BCR 之制訂背景及適用依據 之制訂背景及適用依據 之制訂背景及適用依據 之制訂背景及適用依據

第三節 第三節 BCR 之制訂背景及適用依據 之制訂背景及適用依據 之制訂背景及適用依據 之制訂背景及適用依據

相對於採用標準契約範本，許多大型之跨國企業選擇將國際傳輸之控管 訂定於集團政策及內部規章中。尤其當企業之國外營運模式係設立分支機構

（即分公司），而非子公司之型態（因分公司與總公司仍為同一法律個體，

二者間無法區分各自之法律責任，自無法採用標準契約範本）¹²⁷。

另外，對於組織架構較為複雜之跨國企業而言，由於其關係企業或分支 機構可能遍及全球，個人資料於集團內各企業間傳輸之需求龐大，若採用標

127 Richard Morgan and Ruth Boardman, supra note 27, at 166.

準契約範本，各公司間除須逐一簽訂契約外，隨著集團組織架構之變動，契 約亦需持續更新，使得採用標準契約範本之程序過於複雜，且耗費時間。

BCR 為跨國企業之內部行為準則，目的係為使個人資料傳輸至第三國 家時，能確保個人資料及資訊流通之安全。企業採用 BCR 後，個人資料雖 得於集團內部自由傳輸，惟採用前，需先取得歐盟會員國之資料保護監理機 關之事先核准，首次採用時之程序將較為複雜及費時。

第一項 第一項第一項

第一項 歐盟指令規定歐盟指令規定歐盟指令規定歐盟指令規定

使用 BCR 之目的，係為建立一套適當之安全機制，以允許跨國企 業在第三國家無法符合歐盟指令第 25 條第 2 點之情形下，仍能將資料 自歐洲經濟區傳輸至設立於第三國家之關係企業。

第二項 第二項第二項

第二項 英國資料保護法規定英國資料保護法規定英國資料保護法規定英國資料保護法規定

一、適用依據：英國 ICO 於 2011 年 3 月發布授權企業得向 ICO 申請採行 BCR。企業向 ICO 申請採行 BCR 時，應先自行確 認企業訂定國際傳輸之內部規章是否符合歐盟委員會發布有 關 BCR 之最低要求，包括歐盟資料保護工作小組發布之相關 工作文件（working document），如第 74 號採用 BCR 將個人 資料國際傳輸應符合之最低標準、第 108 號企業申請核准 BCR 之標準檢查表（Model Checklist）及第 153 號監理機關 核准企業採用 BCR 之審查要素及原則等相關規定¹²⁸。 二、BCR 之申請程序

跨國企業向歐盟各員會國之資料保護監理機關申請採行 BCR 時¹²⁹，由於跨國企業除於第三國家設有分支機構外，其於歐盟各國

128 2005 年至 2011 年經核准採用 BCR 之企業包括通用奇異公司（General Electric Company，經 核准之 BCR 為員工資料保護標準）、菲利浦電子（Koninklijke Philips Electronics NV, 經核准之 BCR 為菲利浦隱私規章及隱私條款）、摩根大通公司（JPMorgan Chase & Co, 經核准之 BCR 為 JPMC 集團內協議及 JPMC 全球隱私標準）等 10 家公司。請參考 ICO 於 2011 年 3 月 31 日發布 之 Binging Corporate Rules Authorissation。

129 依據歐盟資料保護工作小組於 2007 年 1 月 10 日發布之第 133 號工作文件（WP 133），跨國

亦可能設有不同之據點，為節省企業向不同歐盟會員國之監理機關 申請採用 BCR 之時間及成本，歐盟部分國家已採取共同合作程序

（co-operation procedure），故歐洲經濟區內之企業得自行選定會 員國之一國之資料保護監理機關作為該跨國企業之主要監理機關

（lead authority¹³⁰），向其申請採用 BCR。當主要監理機關已核准 該跨國企業採行 BCR 後，其他合作之監理機關亦須認可主要監理 機關發出之核准函（mutual recognition¹³¹），主要監理機關並應依 據該企業之需求，將核准函提供給該企業國際傳輸所涉及相關國家

料之性質及種類、如何使員工瞭解並有效遵循相關規範及第三國家 之員工如何進行資料之處理等，訂定 BCR 時應將各種可能發生之 情形納入考量，避免當傳輸情況改變時（如因企業政策或資料傳輸 之型態已超逾原經監理機關核准 BCR 之範圍時），須再重新申請 核准。