歐盟與美國有關雲端運算產業從事跨境資料傳輸法制之比較研究 - 政大學術集成

全文

(1)國立政治大學國際貿易與經營學系研究所碩士學位論文. 歐盟與美國有關雲端運算產業從事跨境資料傳輸法制之比較研究 A Comparative Study on EU and US Data Protection Laws Governing Transatlantic Data Flow Services by Cloud Computing Industry. 指導教授：楊培侃博士研究生：紀珮宜撰. 中華民國 107 年 7 月 DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(2) 謝辭終於完成碩士論文，也代表我在政大六年的日子正式結束了。真的很感謝一路上陪伴我，幫助過我的人。能順利完成論文，首先要感謝指導教授楊培侃老師耐心的陪我討論，並給我很多寫作上的建議，使此篇論文得以順利如期完成。另外，也要謝謝楊光華老師、施文真老師和薛景文老師在這兩年來的指導和教誨，並給予我不僅是課業上，甚至是未來工作與待人處世的寶貴建議。接著謝謝一直陪我待在法學中心，一起努力撐過兩年研究所生活的同學─旺達、俞慶、明億、筑羽、郁淳、芸昕，還有從德國交換回來後加入我們的詩晴。認識你們，並和你們一起渡過研究所的生涯是我莫大的幸運，希望你們一切順利。能夠順利完成學業也必須要感謝一路支持我、給予我很多自由選擇空間的家人，你們的關心和鼓勵一直都是我積極努力的動力。最後，謝謝在政大遇到的一切，法組的學長姐、國貿所其他三組的同學、國貿系香瑩、玉如、柳沬和盈君助教、外交系的教授和同學、國際發展書院的夥伴、財政系徐麗振老師、洪德欽老師、讀書會的同學等，謝謝你們成為我在政大六年生活中不可或缺的一部分，謝謝你們讓我的求學生活更美好。. i. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(3) 摘要近年來，雲端運算科技快速發展，對企業的營運模式帶來巨大改變，快速成長的歐盟市場則成為美國大型雲端業者積極爭取進入的目標。對雲端運算產業而言，資料的自由傳輸為服務提供的必要條件，但資料傳輸的過程中涉及個人資料及隱私之保護，歐盟和美國在此議題上立場與看法的差異成為雲端運算業者市場進入的主要障礙。另外，在 2018 年歐盟通過更為嚴格的資料保護規則，將雲端運算業者納入規範範圍，增加企業保護資料之義務，使得雲端運算業者成本增加。而針對跨大西洋的資料跨境傳輸，根據歐盟之規範，僅有達到與其相同保護水準之第三國得以將資料跨境傳輸到該國。而傳統美國公司所使用的傳輸途徑包含資料主體同意、標準化契約條款及企業內部約束規則皆未能有效提供雲端產業在進行大量且重複性的資料傳輸時所需要的法律依據。因此多數雲端業者皆使用歐盟與美國為跨大西洋資料傳輸所共同發展出來的跨境傳輸協議──隱私屏障協議作為跨境傳輸的基礎。鑑此，本文透過分析歐美隱私屏障協議之內容，認為協議較先前的安全港協議對擁有資料並進行處理的企業要求更多的義務，同時也賦予資料主體更多權利可以確保隱私。然即便如此，本文認為該協議仍不足以符合歐盟對於資料隱私保護水準之要求，故建議歐美雙方應針對防止個人隱私因大規模情報蒐集受侵害，以及提供受損害之個人有效救濟途徑的問題進行重新談判，以避免未來隱私屏障協議面臨被判決無效之法律風險。. 關鍵字：資料保護規範、隱私屏障協議、隱私權、跨境資料傳輸. ii. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(4) Abstract In recent years, Cloud Computing has developed rapidly, and has brought big changes in the management model of enterprises. The fast-growing European market becomes the battlefield that all the American large cloud-computing providers aggressively try to get in. For the cloud computing, transferring data without limit is the essential condition in providing services; however, inevitably, the transferring process involves the issue of personal data and privacy protection. The EU and America hold different opinions over this issue, and the differences are the main barriers that prevent cloud-computing providers from entering the European market. In addition, the EU passed a more stringent rule, the Data Protection Regulation, in 2018, and covered the cloud-computing providers by imposing the obligation of protecting data on the enterprises. As for the transatlantic-data flow, according to the EU law, only the country who has the same level of personal data protection is allowed to transfer the data across the border. In this case, the majority of cloud-computing providers adopt the EU-US Privacy Shield Framework, a cross-border data transfers agreement specifically designed for the transatlantic-data flow by the EU and America, as their key foundation. In view of this, this thesis analyzed the content of EU-US Privacy Shield Framework, and concluded that this agreement requires more obligations for the enterprises, which are handling data, than the previous Safe Harbor Framework agreement, while it also gives the data subject more rights to ensure privacy. Nevertheless, this thesis believes that this agreement is still insufficient to meet the EU’s standard of data privacy protection. Therefore, it is suggested that both parties, the EU and America, should renegotiate the approaches that prevent personal privacy from being compromised by mass surveillance and data collection and provide affected individual with effective legal resorts to remedy damage, with the aim of avoiding the legal risk of EU-US Privacy Shield Framework being determined invalid in the future. Keywords: data protection regulation, Privacy Shield Framework, right to privacy, cross-border data flow. iii. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(5) 目次第一章緒論.................................................................................................................. 1 第一節研究動機與目的...................................................................................... 1 第二節研究架構.................................................................................................. 2 第三節研究方法.................................................................................................. 3 第二章雲端運算服務產業發展與個人資料隱私保護.............................................. 5 第一節雲端運算服務之定義與市場現況.......................................................... 5 第二節雲端運算服務之優勢與限制................................................................ 10 第一目雲端運算服務之優勢.................................................................... 10 第二目雲端運算服務之限制.................................................................... 13 第三節歐美跨境資料傳輸與個人資料保護之衝突........................................ 17 第三章歐美資料保護規範之比較分析.................................................................... 20 第一節歐盟與美國資料保護法律規範體系之比較分析................................ 21 第一目保護目的與宗旨............................................................................ 21 第二目規範手段........................................................................................ 24 第三目適用範圍........................................................................................ 25 第四目實體權利義務................................................................................ 27 第五目法律的執行──主管機關 .............................................................. 30 第二節資料保護規範（GDPR）體系介紹 ..................................................... 31 第一目擴大適用範圍................................................................................ 31 第二目增加資料主體之實體權利............................................................ 32 第三目增加資料控制者與處理者之義務................................................ 34 第四目加強法律執行與制裁.................................................................... 38 第三節 GDPR 義務對雲端運算服務提供者之影響 ........................................ 38 第四節小結........................................................................................................ 43 第四章歐美對雲端運算產業跨境資料傳輸規範之比較分析................................ 45 第一節歐盟資料保護指令之跨境傳輸規範.................................................... 45 第一目 DPD 下之傳輸途徑....................................................................... 47 第二目美國雲端業者適用 DPD 下傳輸途徑之困境.............................. 51 第二節 GDPR 之跨境傳輸規範改革 ................................................................ 54 第一目 GDPR 對現有途徑之改革未能解決雲端業者之困境 ................ 55 第二目雲端業者適用 GDPR 新途徑之挑戰 ........................................... 57 第三節小結........................................................................................................ 59 第五章歐美隱私屏障協議作為調和方案之可行性分析........................................ 61 第一節隱私屏障協議原則介紹........................................................................ 61 第二節隱私屏障協議之適用分析.................................................................... 65 第一目 CJEU 對於歐美跨境資料傳輸協議之要求 ................................. 65 iv. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(6) 第二目隱私屏障協議是否符合 CJEU 要求之分析 ................................ 67 第三節小結........................................................................................................ 76 第六章結論與建議.................................................................................................... 79. v. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(7) 圖次圖一美國雲端服務出口市場（以地區畫分）..................... 9. vi. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(8) 第一章緒論雲端運算（Cloud computing）市場近年來隨著科技的進展而快速成長。根據統計，2018 年全球將會有半數以上的企業使用公共的雲端平台提供服務，且雲端的應用、平台和服務將會持續快速地改變企業營運的模式1。所謂的雲端運算可以被認為是透過網路，利用遠端或外部伺服器進行資料處理的方法2。此種因應科技發展所興起的產業為各國帶來鉅額的經濟效益，卻也帶來同等的風險，尤其是科技快速發展通常伴隨對現有法規制度的挑戰。對於雲端運算產業而言，大量使用個人資料作為服務提供之基礎，引發各國對於侵害個人資料隱私權的疑慮。而各國對於個人隱私權的看法和保護手段的差異，使得雲端產業所面臨的法規挑戰更為複雜，尤其是歐盟和美國之間更是如此。歐盟將隱私權視為公民之基本權利不得侵犯，且透過資料保護指令提供歐洲公民許多資料保護的權利，但相反的，美國的法律體系在個人資料的保護上較為鬆散，使得作為雲端運算產業主要服務提供者的美國業者，在進入歐盟市場時遇到莫大的阻礙。法律關於隱私權的規範可能是雲端運算產業發展，以及各國雲端運算市場連結之最大阻礙，且美國雲端業者提供服務予歐盟市場所涉及資料跨大西洋的傳輸，更是引起歐盟內部許多個人與隱私保護倡議組織的疑慮，故詳細檢視歐盟和美國資料保護之規則以及雲端業者進行跨境資料傳輸之行為對於隱私權的影響有其必要。. 第一節研究動機與目的. Forrester, Predictions 2018: Cloud Computing Accelerates Enterprise Transformation Everywhere, Nov. 7, 2017, https://www.forrester.com/report/Predictions+2018+Cloud+Computing+Accelerates+Enterprise+Trans formation+Everywhere/-/E-RES139611. 2 Kommerskollegium, Swedish National Board of Trade. How Borderless is the Cloud？: An Introduction to cloud computing and international trade. Sep., 2012, at 3, available at https://www.wto.org/english/tratop_e/serv_e/wkshop_june13_e/how_borderless_cloud_e.pdf 1 1. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(9) 近年來，尤其是在美國前中央情報局官員史諾登（Edward Snowden）揭露美國對於外國人大規模無差別的情報監控後，各國對於個人資料隱私越來越重視。不只美國修改其國內關於情報蒐集的政策與法案，歐盟也加快改革資料保護規則的腳步，以確保對於隱私權最高水準的保護。然而對於現今網路普及的數位世代，資料的傳輸和使用為許多新興產業不可或缺的重要基礎，尤其是在全球化市場中，資料的跨境傳輸更是常見。但目前國際上缺乏統一的隱私保護規範，使得各國法律規範程度的落差形成產業發展的障礙。作為雲端產業主要服務提供者的美國，以及主要市場之一的歐盟，就個人資料保護的爭議更是長期存在。美國業者在進入歐盟市場提供服務時，在符合歐盟跨大西洋資料傳輸規範的議題上遇到許多阻礙，失去進入歐盟市場的機會將使美國雲端業者蒙受鉅額經濟損失。在此一背景下，如何確保美國業者取得合法且有效的跨大西洋資料傳輸方法，實為重要且必須優先解決的議題。因此，本文將會首先說明大西洋兩岸的法規落差，接著檢視現況下的制度是否得以提供美國雲端業者克服法規障礙的方法，確保跨大西洋資料傳輸的穩定性。另外，在 2015 年前，多數美國業者都是以歐盟執委會與美國商務部共同發展之「安全港框架協議（Safe Harbor Framework）」作為跨大西洋資料傳輸的法律基礎，然而該協議在 2015 被法院宣告無效。取而代之的是 2016 年通過的歐美「隱私屏障協議（Privacy Shield Framework）」，此協議加強了安全港協議中的規範，目前是多數雲端服務業者跨大西洋資料傳輸的法律依據。因此，本文亦試圖分析隱私屏障協議施行後，是否得以確實作為有效的跨大西洋資料傳輸的基礎，協助美國業者在透過使用資料獲利的同時，也得確保歐盟公民的隱私權受到完善的保護。. 第二節研究架構因本文通篇將以雲端運算產業為基礎，了解該產業在現況的隱私保護制度 2. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(10) 下，所遇到關於跨境資料傳輸之困境，故將在第二章將先針對「雲端運算產業」之定義、產業型態與使用雲端運算之利益與風險進行完整的說明，同時也會介紹目前雲端運算產業的現況，以解釋進入歐盟市場對於美國雲端業者之重要性，並突顯法規落差造成之阻礙的影響。接著本文將於第三章分析歐盟與美國兩個法律制度對於資料隱私權的規範落差。歐盟在 2018 開始施行改革後的新資料保護規則，因此第三章之分析也會包含新的資料保護的規範內容。並著重在保護目的、保護手段、提供予個人之權利與賦予業者的義務和法律的執行等各個面向的分析，進行異同比較。對於雲端運算產業而言，資料跨境傳輸為不可或缺的要件，因此，本文將於第四章說明在歐盟新舊資料保護規範下對於跨境資料傳輸的法規差異，以及目前業者履行這些規範義務以進行跨境資料傳輸的方法，並分析雲端運算產業是否因其產業特性而遇到更多阻礙。如前所述，雲端運算業者最廣泛使用的跨境傳輸途徑為隱私屏障協議，該協議之有效性以及未來可能會遇到的風險為本文第五章之重點。最後將完整的分析於第六章作一結論。本文希望可以透過對於資料保護規範之通盤介紹與分析，以及對於現行資料跨境傳輸途徑之檢討，了解美國雲端產業進入歐盟市場的阻礙以及得改善之方向。. 第三節研究方法為了解雲端運算產業、歐美資料保護規範落差與跨大西洋資料傳輸的現況，本文主要透過文獻回顧法整理相關文獻，以及透過比較法的方式分析歐美規範以及歐盟新舊規範之異同。在雲端運算產業的部份，該產業發展快速涉及之範圍廣大，許多國際組織、各國政府和學者都分別對此議題進行探討，故此部分將以歸納國內外新聞，產業、國際組織和研究機構之報告為主，並輔以調查數據以了解該產業之發展與現況。另外，針對歐盟與美國資料保護規範以及雙方簽訂之協議，本文透過相關條文介紹與比較的方式審視規範之異同，並整 3. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(11) 理學者與該領域之官方專家小組的意見（如歐盟資料保護指令第二十九條工作小組意見書）試圖釐清雲端運算產業在進行資料傳輸時所面臨之歐美法規落的具體落差與障礙，及各方之看法與建議3。最後在隱私屏障協議規範探討的部份，以歐美對於隱私屏障協議第一次共同審查之報告為主要分析框架，分別說明該規範對於解決舊有跨境資料傳輸協議之問題是否有效，以及未來可能發生的法律風險4。. Opinion 05/2012 on Cloud Computing, July 1, 2012, WP196, 01037/12/EN; Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, Apr. 13, 2016, WP238, 16/EN. 4 EU – U.S. Privacy Shield – First annual Joint Review, Nov. 28, 2017, WP255, 17/EN. 4 3. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(12) 第二章雲端運算服務產業發展與個人資料隱私保護隨著雲端運算產業的快速發展，許多關於雲端運算所帶來的效益與問題隨即引發許多討論。觀察目前的市場，大型的美國公司仍是雲端運算產業的主要服務提供者，而歐盟則是這些公司極欲拓展的海外市場。對於歐盟境內的個人、企業或任何組織而言，是否要採用雲端運算服務必須要進行效益與風險的分析，就效益面而言減少成本、刺激創新是雲端運算服務可以帶來的主要好處；反之，雲端運算所帶來的風險則包含伺服器安全風險、失去對於 IT 技術的控制等。尤其是因為雲端運算科技必然會牽涉到跨境資料的儲存、取得和處理，跨境的資料傳輸便成為該產業不可或缺的要件。目前各國政府皆採行不同的方式保護個人資料的隱私，故服務提供者在進入海外市場時，個人資料的保護的法律規範成為首要解決的問題5。本章將先介紹整個雲端運算產業，包含雲端運算的定義、特性、服務提供模式與市場現況，並說明雲端運算對於服務使用者所帶來之具體利益與可能造成的問題。最後說明歐美之間對於資料隱私保護的規範落差是美國雲端業者進入歐盟市場的最大阻礙。. 第一節雲端運算服務之定義與市場現況近年來雲端運算產業快速成長，使得許多資訊科技的廠商都爭相進入該產業，「雲」或是「雲端運算」等詞彙近年來也十分受歡迎並被廣泛使用。然而目前對於雲端運算並沒有統一和絕對的定義，不同國家、組織甚至公司都有其對於雲端運算定義的闡述，會產生多重定義同時存在的現象，主要是因為「雲端運算」指的並非一項特定的科技，而是一個同時涵蓋多項科技的概念6。根據經. Forrester, supra note 1 OECD, Cloud Computing: The Concept, Impacts and the Role of Government Policy, at 8, OECD Doc. DSTI/ICCP(2011)19/FINAL, (Aug. 19, 2014), http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=DSTI/ICCP(2011)19/FINAL &docLanguage=En. 5 5 6. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(13) 濟合作暨發展組織（Organization for Economic Co-operation and Development, OECD）在 2014 年所發布關於雲端運算概念、影響和政策的報告，目前有兩個組織對於雲端運算的定義較具代表性，分別為美國國家技術標準局（National Institute of Standards and Technology, NIST）以及美國柏克萊大學 RAD 實驗室（Berkeley RAD Lab）7。其中美國 NIST 所作之定義更是被許多學者公認最具權威性而被廣泛引用8。美國 NIST 所定義的雲端運算是：「使用無所不在（ubiquitous）、便利（convenient）及隨需應變（on-demand）的網路，共享廣大運算資源（如：網路、伺服器、儲存、應用程式與服務）的模式。該模式可以透過最少的管理資源或和服務提供者的互動，快速的提供各項服務。」9。而柏克萊大學 RAD 實驗室的定義則是：「雲端運算指的是透過網路進行服務的應用程式以及在資料中心（data center）提供該些服務的硬體（hardware）與系統軟體（systems software）10」。NIST 的定義著重在雲端運算的目的，而柏克萊大學 RAD 實驗室的定義則著重在具體構成雲端運算的要件11。簡單來說，所謂的雲端運算可以被理解為「使用者可以透過網路連接至伺服器，並依其需求隨時隨地大量存取共享的運算資源和使用各種應用程式的服務。」雲端運算服務有下列幾項重要的特性，這些雲端運算的特性使得雲端科技的使用具有特有的優勢和風險，這些特性也會影響各國政府在制定政策與訂立. Id. Jay P. Kesan, Carol M. Hayes & Masooda N. Bashir, Information Privacy and Data Control in Cloud Computing: Consumers, Privacy Preferences, and Market Efficiency, 79, WASHINGTON AND LEE LAW REVIEW, 341, 356 (2013). 9 Peter Mell & Timothy Grance, The NIST Definition of Cloud Computing, Sep,. 2011, available at: http://faculty.winthrop.edu/domanm/csci411/Handouts/NIST.pdf, providing that.’’Definition: Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models….’’. 10 Michael Armbrust, Armando Fox, Rean Griffith, Anthony D. Joseph, Randy H. Katz, Andrew Konwinski, Gunho Lee, David A. Patterson, Ariel Rabkin, Ion Stoica & Matei Zaharia, Above the Clouds: A Berkeley View of Cloud Computing, at 8, Feb. 10, 2009, available at: https://www2.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf. 11 OECD, supra note 6. 6 7 8. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(14) 規範時的考量，也是企業在決定是否使用雲端運算服務時的依據12：（1）. 隨需應變的自助服務（On-demand Self-service）：雲端運算的特性之一. 是透過網路使用遠端的運算服務，當雲端服務部署完成後消費者可以在任何時候使用服務，而不需要一定要和服務提供者互動。（2）. 廣泛的網路連結（Broad Network Access）：因為網路科技的興起，不. 論地點雲端運算的使用者都可以透過將終端設備連結到遠端的伺服器取得服務，同時只要網路訊息的傳遞經過標準化的機制，使用者得以自由的使用運算資源。（3）. 資源匯聚（Resource Pooling）：雲端服務提供者的運算資源會被匯集於. 遠端的伺服器，並根據雲端使用者的需求以多租戶的模式（multi-tenant model）動態的分配運算資源13。因此許多雲端運算使用者可以同時且不互相影響的使用運算資源，雲端服務的提供可以很容易的規模化。（4）. 快速且具彈性（Rapid Elasticity）：運算資源得以快速的提供給需要的. 雲端使用者，且供應的規模具有彈性，意即使用者可以在任何時候取得不限規模的運算資源。因此使用資源的規模大小得由使用者決定，可以配合使用者不同時期的需求調整。（5）. 可計算的服務（Measured Service）：運算資源可依其所提供的服務特. 性被自動控管及最佳化。同時這些運算資源的使用可以被監督、控制和回報，以提供雲端服務提供者和使用者資源使用的透明性。這些資料通常亦是服務計費的基礎14。. 美國 NIST，The NIST Definition of Cloud Computing, http://faculty.winthrop.edu/domanm/csci411/Handouts/NIST.pdfdomanm/csci411/Handouts/NIST.pdf. 13 所謂的多租戶模式指的是一種軟體架構的技術，用於探討與實作如何於多用戶的環境下共用相同的系統或程式元件，並且仍可確保各用戶間資料的隔離性。定義參考：工研院，「商品履歷追蹤先導驗測計畫方案規劃」，2011 年，第 47 頁，網址： https://www.bsmi.gov.tw/wSite/public/Data/f1459144012515.pdf。 14 雲端運算服務的計價方式通常為「每次使用付費（ pay-per-use 或 charge-per-use）」。Peter Mell, supra note 9. 7 12. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(15) 此外，根據柏克萊大學 RAD 實驗室對於雲端運算的定義，雲端運算涵蓋了非常廣泛的服務，包含軟體、平台和基礎設施，雲端運算服務也因提供的服務不同而有不同的分類。這些服務的模式主要可以被分為下列 3 類：首先，是雲端服務業者提供軟體─軟體即是服務（Software as a Service, SaaS），在 SaaS 模式下，雲端使用者所使用的是服務提供者在雲端基礎設備上所部署的應用程式（application），使用者並不管理作業平台、系統、硬體和資訊基礎設備，對於雲端使用者而言是較為便利的服務模式，例如：微軟公司提供的 Office 365。第二，雲端服業提供者所提供的是可以部署軟體的平台─平台即是服務（Platform as a Service, PaaS），在 PaaS 的模式中，雲端使用者可以使用這些平台（如作業系統平台、系統開發平台）部署及撰寫自己的應用程式。意即雲端使用者可以直接在平台上撰寫其所需之應用程式。使用者同樣不需要管理和控制雲端的基礎設備，相較於 SaaS 雖然因為需要自行撰寫應用程式，便利性較低，但更具有使用的彈性，例如：Google 提供的 App Engine。最後是由雲端運算業者提供雲端科技的基礎設備─基礎設備即是服務（Infrastructure as a Service, IaaS），在此模式下服務提供者提供雲端使用者運算的原始資源（例如：程式語言、儲存空間等）和硬體環境（伺服器）等。服務提供者允許使用者直接取得原始的運算資源（網路元件），相較於 SaaS 和 PaaS，雲端服務使用者擁有更多彈性，例如：IBM 提供的 SoftLayer15。不同的服務模式，雲端使用者和服務提供者所得之利益不同，同時也會面對不同的政策和法規上的挑戰 16. 。. NIST, supra note 12. 除此之外，雲端運算在服務的對象以及提供運算資源的組織上也有不同的分類，有些雲端運算服務僅有特定組織成員才得取得，其他雲端服務則可讓一般大眾使用，美國 NIST 同樣針對使用的對象有 4 種不同類型的定義。私有雲（Private Cloud）：所有雲端的系統、應用程式和資料都只屬於企業內部和提供資訊設備的廠商，意即「內部雲（internal cloud）」；社群雲（Community Cloud）：雲端運算的服務主要是提供給特定社群的消費者，而這些使用者通常有共同利益，或關注的議題相仿（例如：醫療產業的資訊交流），管理和營運可由一個或多個組織執行。例如：IBM 的智慧社群雲；公用雲（Public Cloud）：雲端的基礎設備由服務提供者擁有，但其服務的對象是大眾，公共雲的主要獲利來自於使用費用和廣告，例如：Google Apps； 8 15 16. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(16) 目前全球雲端運算的市場狀況根據國際研究暨顧問機構 Gartner 2017 年的報告指出，2017 年全球公共雲端運算服務市場的規模將增加至 2,468 億美元，相較於 2016 年成長了 18%17。在 2013 年，美國的研究中心也針對網際網路和美國人的生活進行了一項調查計畫，結果指出在 2013 年已經有大約 69%的美國人在使用網路信箱、其他網路的軟體或是網路資料的儲存空間，而使用者也將會持續增加18。雲端運算產業被認為是極具發展潛力的市場，而在此市場中，美國的大型企業占據領先的地位，為三項雲端服務型態之主要的服務提供者，目前市占率前三名的公司分別為亞馬遜網路服務公司（Amazon Web Services）、微軟（Microsoft）和 Google19。而美國主要的雲端服務出口市場排名，第一大出口市場為加拿大，接著是日本和英國。但若以地區為基礎，歐洲（歐盟國家）仍為最重要的出口市場（如圖一）20。. 圖一美國雲端服務出口市場（以地區畫分）. 混合雲（Hybrid Cloud）：兩種或多種不同的雲端部署模式混合而成。Id. 17 Gartner 是全球最大的高科技產業分析及資訊科技與應用研究公司。Louis Colunbus, Roundup Of Cloud Computing Forecasts, 2017, FORBES (Apr. 29, 2017), https://www.forbes.com/sites/louiscolumbus/2017/04/29/roundup-of-cloud-computing-forecasts2017/#5135867031e8. 18 See John B. Horrigan, Cloud Computing Gains in Currency, PEW RES. CTR. (Sept. 12, 2008), http://pewresearch.org/pubs/948/cloud-computing-gains-incurrency. 19 Barb Darrow, Amazon Still Leads Cloud Rankings, But Competition Is Coming On Strong, FORTUNE (June 15, 2017) http://fortune.com/2017/06/15/gartner-cloud-rankings/. 20 ITA, 2016 Top Markets Report Cloud Computing, at 3, Apr., 2016, https://www.trade.gov/topmarkets/pdf/Cloud_Computing_Top_Markets_Report.pdf. 9. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(17) 資料來源：美國商務部國際貿易局， https://www.trade.gov/topmarkets/pdf/Cloud_Computing_Top_Markets_Report.pdf. 第二節雲端運算服務之優勢與限制雲端運算科技的應用對公、私部門的組織帶來許多利益，而這些利益主要可以分為兩個層面，一方面是讓使用的企業降低成本並促進企業發展；另一方面則是降低資料運算產業的市場進入障礙，增加新創公司進入市場，和既有公司擴張業務的機會，然而也因為雲端產業的特殊性質，也會造成不同於一般產業的挑戰和疑慮。本節將分別敘述使用雲端科技所帶來的利益與限制。第一目雲端運算服務之優勢首先，企業使用雲端運算減少的成本可分為下列數個方面：. 1.. 減少資訊與通訊科技（Information and Communication technology, ICT）的成本支出對於企業而言最直接的好處就是可以降低企業直接的 IT 成本支出，企業相. 較以往在取得運算資源上更快速且有彈性，組織不需要耗費時間和金錢去更新基礎設備，而可以透過雲端快速的購買所需的運算資源21。而且雲端服務的使用也可以改善企業普遍投入過多 IT 設備支出的問題，過去許多公司或政府單位為了因應未來可能對於 IT 設備的需求，會購買比實際需求更多的 IT 設備，這些設備通常都未能被充分利用而造成成本的浪費22。. OECD, supra note 6, at 12; Deloitte, Measuring the economic impact of cloud computing in Europe, at 56, Jan.10, 2017 https://ec.europa.eu/digital-single-market/en/news/measuring-economic-impactcloud-computing-europe. 根據歐盟的市場分析報告，使用雲端運算服務，歐盟整體而言可以降低 20%-50%的 IT 支出，而且在 2010 年到 2015 年間，光是英國、德國、法國、義大利和西班牙的 IT 成本就節省了共 140 億 7400 萬歐元。 22 OECD, supra note 6, at 12; Sean Marston, Cloud Computing－Business Perspective, 51, DECISION SUPPORT SYSTEMS, 176, 181 (Apr., 2011). 根據統計，在 2000 年，超過 45%的資本設備運算被使 10 21. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(18) 2.. 將 IT 支出從原本的資本支出（Capital expenditure）轉為營運費用（Operating expenses）相較於傳統上把 IT 系統作為資本投資，使用雲端服務的企業會視 IT 為營. 運支出（operational expense），節省下來的成本可以作為他用。甚至透過雲端的技術，服務者所提供的基礎設備可以同時供不同的使用者使用，個別使用者相互獨立不互相影響。而且當越來越多使用者使用雲端運算服務，會使得該項服務因為需求增加而達到規模經濟的效果，使用雲端服務的費用和成本也可以逐漸減少23。讓企業進一步擁有更多資本進行其他投資以提升未來的生產力與成長24。. 3.. 規模化（Scalability）和可適應性（adaptability）雲端運算的技術讓雲端服務使用者可以有規模大小上的彈性，意即雲端運. 算讓企業有能力，也更容易根據消費者的需求擴大或縮小其服務規模，並隨時增加和移除 IT 的運算能力或儲存空間。這對於工作量變化大（如面對季節淡旺季的差異）的公司而言是一項優勢，也因為可以隨需求調整 IT 服務，企業有能力可以應付未預期的成長或暫時性的需求變化25。此外，雲端運算也讓企業得以最小化或甚至免除掉預期與非預期的停機時間（downtime），促進使用者服務的品質和企業運作的持續性26。而就降低資料運算產業的市場進入障礙的部分，雲端運算科技可以帶來下列優勢：. 用在 IT 系統上，然而這些設備平均只有 6%的產能被利用。雲端運算可以幫助減少 IT 設備支出的浪費以及維護這些設備的支出。 23 Id. at 178. 24 Deloitte, supra note21, at 56. 根據歐盟的調查報告，英國、德國、法國、義大利和西班牙透過雲端運算服務的使用，在 2010-2015 年間亦省下 1 億 3000 萬歐元的 IT 營運費用。 25 Id. 26 所謂的停機時間指的是設備因為維護或失效而不能運作或生產的時間。 11. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(19) 1.. 降低市場進入成本，縮短產品部署的週期以加快上市速度雲端科技提供企業現有的硬體可以提供服務，企業不需要在進入市場的前. 期投入大量資本建立 IT 系統，可以更快速的進入市場。新創公司也因需要的資本投入減少而增加，中小企業亦獲得更多機會可以參與市場的運作27。此外原本 IT 基礎設施不足的第三世界國家也有更多機會可以透過雲端平台拓展 IT 服務28。另一方面，雲端運算的使用大幅縮短 IT 產品或服務的生命週期，應用程式或軟體的部署速度大幅加快，增加產品和服務的可得性（availability），資源的利用也極大化。. 2.. 刺激產業創新與新形態服務型態的出現使用雲端運算服務同時也可以省去自行管理 IT 系統的時間和資本花費，企. 業的經營者可以將心力移轉到創新和研發，亦有利企業的整體發展29。雲端運算也可以降低企業創新的 IT 障礙。例如近年來 Facebook 和 Youtube 的出現及為例證30。同時雲端運算也促成過去未能想像的新型態服務和應用程式出現。例如：移動式的互動程式（Mobile interactive application）、大數據分析等31。因此可以說雲端科技對於雲端服務使用者不只帶來成本降低的好處，亦促使新創及中小企業更容易進入市場，也刺激創新的服務型態出現。雲端運算服務分別也為美國和歐盟帶來不同的經濟效益，並使美歐政府皆制定相關政策以促進該科技於其市場內發展。在 2011 年美國歐巴馬政府即發布「聯邦雲端運算策略（Federal Cloud Computing Strategy）」也是所謂的「雲端第一（Cloud First）」政策，該政策的主要目的是希望透過使用雲端運算來降低資源的浪費以改善美國政府的行政效率32。另外，根據歐盟官方所支持的研究報 27 28 29 30 31 32. OECD, supra note 6, at 12. Sean Marston, supra note 22, at 178. Deloitte, supra note21, at 56. Sean Marston, supra note 22, at 178. Id. Vivek Kundra, Federal Cloud Computing Strategy, at 7, Feb. 8, 2011, 12. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(20) 告結果顯示，大規模的使用雲端運算科技亦對歐盟帶來巨幅的經濟利益33。該報告指出，雲端運算服務的運用在 2015 年到 2020 年間將為歐盟帶來總共 4,490 億歐元的利益34。歐盟執委會也早在 2012 年就為了促進雲端產業於歐盟境內的發展而提出「發揮歐洲雲端運算潛力（Unleashing the Potential of Cloud Computing in Europe）」的策略，並以此為基礎發展出一系列政策計畫35。由此可知，雲端運算服務對於使用者、服務提供者和整體社會而言都有所助益，甚至歐盟的產業報告指出，雲端運算服務對於歐洲境內使用該服務的個別組織（包含企業和政府）所帶來的正面效益大於對歐盟服務提供者與整體社會所帶來的效益36。但即使如此，並非所有企業、組織，甚至是個人都願意使用各種型態的雲端服務，本文將於第三節探討雲端使用者在選擇是否將資料上傳到雲端時的主要疑慮。第二目雲端運算服務之限制雲端運算科技的應用的確對公、私部門的組織帶來許多利益，然而因為雲端產業的特性，可能也會造成不同於一般產業的挑戰和疑慮，本節將針對使用雲端運算科技所會面臨的問題進行說明，以分析雲端運算使用者在選擇是否接. https://www.dhs.gov/sites/default/files/publications/digital-strategy/federal-cloud-computingstrategy.pdf.; Darrell M. West, Saving Money Through Cloud Computing, at 5-10, Apr. 7, 2010, https://www.brookings.edu/wp-content/uploads/2016/06/0407_cloud_computing_west.pdf. 美國智庫布魯金斯研究院（Brookings Institution）於 2010 年針對此議題進行研究，該研究係以美國部分政府單位為基礎，評估這些單位將部分應用程式轉移到雲端與遠端的伺服器後，是否得以減少成本的支出。這項研究最後作出的結論指出在這些美國聯邦與州政府單位將部分敏感性較低的資料移轉到雲端後，平均減少了約 25%至 50%的成本。, 33 Deloitte, supra note 21. 34 Id. 根據估計，在 2008 年到 2020 年間，雲端運算服務總共可以為歐盟各會員國帶來 160 萬的工作機會，同時也預期會有 30,3000 家新的公司企業成立，特別是中小企業。 35 Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions: Unleashing the Potential of Cloud Computing in Europe, COM(2012) 529 final (Sept. 27, 2012). 36 Deloitte, supra note 21. 根據估計，在 2020 年，歐盟境內雲端使用者平均使用雲端運算服務的支出為 350 億歐元，但其可得之平均年淨利高達 1080 億歐元。歐盟境內服務提供者所得之平均年淨利則是 28 億歐元。 13. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(21) 受服務提供者之服務時的主要顧慮。 1. 雲端使用者失去對資訊科技的控制（Loss of IT-control）雲端使用者把 IT 基礎設備和服務移到雲端伺服器，會喪失一定程度對於資訊科技的控制權。服務提供者對於軟、硬體和基礎設備的更新（update）和發表（release）會有技術上的控制權，舉例而言，服務提供者可以決定使用者使用其軟體和應用程式的方式。甚至在資料上傳到雲端後，雲端使用者與資料的當事人將無法辨認個人資料的具體位置。為了讓使用者願意使用經由雲端所提供的服務，服務提供者必須要建立和使用者之間的信任37。 2. 安全（Security）及風險管理（Risk management）電腦安全議題的討論主要和避免資料在未授權的情況下被使用或擷取相關。電腦安全並非全新的議題，只是在雲端運算科技出現後，許多使用者會將資料大量的上傳到遠端的伺服器，將資料上傳到雲端的公司或個人將喪失對於該些資料的直接控制，只能依賴第三方代理以確保這些資料的安全，因此通常對於資料的安全有所疑慮38。但 Gartner 的報告指出，根據統計，實際上雲端服務提供者目前遭遇電腦安全受到侵害的問題比例非常小，多數的安全問題還是發生在企業自己部屬的資料儲存空間（on-premise）39。另一方面，許多中小型企業並沒有資源或是專家可以提供高程度安全保護，但是雲端服務提供者有更多資本和能力去招募相關專家，以部屬更高端的安全防護措施，避免資料的安全受到危害40。. OECD, supra note 6, at 18. Ron Davies, Cloud Computing : An Overview of economic and policy issues, at 15, May 2016, http://www.europarl.europa.eu/RegData/etudes/IDAN/2016/583786/EPRS_IDA(2016)583786_EN.pdf. 39 Id. at 14. 40 Id.近期「雲端安全聯盟（Cloud Security Alliance, CSA）」的調查也顯示，69%的 IT 管理者與相關人員認為雲端服務反而對於資料來說更為安全。 14 37 38. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(22) 3. 供應商鎖定（Vendor Lock-in）供應商鎖定被認為是雲端運算產業中使用者是否願意採納雲端運算的重要指標。雲端運算產業供應商鎖定的情況主要指的是使用者依賴單一雲端服務提供者所提供的科技和服務，且在改變服務的提供者時，會面臨大量的成本支出、法規限制或者是技術上不相容（Technical Incompatibilities）的問題41。此問題的產生源自於現況下，個別雲端服務提供者（供應商）之間提供服務所使用的科技或軟硬體並不相容（non-compatible），且標準不一致─即具有專屬性（proprietary）42。實際上，雲端服務提供者通常提供使用者獨有的解決方式，以及具有專屬性的應用程式介面，甚至是資料格式，讓使用者以這些方式和介面取得服務和資源。這個現象會讓雲端使用者在更換服務提供者時面臨要轉換不同應用程式、科技和使用介面的困境，成本也因而增加，因此消費者通常會固定依賴單一或特定的雲端服務提供者。而供應商鎖定的問題也擴及到不同雲端空間之間的互通性（interoperability）以及資料的可攜帶性（portability）43。目前這個問題尚未解決的主要原因是因為國際之間還缺乏適當的標準化格式（standardized format），以確保雲端空間之間的互通性和資料的可攜帶性。供應商鎖定會使得原本雲端服務可以為使用者帶來的優勢減少，使用者不能依照對其自身最有利的成本和資源分配方式去選擇適當的服務提供者，甚至有些使用者會基於商業考量或是安全、機密等因素，希望將部分特定資料留存在公司內部的儲存空間，但在資料的格式、介面上缺乏統一標準可能會進一步減少使用者接受雲端服務的意願44。最後，這個現象也會影響在市場中服務提供者之間的競爭關係，一旦消費者無法自由更換服務提供者，初始的雲端服務提供者就. Justice Opara-Martins, Reza Sahandi & Feng Tian, Critical Analysis of Vendor Lock-in and Its Impact on Cloud Computing Migration: A Business Perspective, JOURNAL OF CLOUD COMPUTING ADVANCES, SYSTEMS AND APPLICATIONS, 1 (Apr. 15, 2016). 42 Id. 43 資料的可攜帶性（portability）意指消費者可以在不同的雲端之間移轉資料。 44 Justice Opara-Martins, supra note 41, at 2. 15 41. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(23) 享有優勢地位，反而不利於整個產業發展45。目前各國政府甚至是國際組織皆積極合作，希望可以訂定技術上的統一標準，以避免供應商鎖定所帶來的負面影響。例如：歐盟執委會和「歐洲電信標準學會（European Telecommunications Standards Institute, ETSI）」在 2012 年一同發布了一項「雲端標準化調和倡議（Cloud Standardization Coordination initiative, CSC）」，以建立雲端技術的標準化方法，並促進安全、互通性資料可攜帶性標準化等目標46。 4. 雲端契約條款（Terms and Conditions）訂定雲端使用者在使用雲端服務時，為了確保服務品質，並約定雙方的權利義務事項，會簽訂正式的「雲端服務合約（Cloud Service Agreements, CSAs）」以及「服務水準契約（Service Level Agreement, SLA）」。SLA 的內容包含服務品質的定義、權利義務的歸屬、服務水準目標（Service Level Objective，SLO）以及雙方的預期和責任定義47。SLA 主要是用來保障使用者使用服務後的權利，也做為服務提供者服務收費的依據。但目前的契約並非以雲端使用者為中心，許多服務提供者並未在其標準化契約中承諾在服務不符合標準時，服務提供者有義務採取何種特定措施，以及使用者有何救濟方式，甚至僅願意提供非常微薄的補償48。尤其是現在雲端運算產業服務的提供者規模都較使用者大（例如：Amazon、Google 等），其在訂定契約時決定內容的權力較大。目前國際上已經有很多組織和政府就契約條款的標準化，以及對使用者的保護進行討論，並希望可以訂立相同的標準49。. Id. European Telecommunications Standards Institute, Cloud Standards in the Digital Single Market, CLOUD STANDARD COORDINATION, (Jan. 28, 2016) http://csc.etsi.org/. 47 Cloud Standards Customer Council, Public Cloud Service Agreements: What to Expect and What to Negotiate Version 2.0.1., at 4, Aug. 2016, http://www.cloud-council.org/deliverables/CSCC-PublicCloud-Service-Agreements-What-to-Expect-and-What-to-Negotiate.pdf. 48 Id. at 5. 49 Ron Davies, supra note 38, at 16. 16 45 46. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(24) 5. 個人資料隱私保障（Privacy Protection）觀察雲端運算產業的服務特性和提供服務的模式，雲端運算服務是透過分散及去中心化的電腦網路完成，而這些電腦的所在地，與使用者的終端設備的所在地通常也不會為在同一國家境內，因此，資料的跨境傳輸即為雲端運算產業存在的重要核心50。OECD 在 2013 年所修正的「隱私保護及個人資料之國傳輸指導指引（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）」也指出，隨著資料處理科技的進步，資料處理者可以在短時間內大規模的將個人資料進行跨境傳輸，因此必須要考量對於個人資料的隱私保護51。另外，一個雲端運算服務通常會涉及多個服務供者所提供之服務來完成，中間涉及的隱私問題更為複雜52。. 第三節歐美跨境資料傳輸與個人資料保護之衝突目前全球的雲端市場中，無論 Saas、Iaas 或 Paas 的服務型態，主要的服務提供者皆為美國公司。對於這些大型雲端服務提供者，歐盟整體而言為其最大且最有潛力的海外市場。但歐盟境內的雲端服務使用者（無論是個人、企業抑或是政府組織）在選擇是否採用美國業者所提供的雲端運算服務時，會衡量雲端運算服務所帶來的利益與可造成的風險。對於使用雲端運算服務的企業而言，使用雲端服務固然可減少大量 IT 成本，並提供企業更多投入科技創新或新的業務以提升企業整體表現的機會，然而雲端運算產業的特性在於利用遠端的處理設備與技術匯集大量資料，依照個別使用者的需求動態分配資料處理的資源，以增加處理效率。因此想要透過雲端科技更有效率的完成個人資料的處理. Konstantinos K. Stylianou, An Evolutionary Study of Cloud Computing Services Privacy Terms, 27 J. MARSHALL J. COMPUTER & INFO. L. 593 (2010). 51 OECD, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofperso naldata.htm. (last visited: June 1, 2018). 52 有時候更會有基礎設施、平台提供和應用程式分別由不同服務提供者提供的狀況。 17 50. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(25) 必然涉及資料在使用者與雲端服務提供者之間的傳輸，而此傳輸的過程引發對於個人資料隱私保護的疑慮。而且在現在的雲端產業中，如果由美國雲端業者提供資料伺服器和處理服務，個人資料必然要進行跨大西洋的傳輸，此現象也引起歐美之間資料保護法要求保護程度不同的疑慮。尤其是一直以來歐盟被認為對於隱私重視的程度較其他國家高，為了使用美國雲端業者所提供的遠端雲端服務，隱私保護成為最主要的法律障礙53。另外，不同於傳統資料的保護問題，儲存在雲端的個人資料的法律權利歸屬也引發疑慮。哪些組織及個人有權利及在何種情況之下得取得與使用該些資料，這個議題也涵蓋政府基於國家安全和法律執行的目的取得資料的爭議，而且儲存在位在美國伺服器內的資料，其資料隱私的保護是否要適用歐盟的法律亦具爭議54。此外如上所述，通常為了完成更有效率的資料處理服務，雲端業者可能會將一項雲端的資料處理切割成不同部份分別外包給不同的雲端服務提供者。以最簡單的情況為例，一個 APP 開發的新創公司（SaaS）可能僅提供雲端的軟體服務，其所使用的平台（PaaS）和平台（IaaS）還是由其他雲端業者提供。基於這些特性雲端運算服務對於隱私保護造成的威脅被廣泛認為是最複雜的問題。歐盟和美國採用完全不同的方法對個人資料進行保護，讓在美國業者進入歐盟市場時的隱私保護衝突和疑慮最為嚴重，如果美國的雲端運算服務提供業者想要將其在歐洲蒐集到的資料傳送到美國，除非美國可以提供和歐盟法律相同程度的保護，否則將會被禁止進行跨境傳輸行為55。因為不能達到歐盟對於資料保護要求而導致「禁止資料傳輸」的後果，可能直接影響雲端運算服務存在的可能性。以歐盟境內使用者的角度觀之，美國公司如果不能確定可以符合歐盟對於隱私保護的要求，即使該服務對其有成本減少、刺激創新等正面效益，這些雲端運算服務都是不可得的。本文認為美國雲端服務提供業者所需承擔的法律成本為歐盟境內. 53 54 55. OECD, supra note 6, at 19. Id. Konstantinos K. Stylianou, supra note 50, at 597. 18. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(26) 使用者是否採用雲端運算服務的決定性因素。第三章將分析美國和歐盟對於個人資料隱私保護規範的具體落差，並說明法規落差對於業者而言的問題為何，以及雲端運算業者是否因其產業特性而遭遇更多挑戰。. 19. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(27) 第三章歐美資料保護規範之比較分析雲端運算服務要順利進行，資料的跨境傳輸為重要關鍵，而資料的跨境傳輸則會因為各國隱私保護規範的不一致形成傳輸上的障礙。雖然國際上曾經想要發展共同的資料保護和隱私規範，但並未有具體成果，故目前關於跨境資料傳輸以及隱私保護的規範仍由各國政府各自決定，也因此產生許多規範方法和法規要求程度上的落差56。特別是歐美之間的法規落差更是明顯，此法規落差不僅體現在法規訂定的方式、適用範圍、要求的實體權利義務和法律執行上，甚至法規訂定的目的本身就有根本上的差異。而這些差異都會造成美國雲端業者在提供服務時的巨大阻礙，甚至影響雲端產業透過大量蒐集資料，並於遠端處理的服務提供模式。一旦資料被禁止進行跨境傳輸，則雲端科技所帶來的效率將難以被達成。不僅如此，雲端運算服務為近年興起的產業，歐盟在訂定最初的保護規範時並未考量到此種資料密集產業的快速發展，故法規的訂定也未考量到雲端運算服務的產業特性，因此反而讓雲端服務提供者在適用指令時面臨到挑戰57。為了確保對個人資料的高度保護，執委會於 2012 年提出「一般資料保護規則（General Data Protection Regulation, GDPR）58」，以彌補 1995 年「涉及個人資料處理予自由流動之個人保護指令（Directive 95/46/EC），以下簡稱 DPD」的不足59。該規範提高對個人資料隱私的保護水準，使得歐美之間資 CHRISTOPHER KUNER, INTERNATIONAL REGULATION OF TRANSBORDER DATA FLOWS 26 (2016). 如：第 25 屆「個人資料保護與隱私專員國際論壇（ International Conference of Data Protection and Privacy Commissioners）」發表了「蒙特勒宣言（Montreux Declaration）」呼籲聯合國可以建立具有拘束力的規範，清楚地建立有關資料保護和隱私的規範細節。 57 歐盟境內發展雲端運算產業遇到的困難之一，即是各會員國之間在落實指令時法規仍有落差，使得資料的跨境傳輸遇到阻礙，這也是歐盟改革保護規範的原因之一，希望透過「規則」的訂定達成會員國間法規的一致性。 58 Regulation (EU) 2016/679, of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, art. 44, 2016 O.J. (L 119) 1, 60; Regulation (EU) 2016/679, of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, art. 45, 2016 O.J. (L 119) 1, 61 [hereinafter GDPR]. 59 Directive 95/46/EC, of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 1995 O.J. (L281/31); Paul M. Schwartz, European Data Protection Law and Restrictions on 20 56. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(28) 料保護規範之落差更大。本章將以分析歐盟與美國之間隱私保護規範的具體差異為核心，分別說明歐盟和美國在規範的目的與宗旨、規範手段、適用範圍、實體權利義務和法律的執行層面上有何規範上的落差，藉以了解美國雲端服務提供者在進入歐盟市場時會遇到什麼樣隱私法規上的挑戰。. 第一節歐盟與美國資料保護法律規範體系之比較分析歐盟和美國長期以來對於個人隱私權和資料保護的觀點與立場不同，態度的歧異也體現在歐美的資料保護規範的各個面向，本節將先詳述歐盟 1995 年資料保護指令、美國資料保護規範具體內容差異，藉以作為後續討論的立論基礎。. 第一目保護目的與宗旨一直以來，各方都認為歐盟對於隱私的保護水準較美國高，而其實不僅是對權利的保護水準有所差異，雙方之間對於「隱私權」的看法亦有根本性的差異，下述將說明歐盟和美國個別對於隱私權的看法。 1. 歐盟──保護公民一般基本人權歐洲國家長久以來都十分重視個人隱私的保護，在 1981 年，由歐洲國家成立的「歐洲理事會（Council of Europe）」通過了第一個也是當時唯一一個具有拘束力的資料保護國際協定─「歐洲理事會關於資料保護的第 108 號公約（Council of Europe Convention 108）」60。該公約的內容是要求各會員國在其國家法律內納入對資料保護的規範61。如公約第 5 條第 1 項規定資料保護法的基. International Data Flows, 80 IOWA LAW REVIEW, 471 (1995). 60 Convention for the Protection of Individuals with regard to Automatic Data Processing of Personal Data, Council of Europe, Jan. 28, 1981, ETS 108 (1981). 61 Id. art. 3. 21. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(29) 本原則，要求自動處理（automatic process）的個人資料應該以公平且合法的方式取得和處理62。公約主要約束的對象是歐盟會員國，因此並未直接為個人創設權利，也未適用於任何私部門的實體63。但即便如此，此公約仍被視為歐洲各國將資料隱私作為基本權利的重要發展歷程64。在歐盟，隱私被視為是個人的「基本權利（fundamental right）」，因此保護個人資料的隱私也被視為是保護歐盟公民的基本權利。這個概念體現在歐盟不同的法律條文中，例如「歐洲聯盟基本權利憲章（Charter of Fundamental Rights of the European Union）」第 8 條明文將個人資料的保護認定為個人的基本權利：人人均有權享有個人資訊之保護；此等資訊應僅得於特定明確的目的，於資訊所有人同意或其他法律規定的正當依據下，公平地被處理；人人均有權了解其個人資訊，並有權要求銷毀其個人資訊；應由獨立之主管機關監督這些原則被確實遵守65。同樣地，「歐盟基本權利憲章（ EU Charter of Fundamental Rights）」第 16 條第 1 項也指出：人人均有權保護與其相關的個人資料66。由此可知，個人資料隱私的保護被視為最根本的權利，而保護公民的基本權利係歐盟法律的一般原則，其他所有規範都必須遵守此原則，若有違反則必須負擔損害賠償責任67。基於此一觀點，歐盟執委會於 1995 通過最具影響力的資料保護指令。歐盟執委會從 1973 年開始針對跨境資料流通進行研究，研究結果顯示歐洲共同體會員國之間對於資料保護的程度不同，會影響會員國之間跨境資料的自由流通，因此執委會認為有必要統合各國的標準，不僅得以促進區域內資料自由流通的. Id.art. 5. Council of Europe Convention 108, Explanatory Report, para. 38. 64 Christopher Kuner, supra note 56, at 37. 65 Charter of Fundamental Rights of the European Union, Dec. 18, 2000, 2000 O.J. (C 364/1) [hereinafter Charter]. 66 Consolidated version of the Treaty on the Functioning of the European Union art. 16(1), May 9, 2008, 2008 O.J. (C 115), providing that: ‘‘Everyone has the right to the protection of personal data concerning them’’ [hereinafter TFEU]. 67 Christopher Kuner, supra note 56, at 62. 22 62 63. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(30) 程度，亦可確保對歐體公民一致的隱私保護水準68。根據 1995 年指令第 1 條第 1 項，會員國應保護自然人的基本權利和自由，尤其是和個人資料處理有關的隱私權（right to privacy）69。除此之外，1995 年指令第 5 條要求各會員國應該要進一步精確地定義在何種情況之下，可以合法處理個人資料70。任何實體要將歐盟公民的個人資料傳出歐盟境外時，也必須要確定該資料接受國對於資料保護的水準係為「充足（adequate）」71。藉由這些條文的觀察可得知，歐盟對於歐盟公民的個人資料保護的核心原則是「只有在確定合法、擁有正當的法律基礎的情況下才得以進行資料的處理」，意即原則上禁止，除非在會員國境內（因適用歐盟指令的規範）或在有充足保護的國家才得進行。可見在歐盟，「隱私權」為個人核心且不可被侵犯的重要權利。 2. 美國──保護消費者權益美國對於隱私保護的意涵與目的與歐盟不同。在美國，隱私保護主要是透過各州的法律，與針對特定部門的聯邦法律來規範以保護消費者的權益，而美國憲法中關於資料隱私的保護，僅限於防止政府對於人民隱私的侵害72。不同於歐盟訂立一套涵蓋所有資料類型一體適用的保護指令，美國僅針對特定的資料類型，與特定的資料處理活動訂定特別的規範73。整體而言，美國隱私保護體系的法律可以分為 3 種，第一、用來保護較為敏感或風險較高之資料，以資料的類型作為規範的基礎，例如聯邦針對金融、保險機構資料的保護規範─ 「金融服務業現代化法案（Financial Services Modernization Act of 1999），亦稱. Christopher Kuner, supra note 56, at 40. Directive 95/46/EC art. 1(1), providing that: ‘Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data’. 70 Directive 95/46/EC art. 5. 71 Directive 95/46/EC art. 25. 72 PAUL M. SCHWARTZ AND DANIEL SOLOVE, PRIVACY LAW FUNDAMENTALS 2-7 (2011). 73 THE PRIVACY, DATA PROTECTION AND CYBERSECURITY LAW REVIEW 365 (Alan Charles Raul et al. 4th ed. 2017). 23 68 69. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(31) （Gramm-Leach-Bliley Act, GLBA）」74、針對孩童和學生資料的保護規範─「兒童網路隱私保護法（Children's Online Privacy Protection Act of. 1998, COPPA）」 75. 。第二、用來規範特定行為，以確保個人資料隱私不因這些行為而受到侵. 害，以特定行為為基礎─例如「1974 聯邦隱私法（the Federal Privacy Act of 1974）」用以規範聯邦政府機構如何蒐集和使用個人紀錄，避免政府以不正當的手段侵犯人民隱私76。加州則要求如果個人的資料被洩漏，或隱私被侵犯，則企業有義務進行通知77。最後則是用於確保消費者資料與權益的保護，若是不屬於聯邦或州政府特別法規所涵蓋的資料，則適用美國一般的消費者保護法─ 「聯邦貿易委員會法（Federal Trade Commission Act, FTC Act）」，此法禁止企業不公平或是詐欺的商業行為（unfair and deceptive acts and practices）78。由上述可知，美國沒有一部規範個人資料蒐集和使用的一般資料保護法律，原則上並不禁止企業進行個人資料的處理，除非是特別規範的資料類型與處理行為。在確保符合對於消費者基本權益的保護，並且不構成不公平與詐欺的商業行為即可79。針對跨境資料的傳輸亦同，美國同樣沒有關於跨國資料傳輸的法律限制80。基於這些觀察可以得知，美國與歐盟的規範邏輯不同，歐盟規定資料只有在有正當法律基礎時才得以進行處理和傳輸，而美國則是基本上允許處理和傳輸資料，僅有在特定情況下有所限制。. 第二目規範手段歐盟採用的是綜合性立法的方式（omnibus approach）訂定資料保護指令，. The Financial Services Modernization Act of 1999 Alan Charles Raul et al., supra note 73. 聯邦的資料保護規範主要是針對敏感性的資料：個人健康資料、信用報告、從網路上蒐集之 13 歲以下孩童的個人資料、精確的地點資料和可以用來辨認偷竊和詐欺身分的資料。因規範數量龐大且類別繁雜，無法一一羅列。 76 Jay P. Kesan, supra note 8, at 398. 77 California Civil Code §1798.82. 78 15 U.S.C. §§41-58 79 Alan Charles Raul et al., supra note 73, 377. 80 Id. 24 74 75. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(32) 該指令所涵蓋的範圍不僅涵蓋歐盟境內所有公民的個人資料，甚至擴及 3 個「歐洲經濟區（ European Economic Area, EEA）」的國家──冰島、挪威和列支敦斯登81。在其規範的領域範圍內，會員國必須要訂定國內法以符合指令上的要求，保護所有類型之 EEA 公民的個人資料。因此所有個人資料，無論敏感與否都受到相同的保護水準，也因此在 EEA 境內個人資料得以自由流通82。美國則是由聯邦與州政府個別針對不同部門訂定特定規範的方式進行資料的隱私保護立法（sector by sector approach），甚至對於公部門和私部門的規範也有所差異83。如同上述，美國資料保護法主要分為 3 種─針對敏感資料的隱私要求、針對特定資料處理行為的要求，以及消費者資料的保護規則。基於這三項目的，聯邦和州政府訂定一系列不同的規範以確保目的的達成，故美國的資料保護方法又被認為是「拼湊物（patchwork）」。除此之外，美國在個人資料隱私保護上有許多企業自願遵守的自願性規範（self-regulation），然而因為該些規範為自願性，與歐盟的強制一體適用的規範仍有極大落差84。. 第三目適用範圍歐盟 DPD 的適用範圍廣，包含全部或部分透過自動化方式（automatic means）處理；以及以自動化方法以外的其他方式處理並成為檔案系統（filing system）一部分的個人資料85。換句話說，不管個人資料處理的方式是電腦自動處理，或是持有資料者所為，只要最後歸檔的個人資料，無論種類都涵蓋在指令規範的範圍內。但根據指令第 3 條第 2 項也有明文規定，在下列的情況下，. Decision of the EEA Joint Committee No 83/1999 of 25 June 1999 amending Protocol 37 and Annex XI (Telecommunication services) to the EEA Agreement, 2000 O.J. (L296/41). 82 Directive 95/46/EC art. 1. 83 Paul M. Schwartz, The EU-U.S. Privacy Collision: A Turn to Institutions and Procedures, BERKELEY LAW 1974 (May 2013). 84 Edward R. Alo, EU Privacy Protection: A Step Towards Global Privacy, 22 Mich. St. Int'l L. Rev. 1095 (2013). 85 Directive 95/46/EC art. 3(1). 25 81. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(33) DPD 並不適用於個人資料的處理：不屬於歐洲共同體法所規範的活動，例如歐洲聯盟條約（Treaty on European Union）第五、六章中會員國「共同外交及安全政策」與「司法及內政合作」所涉及的個人資料處理86；和公共利益、國防、國家安全有關，以及會員國內刑法所規定的活動87。整體而言，歐盟隱私指令所涵蓋的內容係除了明文規定的例外，包含所有實體以各種方法蒐集之所有類型的個人資料。美國的個人資料保護相關法律所涵蓋的範圍較小，且因為美國法不如歐盟的指令，係以單一規範一體適用，不同的法律所規範的範圍亦不相同，甚至不同規範因為目的不同，用以定義涵蓋範圍的標準也不相同。例如美國 GLB 法案規範的即是參與金融活動的金融機構，如銀行、證券公司和保險公司，如果非金融機構的公司從金融機構取得非公開的個人資料，亦須受到 GLB 法案的管轄 88. 。另外，除了以持有資料的公司（data holder）作為劃定規範範圍的基礎外，. 資料的性質亦是標準之一，例如：HIPAA 適用於該法涵蓋實體所持有之個人可辨識的健康和醫療資料89。由此可知，美國所規範的範圍並非「所有資料」，也並非所有「處理或傳送個人資料者」，必須要視個別法律的目的和適用範圍而定，廠商也依照其所蒐集的資料類別，與其本身的企業特性去符合不同的法律要求。此外，美國的各級法律中並未限制「自動化的資料處理」—直接由電腦進行的資料處理，也無相關要求。歐盟指令與美國法律體系在適用範圍上，最大的差異即是歐盟指令除了明文規定的特定例外，適用於「所有類型資料」、「所有類型資料持有者」，以及「各種資料蒐集方法」；但相反的美國整體而言沒有一般化的要求，但如果屬於特殊規範所涵蓋的資料類型或資料持有者，則需符合該規範的規定。. 86 87 88 89. 第五章及第六章規範共同外交及安全政策與司法及內政合作 Directive 95/46/EC art. 3.(2) GLBA, supra note 7474. The Health Insurance Portability and Accountability Act of 1996 (HIPAA). 26. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(34) 第四目實體權利義務歐盟和美國個人資料保護法中賦予資料主體的權利亦不相同。1970 年代國際上在發展「隱私權」以及「保護個人隱私」的概念時，美國與歐盟的政府與學者都認同應該要以「公平的資訊行為（Fair Information Practices, FIPs）」原則為中心，立法保護資料主體的隱私權。所謂的 FIP 原則是由美國當年的「衛生、教育及福利部（Department of Health, Education, and Welfare, HEW）」提出 90. 。內容主要涵蓋 5 個原則：1. 不得有秘密對於個人資料紀錄留存的系統；2.. 需提供個人得知個人資料被紀錄及該資料如何被使用的方法；3. 需提供防止個人資料在取得資料處理同意之前被用於和原本蒐集不同的目的的方法；4. 需提供個人更正或修改個人資料紀錄的方法；5. 產生、維持、使用或散播可辨識個人資料的組織，必須要擔保其欲使用之資料的可靠性，以及必須要採取必要措施以預防資料的誤用91。但雖然歐盟和美國的個人隱私法都是基於 FIP 原則進行延伸訂定，但賦予資料主體的權利與對資料控制者課予之義務卻仍有差異。. 1.. 資料主體的權利歐盟 DPD 中，賦予資料主體的權利是以 5 項 FIP 原則為基礎訂定，主要可. 以歸類為 2 個面向：（1）透明化原則：資料主體必須被告知資料處理之目的，以及第三國資料持有人的身分、相關其他資訊以確保雙方的公平92。（2）個人資料之資料主體有權存取、修改以及要求禁用個人資料：資料主體有權取得關. 美國當年的「衛生、教育及福利部（Department of Health, Education, and Welfare, HEW）」現改為「美國衛生與公眾服務部（US Department of Health and Human Services, HHS）」 91 United States Department of Health, Education and Welfare Fair Information Practice Principles (1973) https://www.justice.gov/opcl/docs/rec-com-rights.pdf. 92 Directive 95/46/EC art. 10. 資料控制者以必要提供資料主體下列之訊息，除非資料主體已經持有相關資訊：(a) 資料控制者，或其代表之身分；(b) 資料處理的目的；(c) 其他資訊，如：資料接受者或接受者的類別；資料主體對於資料有接近權和修改的權利等。 27 90. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(35) 於其個人資料之副本93，並得在該資料不精確時要求修正94。且在特定的情況下，可以限制資料處理活動，或甚至拒絕個人資料的相關處理95。美國雖然也以 FIP 原則為訂定資料保護法之基礎，但不同的法律規範中仍存有差異，而且部分歐盟指令所賦予資料主體的權利，在美國的資料保護法中並不能找到相對應的保護規定。如：美國 FTC 法案和大多數美國的隱私法（如 HIPAA 和加州的法律）並未提供資料主體資料接近權，僅有針對部分特定資料有例外規定96。此外，目前美國聯邦的立法亦未授予資料主體要求刪除資料的權利，例如：在 HIPAA 中，資料主體可以提出修改不精確或不完整資訊的要求，但被要求的涵蓋實體並未有修正該資料的義務（資料持有者得拒絕該要求）97。由此可知，歐盟指令較美國整體的法律規範賦予資料主體更多直接且明確的權利。. 2.. 資料控制者與處理者之義務首先，歐盟 DPD 在規範實質義務前，先對負擔義務的實體進行定義，其中. 「資料控制者（data controller）」指的是任何單獨或與他人共同決定個人資料處理目地與方法的自然人、法人、行政機關和其他機構98。另外，所謂「資料處理者（data processor）」指的則是為控制者處理資料的任何自然人、法人、行政機關和其他機構99。此定義將影響後續被課予義務之實體的範圍。相反的美國. Directive 95/46/EC, art 12 (a). 資料主體有資料接近權，得確認與其相關的資料是否進行處理、處理的目的、資料的種類、資料的接受者（recipient）、接受者的類別；該資料被揭露的對象等。而資料主體所要求的資料，資料控制者必須以清楚容易理解的形式給予資料。 94 Directive 95/46/EC, art 12(b). 資料主體在資料控制者處理資料的目地和條件與指令不符，尤其是資料不完整或不正確時，有權要求修正（ratification）、刪除（erase）及阻絕（block）。 95 Directive 95/46/EC art. 14. 資料主體得於任何期間得根據重大合法的理由，反對資料控制者處理其資料的權利。當資料主體提出之理由正當，資料控制者不得在其處理的過程中涉及該資料。 96 例如：孩童的隱私保護法同意父母可以瀏覽其孩童在網路被蒐集的資料，並且可以刪除和更正資料。 97 HIPAA, supra note 89, § 164.526. 98 Directive 95/46/EC art. 2(d). 99 Directive 95/46/EC art. 2(e). 28 93. DOI:10.6814/THE.NCCU.IB.015.2018.F06.

(36) 的法律體系中沒有明顯對「資料控制者」和「資料處理者」加以區分。歐盟 DPD 要求資料控制者或其代表在進行個人資料處理時必須符合幾項義務：（1）. 確保資料品質和相稱性：資料控制者或其代表必須確保資料的處理公. 平且合法，以及資料的內容為精確，如果有必要應隨時更新，資料也必須要與其傳輸或處理之目的有充分關聯100。（2）. 確保個人資料的安全和保密：個人資料控制者在持有資料的期間必須. 要採用適當的系統性及技術性安全措施，以保護個人資料在處理過程中可能造成的風險。任何資料控制者授權之使用，包含執行處理者個人資料者，在沒有控制者提供的指導時，不得處理資料101。同時，在必要時也要對個人資料進行保密102。（3）. 通知義務：除了特定的例外，處理個人資料必須要通知主管機關，如. 果是自動化處理，則控制者需要將處理的邏輯進行通知103。（4）. 確保後續傳輸接受者保護程度：個人資料之原始接受者只得在該資料. 後續傳輸接受者亦處於具有充足保護水準規範的情況下，才得將資料進行傳輸。除了這些特定的義務外，因為歐盟指令的規範原則是只有在有正當且合法基礎時，才得以進行個人資料處理，因此整體而言，資料控制者還負有確保其資料處理係基於正當合法基礎的義務104。美國整體而言，對於資料控制者（或持有者）的義務著重在當資料主體的個人資料受到侵害，其有義務要進行通知105。美國 FTC 法案第 5 條則是要求企業必須要遵守其所公布的隱私政策，該法案的目的在於禁止企業進行「不公平 Directive 95/46/EC art. 6. Directive 95/46/EC art. 17. 資料控制者和其所揭露的第三方，有義務要採取安全措施避免個人資料被不合法的處理、遺失或是未經授權的被揭露和使用。 102 Directive 95/46/EC art. 16. 103 Directive 95/46/EC art. 18. 104 Directive 95/46/EC art. 7.合法資料處理的標準包含：資料主體的同意、契約、契約、遵守法律義務之必要、保護資料主體的重要利益之必要、維護公共利益為必要、資料控制者或第三方尋求正當利益之必要。 105 Paul M. Schwartz, supra note 83, at 1976. 29 100 101. DOI:10.6814/THE.NCCU.IB.015.2018.F06.