BCR 規定內容 規定內容 規定內容 規定內容

第四節 第四節

第四節 BCR 規定內容 規定內容 規定內容 規定內容

第一項第一項

第一項第一項 適用情形適用情形適用情形 適用情形

如同標準契約範本，BCR（或稱「公司法律模式」、「集團政策」）

亦為歐盟委員會保護國際傳輸個人資料之另一工具。如前所述，BCR 之適用範圍僅限於跨國企業或同一集團內部間之國際傳輸，且僅適用於 公司內特定部門之資料處理者，故 BCR 中並未訂有資料輸出者與接收 者損害賠償責任分攤及有關資料保護之義務¹³³（屬共同義務），BCR 之性質係屬單方面之條款，對資料輸出者及接收者並不直接產生權利或 義務。

任何集團政策在法律上應能被有效執行，使 BCR 具有法律效果，

並於當事人個人權益受到損害時，能依據 BCR 行使其權利，另監理機 關於必要時，亦能依據 BCR 進行適當之干預。採用 BCR 對於消除或解 決大型跨國企業將個人資料於全球各地傳輸之問題，具有效益。但對於 中小型企業，歐盟委員會訂定之 BCR 可能過於嚴格，且不具成本效益。

第二項 第二項

第二項第二項 BCR 訂定之最低訂定之最低訂定之最低訂定之最低要求要求要求要求

依據歐盟委員會於 2003 年 6 月 3 日發布之第 74 號工作文件（WP 74¹³⁴），企業申請採行 BCR，將資料傳輸至第三國家之適用標準如下：

133 Lingjie Kong, supra note 10, at 453-454.

134 Data Protection Working Party, Working Document：Transfers of personal data to third countries：

Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers（2003）, available at www.europa.eu.int/comm/privacy（lasted visited November, 2011）。

一 一 一

一、、、、基本規範基本規範基本規範基本規範

（一）歐盟資料保護工作小組重申集團企業設於第三國家之分支機 構，由於當地國可能並無資料保護之立法或未有資料保護政 策之情形時，歐盟企業於發展 BCR 時，應更為詳細且易於瞭 解，並能符合第三國家分支機構對於個人資料之處理程序。

（二）細則及規章之更新

集團企業之 BCR 應針對不同國家或地區訂定相關作業 細則，以因應不同國家或地區之法令或實務需要。集團企業 之內部組織可能隨時會有變動，惟符合下列情況下，企業修 改經監理機關核准之 BCR 時，得無須再向監理機關再次申 請核准：

1、集團企業內新設之分支機構尚未有國際傳輸之需求。

2、集團企業內有專責人員或部門，負責記錄並追蹤 BCR 之 修正及集團內企業名單變動之情形，並適時提供必要資 訊給當事人或監理機關。

3、修正後之 BCR 或集團內企業名單之變動，應每年向監理 機關申報，並說明變動原因。

集團企業之 BCR 若有重大修正，且修正內容已涉及資 料保護原則、傳輸目的及傳輸資料之類型時，則 BCR 之修 正，仍應經監理機關之事前核准。

二 二 二

二、、、、BCR 之之之落實之落實落實落實

（（

（（一一一一））））制度之建立制度之建立制度之建立制度之建立：：：：集團企業內部應建立適當制度，以使集團內各 企業或分支機構（無論分支機構或關係企業係於歐盟境內及 境外）均確實執行 BCR 之規定。申請採用 BCR 之集團企業 應證明已透過適當訓練及相關資訊之分享（如透過內部網 路），使得集團內部之員工均知悉、瞭解且能有效落實集團

內部訂定之隱私政策。集團企業應取得高階主管之支持，指

區輸出之個人資料。集團企業之總公司或該公司位於歐盟員 會國負責資料保護事宜之代表人，應接受並同意當集團企業 第三國家之分支機構有違反 BCR 之情形，致造成當事人之 損害時，應採取相關之因應措施，並負損害賠償之責。

集團企業於歐盟境內之總公司或其代表人，於歐盟境內 應有充足之資產（包括相關保險等），以有損害賠償之能力，

並應同意在下列情況下，以歐盟之會員國作為訴訟管轄法 院，為適當之損害賠償：

1、因集團企業違反 BCR，致當事人發生損害。

2、當事人雖未提起訴訟，但集團企業對於其申訴案件之處 理，無法與當事人達成共識。

（（

（（六六六六））））管轄法院管轄法院管轄法院管轄法院

集團企業應同意當事人之訴求及選擇以當事人資料原 始輸出國或集團企業於歐盟境內總公司之所在地或其代表 人之所在地，作為訴訟管轄法院。

（（

（（七七七七））））資訊之資訊之資訊之資訊之透明透明透明 透明

集團企業應將經資料保護監理機關核准之 BCR、個人 資料保護採行之安全措施，以及個人資料傳輸至第三國家等 相關資訊提供予當事人知悉（上開說明義務，得僅限於與當 事人權益攸關之資訊）。

第三 第三 第三

第三項項項項 BCR 之有效性之有效性之有效性之有效性

由於 BCR 仍為企業內部之政策、規章及細則，故各國監理機關在核 准集團企業採用 BCR 時，應考量下列因素對 BCR 法律效果之影響：

一、BCR 面臨之法律問題

（一）BCR 與其他依歐盟指令規定（如各會員國依歐盟指令第 27 條規定，發布之標準契約範本及因應各產業需要訂定之自律 規範等）之差異，在於 BCR 係訂於集團企業之內部規章，

該內部規章無法取代各會員國及第三國家於國內法訂定有 關資料保護之規定，且 BCR 能否發揮其功能，有賴於企業 能確實落實。

（二）跨國企業之資料保護政策（或隱私政策）通常受到當地法 律、社會文化及企業願景之影響，第三國家若無健全的資料 保護法制或商業慣例，公司雖得直接將歐盟指令之資料保護 相關原則納入內部規章，惟 BCR 能否落實，仍須考量個人 資料接收國之當地法律及社會環境對 BCR 之影響，避免 BCR 之內容有違反當地法令致無效之情形¹³⁵。

二、 為確保跨國企業於歐盟境內及境外之分支機構或子公司，已確 實有效遵循 BCR 之規定，企業應透過相關訓練課程使員工或集 團成員瞭解相關規定， 並應能證明 BCR 已於集團內有效落實

136。

三、 雖歐盟部分之會員國對企業申請採用 BCR 已建立共同合作審 查模式，惟跨國企業之分支機構若分布於不同國家，若該等國 家之監理機關尚未簽訂共同合作模式，則企業之 BCR 仍需經其 他監理機關之核准，惟各國監理機關之審查標準可能不同，提 出之審查意見亦可能有不一致之情形。

第五節 第五節 第五節

第五節 小結 小結 小結 小結

無論是採用標準契約範本或 BCR，歐盟委員會均係期望企業能透過產業 自治之方式，使企業因商業交易及作業需要，將個人資料國際傳輸之另一國

135 Lingjie Kong, supra note 10, at 454-455.

136 Richard Morgan and Ruth Boardman, supra note 27, at 167-168.

家時，能確保資料於傳輸過程之安全、資料接收者對於資料能有適當之資料 保護機制、當資料傳輸對當事人權益造成損害時，確保當事人行使損害賠償 請求權時無任何阻礙，以及資料輸出國之監理機關如何在不同司法管轄權 下，仍能有效監理資料管理者之國際傳輸行為。使用標準契約條款及 BCR 之 差異如下：

一、適用對象

標準契約範本因係透過簽訂契約之方式，故適用於二個獨立之法人

（經濟個體），包括集團內不同公司間之資料傳輸，惟 BCR 僅適用於跨 國集團內之資料傳輸（含集團內之關係企業、子公司或分公司間），故 當資料之輸出或接收之一方為跨國企業之分公司時，因二者仍屬同一法 律個體，自無法以標準契約範本之模式約束契約雙方之權利義務。

標準契約範本相對於 BCR 已分別明定資料輸出者及接收者之契約 義務及對當事人之損害賠償責任，故標準契約範本較適用於資料傳輸模 式及關係較為單純（如企業因資料處理需要，將資料傳輸至專責處理個 人資料作業之公司，再將處理完成後之資料傳輸回原來輸出資料之企 業），且為二家獨立（即非為關係企業）之企業。

二、申請程序

歐盟委員會雖已針對 BCR 訂定最低要求，惟 BCR 之具體內容仍係 由各企業自行訂定，故企業採行 BCR 時，須事先經監理機關之審查，以 確保企業 BCR 之訂定符合一定要求且能有效落實，至於標準契約範本，

因範本條款內容固定，且不得任意變更，故企業自得自行使用。

三、法律效果

標準契約範本為性質特殊之商業契約，雙方於契約簽訂後，即受契 約之法律拘束力。至於 BCR，因其性質為企業之內部規章，故原則上僅 發生對內部之效力（僅能拘束內部之員工），對外之法律效力則將受到 各國不同法令之影響。

四、條款內容之差異

BCR 規範重點在於 BCR 之訂定應能於企業內部有效落實，以確保 集團內部個人資料傳輸之安全、當事人申訴案件能被適當處理，並定期 透過內部稽核之查核，瞭解資料保護安全措施及爭議處理機制之落實情 形，BCR 之內容並不涉及資料輸出者或接收者各自應負之資料保護責 任、當事人損害賠償之責任分攤或資料傳輸終止後資料接收者之義務。

標準契約範本及 BCR 之差異彙整如下：

項目 標準契約範本 BCR

適用對象 二個獨立之 法律個體

跨 國 企 業 之 分 支 機 構

（含分公司、子公司）

及關係企業

適用範圍 契約雙方 申請時，納入 BCR 之集 團內企業名單

是否須經監理機

關事先核准 否 是

法律效力 拘束契約雙方

（外部法律效力） 拘束集團內部成員

條款內容

資料傳輸者及

接收者之契約義務 未明確區分 契約雙方對當事人損害賠

償義務之區分 未訂 雙方終止契約之條件 未訂 資料處理服務終止後

之義務 未訂

資料來源：本研究整理