GDPR 之跨境傳輸規範改革

2016 年通過的 GDPR 除了提高資料隱私保護的水準外，歐盟的立法者同樣 意識到在新興的雲端市場中跨境資料傳輸是必要的要件，且也是雲端運算產業 最重要的資料保護議題之一。通常被上傳到雲端的個人資料會在全球不同的管 轄領域之間流動，或是儲存在不同國家的伺服器內。為了確保這些在不同國家 之間流動的歐盟公民個人資料得受到適當的隱私保護，根據GDPR 第 44 條，

任何經處理或傳出至第三國或國際組織後將欲處理之個人資料之傳輸，僅得於 資料控制者或處理者符合本章義務的情況下進行，包含從第三國或國際組織進 一步進行資料的傳輸（onward transfers）²⁰⁸。由此可知GDPR 規範的邏輯和 DPD 相同，原則上禁止資料的處理和跨境傳輸，除非符合 GDPR 中的要件。而 根據GDPR 第 45 條之規定，個人資料傳輸到第三國或國際組織時，僅得於執 委會認定該第三國、第三國內之領域或特定部門，或國際組織對資料提供充足 的保護水準時才得以進行²⁰⁹。與DPD 相同，資料傳輸時，目的地國必須提供充 足的保護水準，只是在GDPR 下，執委會適足性的認定不僅限於國家，亦得針 對一國境內的特定領域或特定部門。另外GDPR 在第 45 條中更進一步加入第 三國是否具有有效且獨立的資料保護監管主管機關；及該國的法治是否提供資 料主體有效且可執行的行政和司法救濟途徑等標準，作為執委會在做適足性認 定時所應納入考量的因素²¹⁰。

GDPR 下也和 DPD 同樣有例外得進行資料傳輸的規定。根據 GDPR 第 46 條，資料控制者或處理者如果能提供適當保護措施，確保資料隱私、資料主體

208 GDPR art. 44.

209 GDPR art. 45.

210 GDPR art. 44, 45.

之權利並且確保具有有效權利救濟途徑時，得在資料傳輸目的地國不符合充足 保護水準的情況下，例外進行跨境資料傳輸²¹¹。而GDPR 更進一步在第 46 條 第2 項將 SCC、BCR 明文定義為適當的保護措施²¹²。並且在GDPR 條文內提供 更具體的內容，讓企業組織得以更容易使用這兩個途徑作為跨境資料傳輸的法 律基礎²¹³。同時透過直接規範的方式，也得大幅減少各國DPA 在核准時解釋和 施行的不一致性，降低企業必須要適應不同國家法規落差的成本²¹⁴。另外，

GDPR 中也新增幾項得以視為適當保護措施的途徑，分別為：「DPA 條款²¹⁵」與

「行為準則²¹⁶和認證²¹⁷（codes of conduct and certification）」。GDPR 第 49 條則 和DPD 第 26 條第 1 項相同，列出得以例外進行傳輸的特定情形²¹⁸。

由上述之條文規範內容可知，基本上GDPR 的規範和 DPD 相同，禁止資 料跨境傳輸到歐盟境外，除非該第三國對於個人資料具有充足的保護水準，但 為協助業者取得跨境傳輸的正當法律基礎，GDPR 亦改革現有的資料跨境傳輸 途徑，同時新增新的傳輸方法，以求釐清原本指令下各途徑的規範細節，並彌 補原本各途徑的不足。

第一目 GDPR 對現有途徑之改革未能解決雲端業者之困境

然而，即便GDPR 已針對 DPD 下之傳輸途徑進行改革，並且新增新的傳 輸選擇，仍不足以提供雲端運算業者有效的法律基礎，以進行跨大西洋的資料 傳輸。原因敘述如下：

211 GDPR art. 46(1).

212 GDPR art. 46(2)

213 GDPR 提供關於 BCR 明確的要件和程序要求。如果公司集團內部的 BCR 符合 GDPR 中所 規範的要求，則有權的DPA 必須要核准該 BCR 作為公司內部跨境傳輸的基礎。GDPR art. 47.

214 Marina Škrinjar Vidović, EU Data Protection Reform: Challenges for Cloud Computing, 12 Croatian Yearbook of European law & Policy 171, 200 (2016).

215 GDPR art. 46(2)(a).

216 GDPR art. 46(2)(e).

217 GDPR art. 46(2)(f).

218 GDPR art. 49.

首先、為了使業者得以透過更具彈性的途徑取得跨境傳輸的正當性，

GDPR 擴大執委會適足性認定的範圍，除了特定國家，亦得針對具有充足的保 護水準「特定地區specific territory」或「特定產業」作出符合標準的決定²¹⁹。 然而，由先前就美國資料保護體制的分析可知，美國整體而言資料保護水準仍 落後歐盟，再加上GDPR 加強資料保護規範的義務，因此美國要取得執委會的 認可仍有困難。而且針對雲端運算產業，美國也未提供更嚴格的保護規範，即 使僅針對雲端運算產業去作適足性的認定應該也難以被認為和歐盟具有本質上 相當的保護水準。故此一途徑對跨大西洋資料傳的而言，無論是否是雲端運算 產業仍不可行。

第二、以資料主體的同意作為雲端產業跨境傳輸的基礎仍不可行。GDPR 相較於指令更進一步釐清形成有效資料主體同意的條件，詳細訂定指令中所規 定的「主動給予（freely given）」和「消費者知情（informed）」的要件²²⁰。然而 雖然GDPR 提供更明確的規範，但仍然未改變同意僅適用於一次性資料處理的 特性。如前所述，雲端運算服務通常涉及非常多的資料主體，且每次資料處理 的目的不一定完全相同，同時資料儲存的位置也可能會不斷改變，因此同意的 途徑在雲端服務產業依然難以適用。此外，WP29 也提到這項方法通常僅適用

於非大量（non-massive）、非重複（non-recurrent）以及非結構性（non-structural）的資料傳輸。所以可見在雲端運算產業中不太可能採用此項方法

221。

219 GDPR art. 44, 45.

220 在新的規範中進一步釐清同意的要件：1. 資料主體不僅要有同意的意思，還必須要以清楚

且明確的方式表達，GDPR 明文排除默示同意或被動取得的作法。2. 「主動給予」的部分，資 料主體必須有真正自由選擇的權利（genuine and free choice），且資料主體也必須得自由的拒絕 或收回該同意。另外，如果資料控制者和資料主體之間有明確的不對等關係（clear

imbalance），則同意就會被假設為非主動且自由的給予。而且資料控制者也必須要避免以資料 主體的同意做為契約生效的必要要件；3. 知情的部分，GDPR 要求資料控制者必須要以容易理 解的方式去告知資料處理的內容、資料控制者的身分、資料處理的目的等。

221 Opinion 05/2012 on Cloud Computing, supra note 3, at 18.

第三、GDPR 將 SCC 和 BCR 正式納入規範範圍，並提供更具體的內容。

在SCC 的部分，現況下的執委會已經通過的 SCC 將得繼續使用，然而 GDPR 並未解決在雲端服務業者於歐盟成立的情況下SCC 難以適用的問題，且 SCC 所面臨的法律挑戰也尚未有結果，故使用SCC 仍有其不確定性和不足之處²²²。 另外，在BCR 的部分，GDPR 將 BCR 直接納入條文規範的作法會使得採用 BCR 作為跨境傳輸的依據更為容易，WP29 也承認在同一個集團內的資料控制 者要將大量的資料傳輸到次級處理者時，BCR 會是有效率的法律途徑²²³。以此 觀點觀之，BCR 可能可以在雲端運算產業中適用²²⁴。然而，同樣的，BCR 仍然 僅能適用於「同一個企業集團內部的外包服務」，而雲端產業中的服務外包的情 況複雜，因此僅使用BCR 並不能滿足確保雲端產業整體跨境資料傳輸穩定性的 需求。

由上述之分析可知，雖然GDPR 的規範有針對現有的傳輸機制進行釐清和 改革，但基於雲端預算產業的特性，這些措施個別或是整體都不足以確保美國 雲端運算業者得以大量、穩定的進行跨大西洋的資料傳輸。

第二目 雲端業者適用 GDPR 新途徑之挑戰

GDPR 中除了針對現有的資料傳輸途徑進行改革，亦增加新的傳輸途徑，

以提供企業組織在選擇如何正當化跨境資料傳輸行為時有更多彈性。這些新的 傳輸途徑包含「DPA 條款」與「行為準則和認證（codes of conduct and

certification）」。前者雖然被認為是新的途徑，但所謂 DPA 條款和執委會的 SCC 相似，只是改由各國DPA 自行訂定或是相互合作後訂定以作為跨境傳輸的法律 基礎。目前仍未有會員國之DPA 訂定並發布相關的條款，因此實際使用的情形

222 Opinion 05/2012 on Cloud Computing, supra note 3, at 18.

223 Explanatory Document on the Processor Binding Corporate Rules, supra note 206.

224 V Reading, Binding Corporate Rules: Unleashing the Potential of the Digital Single Market and Cloud Computing (speech held at IAPP Europe Data Protection Congress) Nov. 29, 2011, at 4, file:///C:/Users/lorra/Downloads/SPEECH-11-817_EN.pdf.

尚未清楚。

另外則是行為準則和認證，所謂的行為準則係由同一產業的聯盟或工會發 展出針對特定產業的自願性標準和規範，訂定行為準則的目的以GDPR 為例，

一方面是提供廠商證明符合規則規範的方式，另一方面也是讓消費者得以更容 易的透過此透明的標準規範去檢視廠商是否符合規則²²⁵。目前，歐盟境內的

「歐洲雲端基礎設施服務供應商聯盟（Cloud Select Industry Group, C-SIG ）已 經發展出針對雲端運算產業的行為規則（EU Data Protection Code of Conduct for Cloud Service Providers）²²⁶。該行為準則提供雲端服務業者遵守GDPR 義務的 詳細說明和指引，不僅讓雲端運算業者得以更有效的履行義務，同時宣布遵守 該行為準則並且經過第三方認證後，企業也可以此作為履行GDPR 的證明。然 而雖然納入這項新的方法的確提供控制者和處理者更多彈性，但作為跨境資料 傳輸的正當化基礎仍有疑慮。首先，關於行為準則作為傳輸基礎的條文規定並 不夠詳細，適用上也需要更進一步的解釋和執行²²⁷。另外，觀察目前針對雲端 產業訂定的行為準則可以發現，跨境資料傳輸的規範分為兩部分，一是針對同 一級集團內的資料傳輸，另一則是針對跨境傳輸到第三國²²⁸。但除了針對特定 名詞和作法有更詳細的說明外，例如：同一集團之資料控制者和處理者的定 義，行為準則中仍是再次重申如果要進行跨境傳輸資料控制者或處理者仍必須 要採用BCR、遵守 SCC、取得資料主體的同意或是傳輸到被執委會認定為保護 程度充足的第三國²²⁹。因此雖說行為準則的確是在GDPR 中才被納入條文規範 的方式，但如果仔細觀察行為準則的內容，目前似乎沒有提供雲端業者原本幾

「歐洲雲端基礎設施服務供應商聯盟（Cloud Select Industry Group, C-SIG ）已 經發展出針對雲端運算產業的行為規則（EU Data Protection Code of Conduct for Cloud Service Providers）²²⁶。該行為準則提供雲端服務業者遵守GDPR 義務的 詳細說明和指引，不僅讓雲端運算業者得以更有效的履行義務，同時宣布遵守 該行為準則並且經過第三方認證後，企業也可以此作為履行GDPR 的證明。然 而雖然納入這項新的方法的確提供控制者和處理者更多彈性，但作為跨境資料 傳輸的正當化基礎仍有疑慮。首先，關於行為準則作為傳輸基礎的條文規定並 不夠詳細，適用上也需要更進一步的解釋和執行²²⁷。另外，觀察目前針對雲端 產業訂定的行為準則可以發現，跨境資料傳輸的規範分為兩部分，一是針對同 一級集團內的資料傳輸，另一則是針對跨境傳輸到第三國²²⁸。但除了針對特定 名詞和作法有更詳細的說明外，例如：同一集團之資料控制者和處理者的定 義，行為準則中仍是再次重申如果要進行跨境傳輸資料控制者或處理者仍必須 要採用BCR、遵守 SCC、取得資料主體的同意或是傳輸到被執委會認定為保護 程度充足的第三國²²⁹。因此雖說行為準則的確是在GDPR 中才被納入條文規範 的方式，但如果仔細觀察行為準則的內容，目前似乎沒有提供雲端業者原本幾