而該協議在2015 被法院宣告無效。取而代之的是 2016 年通過的歐 美「隱私屏障協議(Privacy Shield Framework)」,此協議加強了安全港協議中 的規範,目前是多數雲端服務業者跨大西洋資料傳輸的法律依據。因此,本文 亦試圖分析隱私屏障協議施行後,是否得以確實作為有效的跨大西洋資料傳輸 的基礎,協助美國業者在透過使用資料獲利的同時,也得確保歐盟公民的隱私 權受到完善的保護。
第二節 研究架構
因本文通篇將以雲端運算產業為基礎,了解該產業在現況的隱私保護制度
下,所遇到關於跨境資料傳輸之困境,故將在第二章將先針對「雲端運算產 業」之定義、產業型態與使用雲端運算之利益與風險進行完整的說明,同時也 會介紹目前雲端運算產業的現況,以解釋進入歐盟市場對於美國雲端業者之重 要性,並突顯法規落差造成之阻礙的影響。接著本文將於第三章分析歐盟與美 國兩個法律制度對於資料隱私權的規範落差。歐盟在2018 開始施行改革後的新 資料保護規則,因此第三章之分析也會包含新的資料保護的規範內容。並著重 在保護目的、保護手段、提供予個人之權利與賦予業者的義務和法律的執行等 各個面向的分析,進行異同比較。對於雲端運算產業而言,資料跨境傳輸為不 可或缺的要件,因此,本文將於第四章說明在歐盟新舊資料保護規範下對於跨 境資料傳輸的法規差異,以及目前業者履行這些規範義務以進行跨境資料傳輸 的方法,並分析雲端運算產業是否因其產業特性而遇到更多阻礙。如前所述,
雲端運算業者最廣泛使用的跨境傳輸途徑為隱私屏障協議,該協議之有效性以 及未來可能會遇到的風險為本文第五章之重點。最後將完整的分析於第六章作 一結論。本文希望可以透過對於資料保護規範之通盤介紹與分析,以及對於現 行資料跨境傳輸途徑之檢討,了解美國雲端產業進入歐盟市場的阻礙以及得改 善之方向。
第三節 研究方法
為了解雲端運算產業、歐美資料保護規範落差與跨大西洋資料傳輸的現 況,本文主要透過文獻回顧法整理相關文獻,以及透過比較法的方式分析歐美 規範以及歐盟新舊規範之異同。在雲端運算產業的部份,該產業發展快速涉及 之範圍廣大,許多國際組織、各國政府和學者都分別對此議題進行探討,故此 部分將以歸納國內外新聞,產業、國際組織和研究機構之報告為主,並輔以調 查數據以了解該產業之發展與現況。另外,針對歐盟與美國資料保護規範以及 雙方簽訂之協議,本文透過相關條文介紹與比較的方式審視規範之異同,並整
理學者與該領域之官方專家小組的意見(如歐盟資料保護指令第二十九條工作 小組意見書)試圖釐清雲端運算產業在進行資料傳輸時所面臨之歐美法規落的 具體落差與障礙,及各方之看法與建議3。最後在隱私屏障協議規範探討的部 份,以歐美對於隱私屏障協議第一次共同審查之報告為主要分析框架,分別說 明該規範對於解決舊有跨境資料傳輸協議之問題是否有效,以及未來可能發生 的法律風險4。
3 Opinion 05/2012 on Cloud Computing, July 1, 2012, WP196, 01037/12/EN; Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, Apr. 13, 2016, WP238, 16/EN.
4 EU – U.S. Privacy Shield – First annual Joint Review, Nov. 28, 2017, WP255, 17/EN.