論跨境資訊流通與資料保護之兩難與平衡─從TPP下的資料當地化議題出發 - 政大學術集成

全文

(1)國立政治大學國際經營與貿易學系碩士論文 Department of International Business College of Commerce. National Chengchi University Master Thesis. 政治大論跨境資訊流通與資料保護之兩難與平衡立. ‧ 國. 學. ──從 TPP 下的資料當地化議題出發. ‧. The Dilemma and Balance between Trans-border Data Flow and Data Protection on Issue of Data Localization in The TPP. er. io. sit. y. Nat. n. a l 撰者：黃致豪 i v n Ch engchi U Chih-Hao Huang. 指導教授：蔡孟佳博士 Meng-Chia, Tsai Ph. D. 中華民國 104 年 01 月 January 2015.

(2) 謝辭四年的碩士生涯比一般人都來得要長，雖不敢說自己有多認真或是能夠對學術界做出實質的貢獻，但是箇中的苦辣酸甜對於短短數十載的人生來說，若持續懂得回顧、反省與修正，總還算是無愧於這副靈魂遁入三維世界的初衷，也才算是真真切切地活著。簡單地說，無法清楚地認識自己，自然也無法適當地面對身邊的人、事與物，小則無法照顧自己，大則殃及其他的生命；有趣的是，認識自. 政治大著才有了改變的契機。因此，我想先感謝的是我曾經經歷過的每個時刻。立. 己的過程，又需要不斷地與其他生命碰撞，由各式各樣的經驗中映照出自身，接. ‧ 國. 學. 在這些時刻中，更要感謝的是那些鼓勵、協助與不吝提出建言的人們。謝謝. ‧. 蔡孟佳老師，將他多年來累積的研究經驗與我分享，一次次地同我討論與修正論文的架構，並檢視我論文的內容；謝謝大學的好友們：殺氣、維傑、叭噗、小彬、. y. Nat. er. io. sit. 瑞峰、凱茹與歐陽，與你們相聚的時光是我再回頭與論文拼鬥的動力；謝謝燕子在我撰寫論文期間，願意提供我幫忙的機會，除了填飽肚子之外也獲得了許多寶. n. al. 貴的經驗。. Ch. engchi. i Un. v. 謝謝文誠叔叔、麗雪阿姨、亮君姐姐、姐夫、芃榕哥哥、大嫂與外婆，給我許多的幫助、建議與關心，讓我能夠更靜心地度過這一段時光；謝謝我的爸爸、媽媽與妹妹，有你們的栽培與支持我才能夠踏入這個階段，甚至苦我所苦，一直無條件地支持我；謝謝最有智慧、聰明、包容的寶貝亮吟，在這個階段遇到妳是我的幸運，也因為妳我才真正開始活著，練習面對自己的一切與成長。當然，還要感謝其他每一位曾鼓勵我與提供我建議的朋友與親人，或許我一聽到論文馬上會緊張地臉色凝重，但幸虧有你們，我才能夠走完這一個階段。祝福你們所有人，也都有更多的智慧與勇氣面對生活中的挑戰與困難。 I.

(3) 中文摘要隨著全球電子商務的蓬勃發展，為在資訊流通與資料保護之間取得平衡，跨境資訊流動議題在國際經貿整合中往往也成為各國談判的焦點之一。其中，TPP 中各國更進一步地處理「當地設立伺服器」議題，並提案將以「必要性測試」作為各國施行該措施之前提，本文遂就該測試在相關措施下之運作進行探討，並針對我國未來制度上與國際接軌之方向提出建議。. 政治大. 本文透過文獻分析法，歸納出必要性測試的評估過程中有「替代性措施對政. 立. 策目標之貢獻程度」、「政策目標或價值之重要性」、「對國際貿易之限制性」幾個. ‧ 國. 學. 重要因素，另外在針對澳洲措施的分析中，有司法管轄權、技術、國際間合作狀況與行政成本，需納入考量之因素。然而，我國法制中尚未有更具體的管制措施，. ‧. 而經貿協議中僅止於承認彼此之資訊流通管制規範。未來或可參考澳洲之做法，. Nat. er. io. sit. y. 同時由前歸納之因素評估該作法之必要性。. 關鍵字：電子商務、資料保護、泛太平洋戰略經濟夥伴協定、必要性測試. n. al. Ch. engchi. II. i Un. v.

(4) Abstract The issue of trans-border data flow has been treated as one of those significant trade liberalization topics while global electronic commerce continues to surge and countries are striving to build common ground on the balance between data flow as well as data protection. Among these efforts of trade integration, “necessity test” was proposed when the members within TPP go further to negotiate whether the regulation of “localization data center” should be banned or not. In this article, we will conduct. 治政 analysis toward how will the test work with potentially 大 disputing measures and provide 立 suggestions for Taiwan’s legislation to be geared to international treaties and standards. ‧ 國. 學. Through documentary analysis, factors evaluated against possible alternative. ‧. measures when exercising necessity tests are summed up as contribution made by the. y. Nat. sit. compliance measure to the enforcement of the law or regulation at issue, the importance. n. al. er. io. of the common interests or values protected by that law or regulation, and the. i Un. v. accompanying impact of the law or regulation on imports or exports. Furthermore, as. Ch. engchi. what has been shown by analyzing the Australian measure, we concluded that jurisdiction, techniques, international cooperation and administrative costs should also be taken into account. However, due to the lack of more practical measures and the topic in Taiwan’s concluded trade agreements is still in its infancy, I suggested that related authority can take the Australia’s measure as an example on basis of the above-mentioned factors. Keywords：e-commerce, data protection, TPP, Necessity Test. III.

(5) 目錄謝辭 ................................................................................................................................... I 中文摘要 .......................................................................................................................... II Abstract ........................................................................................................................... III 第一章緒論 .............................................................................................................. 1 第一節研究背景與動機 .................................................................................. 1 第二節研究問題與目的 .................................................................................. 3 第三節研究方法與論文架構 .......................................................................... 4 第二章電子商務下資訊流通與資料保護現況 ...................................................... 6 第一節第二節第三節. 資訊流通與電子商務發展 .................................................................. 6 各國資料保護制度之差異 ................................................................ 10 WTO 下的跨境資訊流通議題 .......................................................... 26. 政治大. 第三章資訊流通與資料保護議題在當前國際經貿體制中之發展 .................... 30 第一節 FTA 中的跨境資訊流通議題 ............................................................ 30 第二節國際性資料保護制度框架 ................................................................ 33 第三節 TPP 中的「當地設立伺服器要求」 ................................................ 40 第四章資料當地化與電子商務發展 .................................................................... 44 第一節伺服器與電子商務之發展 ................................................................ 44 第二節資料當地化與資料保護 .................................................................... 46. 立. ‧. ‧ 國. 學. y. Nat. sit. n. al. er. io. 第三節資料當地化引發之爭議 .................................................................... 47 第五章當地設立伺服器：必要性測試 ................................................................ 53 第一節比例原則與必要性 ............................................................................ 53 第二節必要性於貿易自由化下之內涵 ........................................................ 56 第三節必要性測試於具體措施之應用 ........................................................ 68 第六章結論與建議 ................................................................................................ 84 參考文獻 ........................................................................................................................ 87. Ch. engchi. IV. i Un. v.

(6) 圖目錄圖 2- 1：日本個人資料保護之法制體系 ..................................................................... 19. 表目錄表 2- 1：侵權類型與項目 ............................................................................................. 10 表 2- 2：資料保護理念發展概觀 ................................................................................. 13 表 2- 3：美國歷年主要隱私權法案 ............................................................................. 15 表 2- 4：美國歷年 FTA 電子商務專章內容：一般規定............................................ 31 表 2- 5：美國歷年 FTA 電子商務專章內容：資訊自由流通.................................... 31 表 2- 6：其他 FTA 電子商務專章內容：個人資料保護............................................ 32. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. V. i Un. v.

(7) 第一章緒論第一節研究背景與動機跨境資訊流通、資料保護以及電子商務發展三者間的關係，是本文的核心，也就是說，為了電子商務的持續成長，國際間一直試圖在資料流通與保護之平衡點的選擇上使各國趨於一致。本文後續的討論雖側重在各國對於資料保護以及跨境資料傳輸之限制，但資訊流通與資料保護實為一體兩面，以往的學術研究雖有以「跨境資訊流通」為題者，但往往也同時涉及資料保護或隱私權之規範，是以. 政治大. 本文以「跨境資訊流通與資料保護之平衡」指稱此篇文章討論之重點。. 立. ‧ 國. 學. Christopher Kuner 整理了自 1970 年代以來，各國、區域性乃至於全球性的跨境資料流通規範之發展，並系統性地整理各個制度背後的政策意涵，以針對現有. ‧. 制度之目的、運作與有效性進行反思1。他指出，目前許多國家的資料保護法係以. sit. y. Nat. 相同的國際性方針為基礎（如 OECD 指導方針），使得區域以及各國法律制度間的. io. er. 上位法律原則相似，但由於各國間的文化、歷史與資料保護之法律途徑之不同，. al. iv n C hengchi U 全球性的資料保護制度也相當不容易，特別是法律架構的形式、適用的資料保護 n. 則使得各國在相關規範的細節上仍有諸多差異。若要在未來於這些差異之上建立. 標準、保護之範疇以及負責協調整合的國際組織上要取得共識，將十分困難2。自 1980 年經濟合作與發展組織（Organization of Economic Cooperation and Development，OECD）採用「隱私保護與個人資料之跨境傳輸指導方針」（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，簡稱 OECD 指導方針）以來，跨境資料傳輸不論在經濟、政治及社會層面，重要性皆不斷增加； 1. Christopher Kuner, Regulation of Transborder Data Flows under Data Protection and Privacy Law:. Past, Present and Future, Tilburg University Legal Studies Working Paper No. 016/2010, p.35. 2. Christopher Kuner, An International legal Framework for Data Protection: Issues and Prospects,. Computer Law & Security Review 25（2009）307-317, pp.311-312. 1.

(8) 其中在電子商務持續增長的趨勢下，各國對於跨境資訊流通與資料保護之間的拿捏，遂成為國際貿易組織（World Trade Organization，WTO）之杜哈回合談判停滯後，新一輪國際貿易整合中國家間進行談判的重要議題之一。回到全球電子商務的發展上，與貿易有關的資訊流通與資料保護制度整合值得進一步探討之，如 WTO 的服務貿易總協定（General Agreement on Trade in Services，GATS）在不形成對貿易之變相限制的前提下排除對資料保護規範之管制，即為一例。隨著電子商務全球性的發展，網際網路使用（Access to Internet）以及對資訊流通之限制，成為國際貿易整合的新興議題之一；在限制方面，各國政府. 治政進行管制的目的與手段各異，其中也包括對資料與隱私權之保護，而透過國際貿大立易之整合，各國企圖在資訊流通與資料保護之間取得適當的平衡點，一方面促進 ‧ 國. 學. 電子商務之發展，另一方面也確保資料與隱私或得適當的保護。近幾年相當受到. ‧. 國際社會關注的泛太平洋戰略經濟夥伴協定（The Trans-pacific Partnership，TPP），. sit. y. Nat. 也納入了相關的議題。. n. al. er. io. 由美國主導的 TPP 中雖有資訊流通與資料保護之相關議題，但尚未有談判結. i Un. v. 果方面的分析。目前針對 TPP 所進行的研究，如由隸屬於美國國會的研究機構，. Ch. engchi. 對各 TPP 談判國的經濟狀況與潛勢分析，並探討這些國家與美國間的經濟連動關係，藉此了解 TPP 未來的經濟版圖。而在談判的期間，則不斷有談判進展之報導與分析出現，就農業、智慧財產權、服務與投資、電子商務等議題，介紹各國相關產業之概況，以及談判過程中各國意見出現分歧之處3。TPP 備受國際關注的原因除美國的政治戰略佈局之外，還有其一開始拋出的「高標準貿易協定」之目標，而在 WTO 幾乎沒有重大進展的 21 世紀初，自然會引來該協定是否能進一步深化. 3. Jeffrey J Schott, Barbara Kotschwar and Julia Muir, “Sticking Points in the TPP Negotiations” in. Understanding the Trans Pacific Partnership, Peterson Institute for International Economics, January 2013. 2.

(9) 世界貿易整合之期待。然而，Ann Capling 與 John Ravenhill 點出由於許多 TPP 談判國的經濟規模小，且目前各國間多已有雙邊或區域性的自由貿易協定，故 TPP 在國際貿易整合上的成效可能有限4。. 第二節研究問題與目的在電子商務專章中，有關資訊流通與保護之平衡的議題又以「當地建立伺服器要求」議題可取得能夠進一步進行分析之資料。就談判現況而言，TPP 係以美國為首進行的談判，談判之初，美國方面希望相關條文能夠「確保資訊跨境流通，. 政治大. 同時在隱私保護方面合乎各國的合理利益」5，並且希望消除要求企業在營運當地. 立. 設立伺服器之規範，而澳洲與其他國家則堅持其保護個人資料隱私的立場，並主. ‧ 國. 學. 張各國應保有將重要個人資料留於境內之權力。不過，2013 年底一份有關各國立. ‧. 場的文件顯示，包括美國在內的大部分成員國皆同意以「必要性測試」（necessity test）做為施行「當地設立伺服器要求」的前提，各談判國中僅越南對此提案持反對立. n. al. er. io. sit. y. Nat. 場。. i Un. v. 為了促進電子商務的全球發展，需兼顧資訊流動的自由度以及對隱私之保護；. Ch. engchi. 不論是完全的資訊自由流通，或對資料與隱私的過度保護，都非為各國所樂見。 TPP 參與國家之多且目標之高，或許在資訊流通與保護之平衡的爭議上將有不同於以往的結果。而有鑑於美國在「當地設立伺服器」議題上有所妥協，唯一反對的越南在電子商務議題上的影響力相當有限，未來澳洲之提案很有可能成為該議題之談判結果，其提案內容遂成為本文的研究核心。即透過分析「當地設立伺服器：必要性測試」此議題之內涵，本文試圖觀察各國可能如何在跨境資訊流通與. 4. Ann Capling, John Ravenhill, Multilateralising Regionalism: What Role for the Trans-Pacific. Partnership Agreement?, The Pacific Review, 24:5, 553-575, 2011, p.553. 5. Office of the United States Trade Representative, Trans-Pacific Partnership: Summary of U.S.. Objectives, Retrieved November 24, 2014,from http://www.ustr.gov/tpp/Summary-of-US-objectives 3.

(10) 資料保護之間取得平衡，而未來，此一可能的談判結果又會為我國帶來什麼啟示。. 第三節研究方法與論文架構本文係透過文獻分析法，針對各種文獻蒐集、分析、歸納、研究並提取所需之資料，並就文獻作客觀而有系統的描述。這些文獻包括研究論文、各國政策文件、法律制度內容、談判過程之報導、WTO 爭端解決文獻等，藉由這些文獻，來建構本文對核心議題之了解，並就研究問題作出推論。而本文之具體結構如下：. 政治大. 第一章：緒論，包涵研究動機與背景、問題與目的以及研究流程。. 立. 第二章：本章將釐清「資訊流通與資料保護」成為國際經貿整合中重要議題之脈. ‧ 國. 學. 絡；由網際網路促成電子商務發展，到各國同時也紛紛建立各異的隱私或資料保. ‧. 護規範以保護個人資料，最後是 WTO 中該議題的發展現況。. Nat. sit. y. 第三章：本章的重點在於，在 WTO 之外，各國所簽訂的 FTA 中亦曾納入資訊流. n. al. er. io. 通與保護議題，且係奠基於既有的國際資料保護框架之上；而 TPP 的出現，則是. i Un. v. 希望在這些既有的基礎上將國際經貿整合更向前推進。不過由於能夠取得的談判. Ch. engchi. 內容有限，針對資訊流通與保護議題，透過談判過程中的相關報導，以及少數洩露出來之資料，本文拼湊出談判各國在整合上對「當地設立伺服器要求」與「必要性測試」的態度。第四章：此章針對「當地設立伺服器」此一措施，由技術面與各國制度面進一步的探討之，並點出在電子商務發展上「資料當地化」爭議之存在，說明「當地設立伺服器」議題與電子商務發展及資料保護間的關係。第五章：此章探討「必要性測試」於法律體系中的角色與功能，並藉由 WTO 累積至今的案例，來歸納在國際經貿整合的場域中，「必要性測試」之內涵，接著對 TPP 4.

(11) 談判國之既有措施試析必要性測試之運作。第六章：結論與建議，由第五章之結果，歸納「必要性測試」在「當地設立伺服器」議題運用上的重要內涵，並對我國既有制度提出建議。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 5. i Un. v.

(12) 第二章電子商務下資訊流通與資料保護現況在電子商務的脈絡下，資訊流通與資料保護之過與不及，都可能阻礙電子商務的發展，要理解這一點，就需從這兩者在電子商務運作中所扮演的角色談起。資訊，可說是電子商務運作的根本，本文以下將先由資訊流通促成商業再次大幅成長的背景環境談起，接著談到隨著電子商務成長，個人資訊更加大量且全面地在網際網路中流通為隱私所帶來的風險，甚至會危及個人對商業機制之信任，而. 政治大. 各國政府又是如何透過法律來保護這項重要的權利。不過，電子商務無國界的特. 立. 性，也使得各國制度更直接地因差異而產生衝突，遂促成國際間進行制度整合之. ‧ 國. 學. 行動。. ‧. 第一節資訊流通與電子商務發展 sit. y. Nat. io. er. 隨著網際網路的成長，創造了一個讓資訊能夠被網絡式地、動態地與及時地進行跨境傳輸的環境6，而個人、企業與政府收集、分享與使用資料的方式也隨著. al. n. iv n 7 C 改變。現今資料的跨境傳輸，甚至能夠在不知道傳送者與接收者的狀況下進行。 hengchi U 透過網際網路，資訊能夠更快速地傳遞，其為人類經濟活動之生產力與創新能力所帶來之提升程度，遠超過以往任何一種科技，此外，也使得交易成本大幅下降，而資源能夠更有效率地被利用，提升各個經濟體的經濟彈性與競爭力8。網際網路無國界的特性使得世界各地透過資料的傳遞緊緊相連，深化了全球化的程度，也. 6. Paul M. Schwartz, Managing Global Data Privacy: Cross-Border Information Flows in a Networked. Environment, Privacy Projects, 2009, p.10. 7. Christopher Kuner , supra note1, p.10.. 8. OECD, Broadband and the Economy: Ministerial Background Report 8-9, OECD Doc.. DSTI/ICCP/IE(2007)3/FINAL, p.14 , Retrieved November 24, 2014, from: http://www.oecd-ilibrary.org/science-and-technology/broadband-and-the-economy_230450810820 6.

(13) 為企業以及消費者提供了更多機會與選擇9；即使是社會中的個人，得助於資訊取得的便利性，透過網路就能自行學習想要加強的技能，提升自己所擁有的技術性資本。網際網路在當前經濟活動中的功能越來越多樣化，以網際網路之應用為基礎的相關公司就有非常多種，又被稱作「網路公司」（Internet Firms），包括 Google、以提供網際網路在使用與運作上所需之基礎服務的 United Internet。另外還有以提供資通科技為主之產業，近來也逐漸將服務移至網際網路上，如資通安全公司賽門鐵克、線上遊戲廠商 Activison Blizzard 等。網路中介商（Internet Intermediaries）. 治政也是網路公司的一種，他們提供網際網路的基礎設備與平台，讓交易各方之間的大立通訊與買賣能夠進行，如網路服務提供商、搜尋引擎、電子商務中介商、付款中 ‧ 國. 學. 介商等等10。而透過將醫療資訊數位化並上線，能夠協助醫生創造更好的醫療照護. ‧. 品質；許多地方的學生都能夠過網際網路接觸線上課程，除提升教育水準。再如，. sit. y. Nat. 智慧電網能夠經由網際網路的傳輸，提供家戶有關能源消耗的即時資訊，協助他. io. er. 們節省能源、電費以及減少溫室氣體的排放。網際網路更藉由無線網路、寬頻以及行動裝置的結合，更深入到每個人的家、車以及其他裝置中，使得「物品」之. n. al. i 11 Ch 間的連結更加緊密，促成「物聯網」的發展。 Un engchi. v. 新型態的商業模式、發明、商品以及服務陸續出現，並在資訊與人之間構築出新的關係。如社群網站 Facebook 與 Google+透過掌握使用者自行產生的資訊，提升社會活動與商業的連結；Amazon、Apple 與 eBay 則是利用網際網路構建電子商務及行動應用平台，透過資訊的快速交換，連結美國乃至於全球的買賣雙方。除此之外，智慧型手機、平板電腦等行動裝置的出現，則進一步刺激了手機應用. 9. OECD, Shaping Policies for the Future of the Internet Economy, OECD Ministerial Meeting, 2008, p.7.. 10. OECD, Internet Economy Outlook 2012, OECD Publishing, 2012, p.244.. 11. Id. p.23 7.

(14) 程式及行動網路的流量，根據預測，該流量在 2011 至 2016 年間將會成長達 18 倍之多12。一些傳統型態商業中的商品與服務提供者，也因為網際網路的關係而受惠。例如透過網際網路，企業能夠以更低的成本接觸國際市場及他們所需要的服務13。對於發展中的國家而言，網際網路對於經濟成長與就業機會的重要性相當高。根據世界銀行的報告，對於發展中國家的偏遠地區而言，網路所帶來的新型服務（如農產品價格的即時資訊）能夠讓小型企業更清楚市場上的銷售動態14；而統計上，在這些國家中，網路滲透率每增加 10％，就能帶動經濟成長 1.3％15。相較於已開發國家的轉換率，開發中國家的數值相對低，顯示在開發中國家網際網路還 16. 有很大的發展空間。. 立. 政治大. ‧ 國. 學. 研發活動也因為跨境資訊傳輸，能夠使全球的研發者以協作且即時的方式，分享資料、設計實驗以及分析成果。對於金融產業而言，消費者與企業都能夠透. ‧. 過全球網絡，在任何一個地方使用最好的金融服務，或是管理自己的帳戶。新創. Nat. sit. al. er. io. 金。. y. 企業則透過跨境資料傳輸，能夠聚集世界各地有興趣的投資者，更容易地取得資. n. iv n C 除上述的現象外，對於國際貿易而言，電子商務使得貿易進行的交易成本大 hengchi U 幅下降，同時在幾個商業流程上，有相當顯著的影響。即消費者能夠透過搜尋引擎、網站、電子郵件等接觸到企業訊息，甚至直接在網際網路上訂購產品，完成. 12. Cisco Public, Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update 2011-2016,. Cisco White Paper, 2011, p.5. 13. Joshua Meltzer, The Internet, Cross-Border Data Flows and International Trade, Issues in Technology. Innovation, No. 22, 2013, p.2. 14. World Bank, Information and Communications for Development 2009: Extending Research and. Increasing Impact, The World Bank 2009, p.4. 15. Id. p5.. 16. Olivia Nottebohm, James Manyika, Jacques Bughin, Michael Chui and Abdur-Rahim Syed, Online and. Upcoming: The Internet’s Impact on Aspiring Countries, McKinsey & Company, 2012, p.29 8.

(15) 支付款項的手續，還有直接由線上管理自己的帳戶與財務狀況。除此之外，電子商務下企業能夠透過網際網路即時地了解市場動態，獲取及整理消費者的習慣以及想法，以及人力、財務、物流等資訊，更有效率地協調企業運作17，或是改變生產量、修改設計樣式，以及簡化企業的供應鏈18。近來，雲端運算的發展，更將資料的使用帶入另一個階段。Paul Schwartz 認為，雲端運算中不同的參與者，可以輸出、輸入、分析以及執行其他類型的指令，在這樣分散式地運算環境下，處理資料的彈性將大幅增加19。雲端運算使得使用者能夠將軟體、伺服器以及儲存裝置都置於其中，使企業能夠以更低的成本，接觸. 治政最新的服務。保守估計，2010 年雲端運算服務約值大 1.5 億美金，而到了 2015 年，立將會成長約 600 個百分比。 20. ‧ 國. 學. 從網際網路發展，到電子商務的成長與各種應用，資料是這些活動的本質，. ‧. 而資料的流動更動態地支撐著這一切活動的進行。換個角度來看，在資訊社會中，. Nat. sit. y. 人們無時無刻都在留下自己的電子記錄，例如出生、就醫、交易紀錄等皆然，且. n. al. er. io. 散佈在各處，儲存於各個資料庫中21。然而，也因為網際網路中資訊的匿名性、跨. i Un. v. 國性、自治性、普及性等，進而衍生出許多侵害隱私權的行為22。另一方面，資訊. Ch. engchi. 的諸多特性，更使得個人對資訊的主動掌控能力越來越低，也就是個人在資訊上自我決定權的消逝。以下，本文簡單列出幾種資訊隱私權受侵害的類型：. 17. 李超，《21 世紀的電子商務與國際貿易》，市場論壇，2008 年第 4 期，頁 34。. 18. Samuel J. Palmisano, The Globally Integrated Enterprise, Foreign Affairs, May/June 2006, p.127.. 19. Paul M. Schwartz , supra note 6, p.18.. 20. Renee Berry, Matthew Reisman, Policy Challenges of Cross-Border Computing, Journal of. International Commerce and Economics, 4:2, November 2012, pp.9-10. 21. 任文瑗、范錚強與許通安，《資訊隱私侵害行為意圖之研究》，資訊、科技與社會期刊，第六卷，. 第二期，2006 年，頁 78。 22. 林雅惠，《資訊隱私權之重塑－以行動商務為例》，科技法學評論，一卷一期，2004 年，頁 103。 9.

(16) 表 2- 1：侵權類型與項目類型. 項目. 較常受侵害之對象. 網路監聽. 通訊內容隱私權之侵害. 組織. 電子郵件監看個人資料的商業化濫發電子廣告信散佈侵害隱私權之軟體. 個人資料隱私權之侵害. 侵入他人系統以獲取資料. 組織、個人. 不當洩露他人資料網路視訊. 個人屬性隱私權之侵害. 個人. 行為的監視. 政治大組織 Cookies 立蒐集網頁瀏覽器所造成的侵害禁止網路匿名. 電腦軟體公司蒐集特殊電腦認證資訊. 組織. ‧. 新興科技對隱私權之侵害. 學. 電腦晶片中加入識別序號之爭議. ‧ 國. io. *資料來源：歸納整理自簡榮宗23、邱惠雯24. n. al. y. sit. Nat. 秘密蒐集消費者個人資料. er. 匿名隱私權之侵害. i Un. Ch. v. engchi 第二節各國資料保護制度之差異資料流通是電子商務發展的根本，隨著相關應用與新興產業市場的擴張，資料流通量也更加龐大。在這些資料中，代表個人的一切資訊可能以可辨識或分散式的型態，在世界各地傳遞著，而前述侵害資訊隱私的種種現象，正挑戰著資訊社會運作下人與人之間的互信，而互信也正是電子商務能夠持續成長的重要基礎。為了避免這些資料被不正當的使用，侵害個人權益，各國在制度上遂有各自的保. 23. 簡榮宗，《網路上資訊隱私權保護問題之研究》，東吳大學法律研究所碩士論文，1998 年。. 24. 邱惠雯，《網際網路使用行為之限制─從隱私權保護觀之探討》，國立中正大學犯罪防治研究所碩. 士論文，2002 年。 10.

(17) 護措施。本節以下將先介紹資料保護概念之發展，接著進一步了解這樣的概念在各 TPP 談判各國法制中實踐之樣態。此外，跨境資料保護為本文之焦點，故以下也將介紹上述各國對於跨境資料傳輸之管制。. 壹、資料保護理念發展個人資料保護這個概念，是隱私權概念中的一環，而隱私權在法律上的概念最先是從美國開始發酵，接著經由案例的累積充實隱私權的實質內涵。隱私權許多重要的論點最先見於 1890 年 12 月出刊的哈佛法學評論中，由山謬‧華倫. 政治大. （Samuel D. Warren）和路易斯‧布蘭迪（Louis D. Brandeis）共同執筆「隱私權」. 立. （The Right to Privacy）一文，對後續的實務見解以及學說影響甚鉅。. ‧ 國. 學. 到了 1960 年代，美國各州已累積有數以百計的案例，但隱私權的明確內容卻. ‧. 未被界定25。1960 年，威廉‧普洛瑟（William L. Prosser）教授在加州法學評論. sit. y. Nat. （California Law Review）上發表「隱私」一文，從「侵權行為法」的相關案例中，. n. al. er. io. 將涉及隱私權侵害的侵權行為整理出四種：為謀財物或其他利益而利用他人之姓. i Un. v. 名或肖像（right of publicity）；對他人私密或其他利益為不合理並高度令人厭惡. Ch. engchi. （intrusion of seclusion）之侵入；不涉公眾正當知之權利而揭露他人私事，使其極為不快（public disclosure of private facts）；或以明知或可得而知之不實陳述使他人蒙羞（false light in the public eye）26。也就是說，在美國法制屬判例法（common law）的背景下，隱私權的具體概念內涵係由其民法中「侵權行為法」下的各個判例所逐漸整理、歸納出來的。而在法律位階上，隱私權在美國原先是屬於侵權行為法的問題，而後續透過憲法增補條文，才逐漸提升至基本權利的層次；例如以美國. 25. 簡榮宗，隱私權的歷史，財團法人民間司法改革基金會，2006 年 6 月 25 日，取自：. http://www.jrf.org.tw/newjrf/rte/myform_detail.asp?id=753（最後瀏覽日：2014 年 9 月 29 日） 26. William Lloyd Prosser, W. Page Keeton, Dan B. Dobbs, Robert E. Keeton, David G. Owen, Prosser. and Keeton on Torts, 5th ed., 1984, ch.20. 11.

(18) 憲法增補條文第十四條所規定的自由及正當法律程序，規範使用避孕藥、墮胎、個人生活相關資料的管制及重大議題27。 1968 年，受到美國隱私權相關論著及資訊的影響，德國掀起了有關資料保護議題的浪潮，最早的「資料保護法」便出現於 1970 年德國的黑森邦（German Federal State of Hessen）。在德國法制中，並不存在「隱私權」一詞，而在實證法學以及法釋義學的討論中，「隱私權」之用語亦未被廣為採納，德國法下隱私權的「概念」及相關受保護的利益，是用另一種方式存在與呈現28。在德國的基本法中（相當於憲法層級）的「一般人格權」是與隱私權相對應的概念，但兩者並不完全相同。. 治政一般人格權在概念上包括生命、身體、健康、自由，名譽、隱私等等，加上經由大立案例累積，形成相對應的保護範圍。總而言之，美國隱私權的概念，係散佈在一 ‧ 國. 學. 般人格權中之各處。在時序上，1970 年出現資料保護法後，再來 1976 年德國通過. ‧. 聯邦個人資料保護法，接著於 1983 由德國聯邦憲法法院在判決中首次提出「資訊. sit. y. Nat. 自決權」，資訊自決權自此才成為個人資料保護之憲法基礎29。而繼德國之後，隨. io. er. 後有瑞典（1973）、葡萄牙（1976）、法國、西班牙與奧地利（1978）等國，制定資料保護規範或將資料保護納入憲法所保護之權利中30。. n. al. Ch. engchi. i Un. v. 在其他國家方面，隱私權以及資料保護之概念受到重視，多是受到歐美的影響。日本方面，隱私權的概念最先於 1935 年由末延三次博士發表「英美法中的秘密保護」一文，探討英美案例中隱私權概念之生成，但整體的理論架構之形成，還是在 1960 年代後。1964 年由東京地方法院針對「宴之後」這本影射政治人物的. 27. 王澤鑑，「侵權行為法」，元照出版社，2010 年 3 月，頁 160。. 28. 但為了敘述上的方便性，下文仍以隱私權指稱德國法中的相關概念。. 29. 邱琳雅，《德國聯邦個人資料保護法》，財金書房，財團法人金融聯合徵信中心，2008 年 10 月，. 頁 61。 30. Petra Hoepner, Linda Strick and Martin Löhe, Historical Analysis on European Data Protection. Regulations, Fraunhofer Institut FOKUS, 2012, p11. 12.

(19) 小說作出判決後，隱私權遂成為日本各界熱烈討論的話題；70 年代，日本的隱私權保護團體為了反對政府所提出的「國民總編號制度」，曾提出「個人資料保護自治條例模範綱要」，而學者也開始倡議進行隱私保護之立法31。在日本的法律中並沒有「隱私權」一詞。其憲法第十三條：「一切國民，均做為個人而受尊重。對於生命、自由及追求幸福之國民權利，以不違反公共福祉為限，需在立法及其他國政上，予以最大之尊重」，內容具有相當大的解釋空間，而隱私權此一新興基本權利，便由該條文推導而出，並與其他憲法條文共同建構起日本法制對於隱私權之保護。. 立. 政治大. 而在拉丁美洲的法律系統中，隱私權保護以及相關的規範之制定一開始並不. ‧ 國. 學. 積極，直至意識到電子商務發展的快速發展，才紛紛開始制定相關法律。許多拉美國家，是由「人身保護法」（habeas corpus）衍伸出「你應該擁有資料」（habeas data）. ‧. 的概念保護個人資料。整體而言，拉丁美洲國家的憲法係將隱私權納入作為國民. Nat. sit. y. 的基本權，不過更具體的規範在阿根廷、巴西、哥倫比亞、墨西哥、秘魯與委內. n. al. er. io. 瑞拉各國間仍存有差異，且這些國家的憲法中的相關概念，可能仍需經過憲法法. i Un. v. 庭進一步釐清。例如在智利，「資訊自決權」並沒有明確地被其憲法承認，而是在. Ch. engchi. 一有關以遏止犯罪為名，要求咖啡店記錄其消費者個人資訊的案例中，由憲法法庭明確承認該權利之存在32。表 2- 2：資料保護理念發展概觀美國社會氛圍形成入法與應用 31. 德國. 「隱私權」一受美國影響文之發表. 日本. 拉丁美洲. 學者與社會團直至電子商務體之倡議快速發展後. 由威廉‧普洛第一部資料保陸續立法. 「人身保護. 郭戎晉，《日本『個人資料保護管理體系』與『隱私標章』制度之初探》，科技法律透析，2008. 年，頁 3。 32. Alberto J. Cerda Silva, Personal Data Protection and Online Service in Latin America, Towards an. Internet Free of Censorship, Proposal for Latin America, 2011, p.167. 13.

(20) 瑟歸納判例並護法出現於分類「黑森邦」成為憲法中之概念. 對他國之影響. 法」. 憲法增補條文. 憲法法院之判並非所有拉美由憲法第十三決提出「資訊國家皆提升至條推導而出自決權」憲法層次. 概念散佈至全球各國. 歐洲各國紛紛立法，且為與美國「隱私權」並立之重要概念. *資料來源：本研究整理. 政治大以歐、美作為這方面法制的先驅；有了概念之後，再透過憲法上的解釋，或是具立綜上所述，隱私權及個人資料保護在概念上互有重複與非重複的地方，且係. ‧ 國. 學. 體案例的適用，在各個國家創造出相似卻又獨特的內涵。Robert Alexy 認為，憲法條文在具體案例的適用上，可能會造成規則在意義上的不確定性與模稜兩可的狀. ‧. 況。例如在阿根廷與哥斯大黎加的最高法院的判決中，因為憲法保障「被遺忘權」，. Nat. sit. y. 所以處理已償付債務中的個人資料係侵害基本權之行為，但是在同樣保護該權利. n. al. er. io. 的薩爾瓦多，相同的行為卻不會形成同樣的判決。由此可知，如僅透過憲法中的. i Un. v. 原則保護個人資料，則對資料主體與資料控制方來說，保護的力道不足，且會有. Ch. engchi. 相當高的不確定性33。在各國不同的法學背景、歷史、文化與價值觀下，具體制度必定有所差異；本文以下將由本節在概念層級的介紹，進入到具體的各 TPP 談判國在隱私權或資料保護方面的具體規範。. 貳、 TPP 談判國之資料保護制度隱私權與資料保護之概念成形後，在各國法制體系中以不同的樣貌呈現，並形成一系列的具體規範。而資料之流通除了國內之管制，且由於資料跨境流通係目前全球經濟中不可或缺之一環，各國如何將國內之管制延伸至境外，影響著跨 33. Id. p.4. 14.

(21) 國經濟活動之進行，也影響著各國對資料安全之維護，具有更高的重要性。是以本文以下將概略地介紹各國之資料保護制度，並特別聚焦於跨境資訊流通的相關規定。此外，礙於篇幅之限制，本文僅就 TPP 談判國之制度介紹之，最後歸納各國制度間的異同，而在以下的介紹中，由於汶萊無個人資料隱私保護相關規範，故本文在此不予討論。. 一、美國美國在聯邦層級，沒有一套整體性、涵括各個領域的個人資料保護法，大多. 政治大. 是以個人資料之類型為區分（sector specific privacy laws），來立法保護個人資訊，. 立. 但仍可以公、私部門為分類來了解其法制。公部門方面，以 1974 年隱私法（The. ‧ 國. 學. Privacy Act of 1974）為代表，係用以管制全國的行政機關；在私部門方面，基於. ‧. 美國極小化政府介入之管制傳統34，多交由產業界以及市場進行自我管制（self-regulation），僅在涉及較機密性之資料時，另立法管制之。前述的管制傳統，. y. Nat. io. sit. 是美國社會制度發展的脈絡，即美國的政策制定者一般傾向將規範的走向（rein）. n. al. er. 交由市場以及私人部門決定，若管制成效不彰，政府才會逐漸介入並建立規範35。. Ch. i Un. v. 不過也因為這樣，加上聯邦與州政府之間的事權分配方式，使得美國的隱私權法制架構較為錯綜複雜。. engchi. 美國迄今主要隱私權相關法案如下36：表 2- 3：美國歷年主要隱私權法案年代 1970 34. 法案名稱公平信用報告法. 立法意旨徵信業者蒐集、處理個人資料。. 熊愛卿，《網際網路個人資料保護之研究》，台灣大學法律學研究所博士論文，2000 年 7 月，頁. 182。 35. Henry Farrel, Constructing the International Foundations of E-commerce-The EU-U.S. Safe Harbor. Arrangements, International Organization 57, Spring 2003, p.288. 36. 周慧蓮，《資訊隱私保護爭議之國際化》，月旦法學雜誌，第 104 期，2004 年 1 月，頁 115。 15.

(22) 1974. 隱私法. 公部門對個人資料利用行為，人民享有資料閱覽請求權及訂正請求權。. 1974. 家庭教育權利與隱私法. 保護教育記錄資訊隱私. 1978. 財務隱私法. 要求執法人員必須申請搜索票始能搜索扣押. 1980. 隱私保護法. 限制公部門蒐集新聞媒體相關資料. 1984. 有線通訊政策法. 有線電視業者持有資料之隱私保護. 1986. 電子通訊隱私法. 修正聯邦監聽法. 1988. 電腦比對和隱私保護法. 行政機關利用自動化機器比對電腦資料之調查行為. 1988. 員工測謊保護法. 雇主測謊器之使用. 1988. 錄影帶隱私保護法. 租借錄影帶相關記錄之資訊隱私. 1991. 電話消費保護法. 1994. 駕駛人資訊隱私法. 1996. 健康保險便利性及可說明性法保護醫療資訊隱私. 1998. 兒童線上隱私保護法. 限制網站蒐集使用兒童資料. 1999. 金融服務現代化法. 金融機構提供個人資料予其他公司時，應先告知消費者並提供選擇退出權利. 學. ‧. ‧ 國. 立. 治政消費者對持續電話行銷之損害賠償大各州不得揭露或販售機車車輛使用之資訊. 資料來源：蕭奕弘，《個人資料保護法之研究》. y. Nat. er. io. sit. 若涉及個人資料之跨境傳輸，就公部門而言，相當多州已有規範限制政府機關以及與政府機關簽約的私人企業（這些簽約私人企業提供政府貨品或服務），不. n. al. Ch. i Un. v. 得在美國境外處理資料。在私部門方面，針對傳輸資料至境外之限制相當少，以. engchi. 聯邦貿易委員會（Federal Trade Commission，FTC）最為積極進行管制。透過對大、小廠商直接與間接的影響，改善企業自我管制成效不彰的現象，美國與歐盟間的安全港原則（International Safe Harbor Principles），便是由 FTC 負責執行。安全港原則，可以被視作美國在其管制方式與電子商務發展之間之妥協。1998 年美國與歐盟通過安全港協議，作為美國企業進入歐盟電子商務市場之前提。歐盟規定，只有在資料輸出的對象提供相當之保護水準時，才得以將個人資料傳至境外。而美國的個資保護法相當分散，個別領域立法的方式，難免會有保護上的缺漏，因此歐盟不認為美國具備適當的保護水準。但是因為歐盟為美國電子商務 16.

(23) 來往的重要夥伴，為了避免個人資訊流通的障礙形成美國企業進入歐洲市場之困難，美國遂與歐盟簽訂安全港原則。但是，美國仍保留著企業自律的管制方式，美國企業可以自行選擇是否遵守該原則並擔負相對應的責任；而加入者，等同符合歐盟所要求之保護水準37。. 二、日本 1980 年 9 月經濟合作暨發展組織理事會公佈 OECD 指導方針，包涵資料保護的八大原則，予各會員國參考。日本係該原則的簽署國之一，為配合該項指導綱. 政治大. 領之實行，遂於行政管理廳下成立「隱私保護研究會」，並於 1982 年提出「個人. 立. 資料處理之隱私保護對策」38。. ‧ 國. 學. 日本首先針對公部門進行立法，不及於企業與個人，於 1988 年公佈，1989 年. ‧. 正式實施「行政機關電腦處理個人資料保護法」。之後日本通商產業省於 1989 年. sit. y. Nat. 訂定「非公務機關電腦處理個人資料保護綱要」，藉以形塑非公務機關有關消費者. n. al. er. io. 資訊揭露之規範。整體而言，1990 年代之後是日本個人資料保護規範的具體化試. i Un. v. 行期，除在 OECD 指導方針的基礎下訂定許多個人資料保護法規外，民間也陸續. Ch. engchi. 出現隱私權標誌認證制度，提升保護強度。. 1995 年歐盟公佈資料保護指令（Directive on the Protection of Individual with Regard to the Processing of Personal Data and on the Free Movement of Such Data），要求各個會員國於 1998 年 10 月 24 日前，將該原則納入內國法中，同時禁止其成員國將個人資料傳輸至保護水平較低的國家，而此舉也對非歐盟成員國形成壓力。日本政府便成立了「個人資料保護檢討部會」與「個人資料保護法制化專門委員. 37. 蕭奕弘，《個人資料保護法之研究》，司法院司法研究年報，第 29 輯，行政類第一篇，2012 年. 12 月。 38. 郭戎晉，前引論文 33，頁 3。 17.

(24) 會」，並於 2001 年 3 月完成「個人資料保護法」草案。在整合行政機關與民間機構對於個人資料保護之處理，同時納入國際性規範的目標下，日本國會於 2003 年 5 月連續通過「行政機關個資法」、「獨立行政法人等個人資訊保護法」、「情報公開、個人資訊保護審查會設置法」、「行政機關保有個人資訊保護法施行相關法律整備法」以及「個人資訊法」，又稱為日本個資關連五法39。個資法前三章為公、私部門通用之基本規定，後三章則為私部門之一般法；公部門則另立行政機關個資法、獨立行政機關等個人資料保護法作為一般法之規範，但司法機關之個人資料保護法則另行規定40。而針對如醫療、金融、信用及資. 治政訊通信等特殊領域，則以個別法加以規範。大立 41. ‧ 國. 學. 於日本個人資料保護法案中，不論是行政機關或是民間機構，只要有利用個人資料者，都受到此法之規範。日本政府制定一般性規範，意即所謂的「基本原. ‧. 則」，作為各機構之標準，此外，特別是對於使用電腦或資料庫等儲存利用個人資. Nat. sit. y. 料之相關單位（個人資料利用事業者），亦設定「個人資料利用事業者之義務」規. n. al. er. io. 定，訂定具體且明確之規範。再者，也透過修訂既有之「行政機關之電腦處理個. i Un. v. 人資料保護法」，以及新增「獨立行政法人資料保護法案」、「資料公開與資料保護. Ch. engchi. 審查會設立法案」、「行政機關之個人資料保護法施行相關法律準備之法案」42等，加強政府機關方面對個人資料保護之完整性。對於跨境之資料傳輸，日本則無特別規範之，無論國內傳輸或跨境傳輸，皆規定國內公、私組織負有確認境外第三. 39. 劉育雯，《資訊社會個人資料保護之研究－以日本個人資訊保護法為中心》，輔仁大學法律學研. 究所碩士論文，2005 年，頁 79-85。 40. 裁判所，裁判所の情報公開・個人情報保護について，取自：. http://www.courts.go.jp/about/siryo/johokokai/index.html（最後瀏覽日：2014 年 11 月 24 日） 41. 周逸濱，《行政機關保護法制之研究－以日本法為比較中心》，台北大學法律學系碩士論文，2008. 年 6 月，頁 60 至 61。 42. 日本總務省行政管理局，行政機関等個人情報保護４法案の概要，取自：. http://www.soumu.go.jp/gyoukan/kanri/kenkyu_f.htm（最後瀏覽日：2014 年 9 月 29 日） 18.

(25) 方合乎個人資料保護規範的義務，而一般會藉由雙方之契約將此義務納入。. 立. 政治大. ‧ 國. 學. 圖 2- 1：日本個人資料保護之法制體系資料來源：日本總務省行政管理局. 三、加拿大. ‧ sit. y. Nat. 加拿大將隱私權視為人民的基本權利，對隱私權的尊重是所有自由權的基礎。. io. er. 加拿大政府除明白表示願意全面保護人民在公領域以及私領域的隱私權外，也在. al. iv n C hengchi U 分43。在制度的發展方面，加拿大對於隱私權的保護係由公領域擴散到私領域；前 n. 1970 年代便已確認個人有控制其個人資料的權利，且這個權利亦屬於人權的一部. 者即 1983 年加拿大通過了「聯邦隱私法」（The Federal Privacy Act），規範聯邦層級的政府機關不得在「無正當直接關聯」的情形下蒐集個人資訊，即使符合前述條件，在未得到當事人同意下，也不得利用與揭露個人資訊。除此之外，也必須讓個人資訊之主體（personal data subject）有接觸政府資料庫中個人資料的可能性。不過該法所管轄的範圍僅及於聯邦機關，而加拿大各省與地區的政府機關，則是. 43. Juliana M. Spaeth, Mark J. Plotkin and Sandra C. Sheets, The Impact of Canada's Personal. Information Protection and Electronic Documents Act on Transnational Business, 4 Vand, J. Ent. L. & Prac.28, 2002, p.31. 19.

(26) 以該法為基礎，再另行制定類似的法律44。在私部門方面，對於政府機關以外的私人機構與單位，加拿大政府受到歐盟頒布「個人資料保護指令」的影響，以加拿大標準協會（Canadian Standards Association，CSA）所提出的「個人資訊保護法模範規則」為基礎，於 2004 年制訂「個人資訊保護與電子文件法（Personal Information Protection and Electronic Documents Act，PIPED Act）」。 CSA 為促使加拿大的個人資料保護規範合乎國際標準組織（International. 政治大. Standards Organization，ISO）的標準，而訂定了可做為個人資料保護法樣板的基. 立. 礎方針，但並不具強制力。加拿大雖在 1970 年代即已制定適用於政府機關的個人. ‧ 國. 學. 資料保護規範，但卻一直不見針對「私人行為者」（private actors）的規範。不過，隨著電子商務的成長與發展，這方面的保護需求越來越強烈。1995 年，歐盟制訂. ‧. 了個人資料保護指令，當中規定，歐盟會員國內的個人資料若要傳輸至非會員國，. Nat. sit. y. 必須在該非會員國具有對個人資料適當保護的前提下，而所謂適當，是指保護水. n. al. er. io. 準優於或與歐盟相同。加拿大政府為了保護其國內業者於歐盟的商業利益，遂以. i Un. v. CSA 的模範規則為基礎，制訂了 PIPED 法，規範個人、私人機構等私人行為者，. Ch. engchi. 對個人資料的蒐集、使用、揭露等行為。且相較於聯邦隱私法，PIPED 除規定在取得個人資料時除需經過個人資料主體同意外，也規定了得以同意的幾項要件。在跨境個人資料傳輸上，加拿大採取運用「當責原則」（accountability principle），私人機構負有依規定保護個人資料的義務45，且所有經手傳輸個人資料的私人機構皆對該個人資料的保護負責，並需透過簽約或其他方式，確保資料傳輸第三方亦具有相似的個人資料保護水準。. 44. 周天泰，《加拿大醫療資訊電子化與隱私保護的新發展》，科技法律透析，2003 年 5 月，頁 25。. 45. Law Office of Kris Klein, Applying Canadian Law to Transborder Flows of Personal Information from. Canada to United States: A Clarification, September 2008, p.5. 20.

(27) 四、新加坡 2012 年通過「個人資料保護法案」（Personal Data Protection Act，PDPA）以前，新加坡並沒有整合性的（overarching）個人資料保護規範，且 PDPA 的法律位階低於任何成文法。根據 PDPA，新加坡設有個人資料保護委員會，職權涵括提供政府相關意見、對外代表新加坡政府、推廣資料保護以及管理與執行 PDPA，此外，並由資訊通信發展管理局予以行政上的協助，以及強制執行。PDPA 所規範的主體，除行政機關以外，也含有個人與民間的法人及非法人。. 政治大. 在跨境傳輸上，若是委託中介者處理個人資料的情形，委託人必須是新加坡. 立. 籍之公司或在新加坡設有辦事處之公司，且相關法律責任，全由委託人負擔。若. ‧ 國. 學. 是非委託之情形，則適用新加坡資料保護法之企業，原則上須確保其組織內部的. ‧. 資料保護規範與新加坡 PDPA 合致，且輸出地區之資料保護水準需與新加坡相同或為高，否則不得將個人資料傳輸至新加坡境外46。. al. er. io. sit. y. Nat. 五、澳洲. n. iv n C 47 hengchi U 在澳洲的聯邦憲法中並未將隱私權保護列為基本權力之一，1988 年所實行的聯邦隱私權法案（The Privacy Act 1988），是一個原則性的規範框架，適用於個人資訊的蒐集、使用、保存以及銷毀。法案中指稱的個人資訊，係不論真實與否以及以實體形式存在與否，同時明顯顯示或能夠被推論出（ascertained）個人身分的一切資訊與意見。另外，該法案的保護範圍也包括個人資訊中有關敏感資訊的蒐集以及使用，例如個人的種族、政治傾向以及宗教信仰。. 46. 經濟部工業局，隱私保護成熟及新興國家隱私權法規分析研究，102 年度專案計畫執行成果報告，. 2013 年 11 月，頁 37。 47. White &Case LLP, Countries at A Glance-Data Privacy, October 2005, p.7. 21.

(28) 聯邦隱私權法案中的「組織」涵括個人、法人、合夥關係、信託以及任何其他非法人團體，而年收益低於 300 萬的小型企業經營者原則上不在前述受規範的組織之列，除非該小型企業經手醫療資訊，並以營利、服務或獲得好處為目標向第三人揭露另一人之個人醫療資訊，或以同樣目的向第三人蒐集另一人之個人資訊，則該小型企業仍受隱私權法案所規範。除此之外，受規範之組織都須遵守該法案中的「國家隱私原則」（National Privacy Principles，NPPs），這些原則涉及個人資料的蒐集、使用以及揭露，與資料品質、安全、開放性、取得及更正，還有標識符號（identifiers）、匿名之使用，. 治政以及跨境資訊流通與敏感資訊取得，相對於 NPPs，法案中另有「資訊隱私原則」大立（Information Privacy Principles，IPPs）作為公部門的行為準則。而不論是 NPPs ‧ 國. 學. 或 IPPs 都是以 OECD 於 1980 年所公布的指導方針發展而來，並依據澳洲的國情. ‧. 增列其他原則。於 2014 年，IPPs 已被「澳洲隱私權原則」（Australian Privacy Principles，. sit. y. Nat. APPs）以及「地區隱私權原則」（Territory Privacy Principles，TPPs）所分別取代，. io. al. n. 關48。. er. 前者適用於澳洲首都地區以外的政府機關，後者則適用於澳洲首都地區的政府機. Ch. engchi. i Un. v. 在原則性的規範之下，聯邦隱私權法案也允許各產業中的組織以 NPPs 為最低標準，自行發展一套隱私權守則（privacy codes），經隱私權委員會（The Privacy Commissioners）認可後，便可由各組織採行之。目前為止，經該委員會認可的守則有二，即「市場與社會研究隱私權守則」（The Market and Social Research Privacy Code）以及「昆士蘭產業社團隱私權守則」（The Queensland Industry Club Privacy Code）。對於跨境資料保護則係要求資料接收之境外組織，其所在國對個人資料之保 48. Office of the Australian Information Commissioner, Information Privacy Principles, Retrieved. November 25, 2014, from: http://www.oaic.gov.au/privacy/privacy-act/information-privacy-principles 22.

(29) 護亦具有與澳洲相似之水準，或者由澳洲境內傳輸組織確保境外組織對資料之保護合乎澳洲境內規範49。. 六、智利、秘魯與墨西哥在拉丁美洲，包括智利、秘魯與墨西哥，皆將隱私與個人資料保護（habeas data）視為憲法上的權利50。智利於 1999 年立有「私人生活保護法案」（Protection of the Private Life Act），並適用於公部門以及私部門。而 2012 年施行的第 20575 號法案，則針對經濟、財務、銀行以及商業方面的個人資料，制定更詳細的保護規範。不. 政治大. 過針對跨境的個人資料保護，則尚未有正式的規範51。. 立. ‧ 國. 學. 秘魯方面，雖於 1990 年代起開始制定一連串的個人資料保護法案，並納入 OECD 指導方針之內容，但直至 2011 年通過的個人資料保護法中，才授權政府成. ‧. 立資料保護機關（National Authority for Personal Data Protection，DPA）。在跨境個. sit. y. Nat. 人資料方面，則僅於主管機關認定接收資料方具有適當保護水準的情況下，才得. n. al. er. io. 以傳輸，於公部門與私部門皆然。. Ch. i Un. v. 墨西哥在公部門與私部門方面有各自的個人資料保護規範，而在跨境個人資. engchi. 料傳輸方面，係以亞太經濟合作組織（Asia-Pacific Economic Cooperation，APEC）隱私權架構（APEC privacy framework）下的當責原則為基礎，要求資料控制者須確認接收者知曉隱私權注意事項（privacy notice），另一方面，承襲 OECD 指導方. 49. Office of the Australian Information Commissioner, Privacy fact sheet 2: National Privacy Principles,. Retrieved November 25, 2014, from: http://www.oaic.gov.au/privacy/privacy-resources/privacy-fact-sheets/other/privacy-fact-sheet-2-nationalprivacy-principles 50. Alberto J. Cerda Silva , supra note 32, p.3.. 51. Norton Rose Fulbright, Global Data Privacy, Directory, July 2014, p101. 23.

(30) 針以及歐盟的規範，規定資料傳輸需取得個人資料主體同意52。. 七、馬來西亞在馬來西亞，隱私權是憲法所認可的權利53，馬來西亞於 2010 年公布了個人資料保護法案（The Personal Data Protection Act），至 2013 年正式施行，且為東協十國當中，第一個全面實施相關法規的國家54。在此之前係以部門別法律，以及判例法規範之。跨境個人資料傳輸方面，該法要求資料傳輸者須確保接收者會依照馬來西亞的規範處理個人資料外，亦要求該接收者所屬國家係由馬來西亞主管機關所認可者。. ‧. ‧ 國. 學. 八、越南. 立. 政治大. 越南方面，沒有全面性的個人資料保護規範，但在民法、資訊科技法以及電. sit. y. Nat. 子交易法中，對於處理電子個人資料有一些相關的規範。而在跨境資料傳輸上，. al. er. io. 基本上沒有限制，僅要求越南籍或其他公司的財務資料中若含有個人資料，則該. v. n. 公司需將該財務資料，根據法律所訂定的期限長短，在越南境內留存55。. 九、紐西蘭. 52. Ch. engchi. i Un. IT Law Group, Mexico’s New Federal Law on the Protection of Personal Data, Retrieved November. 25, 2014, from: http://www.itlawgroup.com/resources/articles/98-mexicos-new-federal-law-on-the-protection-of-personal -data 53. Foong Cheng Leong, Right to Privacy in Malaysia: Do we have it?, LOYARBUROK, Retrieved. November 25, 2014, from: http://www.loyarburok.com/2011/02/21/right-to-privacy-in-malaysia-do-we-have-it 54. 黃耀賞，馬來西亞個人資料保護法於 2013 年 11 月 15 日正式施行，資策會科技法律研究所，取. 自: https://stli.iii.org.tw/ContentPage.aspx?i=6441（最後瀏覽日: 2014.09.29） 55. Norton Rose Fulbright, supra note 51, p.13. 24.

(31) 為促進紐西蘭國內企業與歐盟之間電子商務的發展，促使紐西蘭於 1993 年施行的隱私權法（New Zealand Privacy Act 1993）中56，係以歐盟規範為樣本，並提升自己對於個人資料的保護程度57。紐西蘭資料隱私方面的規範詳盡，公部門與私部門皆含括其中，且大致上與歐盟資料保護指令相似。在跨境資料傳輸方面，紐西蘭要求資料接收者所在國的境內需具有與紐西蘭境內相當保護程度的規範58。. 參、各國制度差異憲法、法律與命令所對應的是一法律概念由抽象到具體的階層關係，以及法. 政治大. 律位階的高低，由前述針對隱私權與資料保護概念之形成過程可知，由於法學背. 立. 景、歷史、文化與價值觀的不同，在抽象法律概念的層次各國制度之間即存在著. ‧ 國. 學. 差異，某種程度上揭示了各國的具體規範間亦存在著差異。除此之外，以下所述. ‧. 各國政府在管制上之角色以及立法方式，更進一步影響著受管制的範疇。. sit. y. Nat. 從政府與市場的角色來看，個人資訊或隱私保護之制度可分成美國模式及歐. n. al. er. io. 盟模式。美國模式代表的是市場機制由下而上的管理模式（bottom-up）以及自我. i Un. v. 管制，政府小而市場大；歐盟模式在光譜的另一端，採取政府積極介入、由上而. Ch. engchi. 下的管理模式（top-down）以及立法規範之（或是具有強制力的指令來規範）59。從另一個角度來看，美國保護個人資料是採用「參與式控制」（participatory control）的制度，即政府設定原則性的規範，其他則由私部門自主管理。相較之下，一般歐盟則是採用「家長式控制」（paternalistic control）的管制方式，政府所設立的主. 56. Blair Steward, “Adequacy of data protection measures: the New Zealand case” (12th Privacy Laws and. Business Annual International Conference, Cambridge, U.K, June 29, 1999). 57. Diane Graham, Trans-border data flow legislation is back on the agenda, Commercial Quarterly,. Summer Edition, February 2010, p.49. 58. New Zealand Privacy(Cross-border Information)Amendment Act 2010, Part 11A.. 59. 邱祥榮，《論美國網路個人資訊隱私保護型態之轉變》，全國律師 12 月號，2001 年，頁 80。 25.

(32) 管機關監督控制絕大部分的事務60，在前述紐西蘭、澳洲、新加坡等國中皆有之。不過，由於參與式控制模式成效不彰，美國行政與立法單位遂逐漸介入網路個人隱私保護的政策。FTC 的積極加強業者自主管理，加上 1999 年與歐盟簽訂的「安全港原則」（safe harbor principles），都標誌著美國雖保留一貫的企業自律之管制哲學，但在個人資料保護政策上已向歐洲模式靠攏61。另一方面，各國個人資料保護制度，又可分別以「規範對象」與「規範領域」的角度來看。規範對象又可分為綜合立法與分散立法，前者指的是以一部法律同時規範公部門與私部門，如 1988 年澳洲聯邦隱私權法案；後者則是透過不同的法. 治政律對公部門及私部門加以規範，如美國 1974 年隱私權法、2003 年日本行政機關個大立人資料保護法僅針對行政部門加以規範，而不及於私部門。若以規範領域來看， 62. ‧ 國. 學. 可以區分為個別及統一立法。統一方式是指公、私部門皆有一基本法，其中又可. ‧. 分為德國與日本模式；德國模式係指以一部法律同時作為公、私部門之基本法，. sit. y. Nat. 而日本模式則是指公、私部門有各自不同的基本法。至於個別立法，則是指公、. io. 63. al. n. 。. er. 私部門皆無統一的基本法，而是在不同領域採用分散立法模式，如美國即是如此. Ch. e. hi. i Un. v. ngc 第三節 WTO 下的跨境資訊流通議題針對資料自動化地跨越國界流動，有一專有名詞「跨境資料流通」（transborder data flow，TDF），被定義為「資料以電子化的方式在各國之間流動」64，且就本文. 60. Lee A. Brgrave, Privacy and Data Protection in International Perspective, Stockholm Institute for. Scandinavian Law, 2010, p.190. 61. 邱祥榮，前引論文 61，頁 87。. 62. 劉育雯，前引論文 41，頁 86。. 63. 齊愛民，拯救信息社會中的人格－個人信息保護法總論，北京大學出版社，2009 年 1 月，頁. 177-184。 64. William L. Fishman, Introduction to Transborder Data Flows, Standford Journal of International Law 26.

(33) 所探討之現象而言，還需包括傳輸、儲存與運算三個過程65。隨著電子商務的蓬勃發展，跨境資料流動這個現象在各國的經濟、政治與法律層面皆有所影響，諸如就業機會、重要國內經濟資料之保護、法律概念之發展，當然也包括本文所談的隱私權或者資料保護規範66。各國隱私權法與資料保護法間的差異，也形成了各國之間跨境資訊流通的明顯障礙。在電子商務的蓬勃發展下，限制跨境資訊流動以保護個人資料安全的相關規範有其必要性，但在保護的同時，也需顧及資訊跨國的流動性，以保留科技持續創新的空間，以及經濟持續成長的動力。保護個人資料的規範勢必會為企業. 治政的跨國營運帶來一些必須去克服的障礙，及更多的成本。以雲端服務的發展為例，大立由於某些國家會限制企業將含有個人資訊在內的訊息傳輸至境外，但由於雲端服 ‧ 國. 學. 務的核心是利用網際網路的跨國性，因而資料常常是儲存在非使用者所在的國家. ‧. 境內，但限制跨境流通的個資規範常常是反其道而行，從企業的角度來說，是雲. sit. y. Nat. 端服務發展的阻礙，企業必須調整其資訊系統或是付出更多的成本。而各個國家. io. er. 對於個人資料不同的保護水準以及管制方式，則是更進一步考驗著企業跨國營運的調適能力，以及發展國際性電子商務活動的複雜性。. n. al. Ch. engchi. i Un. v. 針對這點，Henry Farrel 解釋，隨著電子商務的發展，國家間社會活動的相互依賴程度越來越高，跨境進行的活動也越來越多。然而各國有各自管制電子商務跨境活動的方式，背後反映的是不同的社會秩序與制度，所以當各國在管制電子商務跨境活動上產生衝突時，也可以說是各國間的社會秩序產生衝突，進而促使. 16:1, Summer 1980, p.1. 65. Eric J. Novotny, Transborder Data Flow Regulation: Technical Issues of Legal Concern, Computer. /Law Journal III:106, Spring 1982. 66. David M. Cooper, Transborder Data Flow and the Protection of Privacy: the Harmonization of Data. Protection Law, The Fletcher Forum, Summer 1984, p336. 27.

(34) 各國進行談判，整合出新的制度框架67。國際經貿整合以 WTO 為代表，議題跨越貨品貿易、服務貿易、智慧財產權等，一直試圖在國際貿易發展與其他重要國家政策與目標之間取得平衡；而有鑑於電子商務的持續發展與未來前景，WTO 大約在 10 年前便已發出聲明，強調網際網路發展對數位貿易的重要性，且表達消除傳統貿易自由化上的障礙之餘，同樣的貿易障礙亦不應於數位貿易中出現，但迄今，仍無太多的具體進展。於 1998 年 WTO 日內瓦部長會議後，宣布成立新的工作計畫，要求 WTO 總理事會全面性地檢視電子商務方面的貿易相關議題，並做出報告供會員做為未來討論之用。除此. 治政之外，墨西哥電信案、美國賭博案以及中國視聽案的出現，除成為 WTO 服務貿易大立方面的重要爭端外，也顯示數位貿易與網路的發展下，傳統貿易規則勢必將受到 ‧ 國. 學. 更多挑戰，也需要各國之間更緊密的討論與合作。. ‧. 隨後，在 WTO 的電子商務工作計畫下，議題主要可被分為五項：經電子傳輸. Nat. sit. y. 內容的分類方式、電子商務的經濟效益（fiscal implication）、電子商務與傳統商務. n. al. er. io. 之間的關係、電子傳輸內容之關稅課徵、競爭以及管轄權與其他法律議題68。在這. i Un. v. 五個子題下，WTO 的成員持續地進行討論，也在多次的部長會議中納入電子商務. Ch. engchi. 的相關議題，但實際上，雖然各個成員皆對這些議題表現出相當的重視程度，實際的成果仍十分有限。具體來說，最主要的進展仍是 1998 年各成員即暫時取得共識，表示不針對「電子傳輸形式下的貨品與服務貿易」課徵關稅，至於其他的議題上，仍停留在討論的階段。接下來進入杜哈回合談判，在該回合談判中，電子商務的相關提案出現於與金融服務相關的議題（submission）中，包括跨境電子金融交易、行動商務、資料隱私、電子支付等。過程中各國透過結盟凝聚談判的力. 67. Henry Farrel, supra note 35, p.2.. 68. WTO, Electronic Commerce, Retrieved September 29, 2014, from:. http://www.wto.org/english/tratop_e/ecom_e/ecom_e.htm 28.

(35) 量，試圖減少彼此之間提案與既定立場之間的差距，不過至今仍未有太多具體的結果69。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. 69. Ch. engchi. i Un. v. Sacha Wunsch-Vincent, Arno Hold, Towards coherent rules for digital trade: building on efforts in. multilateral versus preferential trade negotiations, Working Paper No. 2011/64, July 2011, p.7. 29.

(36) 第三章資訊流通與資料保護議題在當前國際經貿體制中之發展後杜哈時代，國際經貿整合的重點轉向各國間互相簽訂的自由貿易協定，此外，多年來在資訊流通與資料保護制度上，已有相當多立法方針層面的整合，本文以下將進一步歸納相關內容。在前述經貿整合的基礎上，TPP 所帶來的新一波國際整合引起相當大的注目，各個參與國也以達成更高程度的國際經貿整合為目標，展開多次談判。資訊流通與資料保護議題也在 TPP 的談判章程之列，本章將. 政治大. 進一步整理該議題在 TPP 中的現況，並聚焦於「當地設立伺服器」議題之發展。. 立. ‧ 國. 學. 第一節 FTA 中的跨境資訊流通議題. ‧. 由於杜哈回合談判的停滯，各國紛紛轉向努力建立國與國間，或是區域間的. sit. y. Nat. 自由貿易協定，同時帶入在 WTO 中久久懸而未決的議題；同樣地，電子商務議題. io. er. 也以「新興貿易議題」的角色出現在各個國家間或區域間的自由貿易協定文本中，而美國明顯主導著議題走向。在這些協議中，可以清楚地看出以美國與歐盟為主. al. n. iv n C 的兩個脈絡，有著各自的議題模板（template） h e n g c h；美國的模板中有清楚的電子商務 i U. 專章，歐盟的模板中其實沒有設立專章，但在「服務貿易」專章中有著相關的規定，如 WTO 中電子商務規定的適用性、提供電子服務規定的適用性以及對於電子傳輸形式的貨品與服務貿易不課徵關稅，兩者中，又以美國的電子商務專章模板處於主導地位，也就是說，許多與美國簽訂自由貿易協定的國家，在與其他國家簽訂類似協議時也會採用美國所提出的模板，久而久之，各國在電子商務的雙邊規範上便具有相當高的一致性。觀察美國歷年來所簽訂的 FTA，包括美韓 FTA（2012）、美秘 TPA（2009）、美澳 FTA（2005）以及美星 FTA（2004），在電子商務專章當中分別有一般規定、 30.

(37) 服務之電子供應、數位產品、電子認證及簽章（Electronic authentication and electronic signatures）、無紙化貿易（Paperless trading）、使用網際網路進行電子商務的原則、跨境資訊流通（Cross-border information flows）、透明化，以及線上消費者保護。有關一般規定的內容整理如下：表 2- 4：美國歷年 FTA 電子商務專章內容：一般規定美韓 FTA（2012）締約國雙方意識到電子商務提供之經濟成長與機會、避免其在使用中遇到障礙的重要性以及世界貿易組織規定對電子商務措施之適用性，故有本章節之規定。美秘 TPA（2009） 1. 締約國雙方意識到電子商務提供之經濟成長與機會、避免其在使用中遇到障礙的重要性以及世界貿易組織規定對電子商. 政治大務措施之適用性，故有本章節之規定。立. ‧ 國. 學. 2. 依本協定規定，如國內稅徵收之方式與本協定一致，本章節不禁止締約國之一方以直接或間接之方式對數位產品徵收國內稅。. ‧. 美澳 FTA（2005）締約國雙方意識到電子商務提供之經濟成長與機會、避免其在美星 FTA（2004）使用中遇到障礙的重要性以及世界貿易組織規定對電子商務措. Nat. sit. y. 施之適用性，故有本章節之規定。. io. n. al. er. *資料來源：朱浩、盧煒竣整理有關跨境資訊流通的內容整理如下：. Ch. engchi. i Un. v. 表 2- 5：美國歷年 FTA 電子商務專章內容：資訊自由流通協定. 內容. 美韓 FTA（2012）考量到資訊自由流通及個人資訊保護的重要性，各締約國應盡力避免採取會對資訊的流通帶來障礙的措施。美秘 TPA（2009）美澳 FTA（2005）. 無. 美星 FTA（2004） *資料來源：朱浩、盧煒竣整理從前述有關一般規定的整理中來看，可知電子商務專章中的規定係建立在 WTO 既有規範與談判成果的基礎之上，但由 WTO 中有關電子商務議題的談判現況可知，各國僅暫就「數位產品不課徵關稅」達成共識，遑論在國際經貿整合中， 31.

(38) 對資料保護或資訊流通議題之貢獻。再來，雖然在上述的 FTA 中美國與韓國試圖處理「資訊自由流通」之議題，但僅達成在個人資料保護的目標下，同時「盡量避免對資訊流通限制」之共識，各國之間對於跨境資訊流通之管理，仍保有相當的獨立性。在美國所簽訂的各個 FTA 中，美國具有相當大的主導議題的能力，在電子商務專章中往往會處理資訊自由流通之議題。不過，本文也發現，若再進一步觀察前述與美國簽訂 FTA 各國所各自簽訂的 FTA，電子商務議題中則是出現了「個人資料保護」之議題，內容整理如下：. 內容. 學. ‧ 國. 協定. 政治大表 2- 6：其他 FTA 電子商務專章內容：個人資料保護立. Nat. io. y. 使用者之個人資料 2. 締約國施行保護電子商務使用者之國內法或規範後，才有遵守第一段之義務 3. 關於個人資料保護之標準，締約國應將國際標準或相關國際組織之標準納入考量. sit. （2012）. 1. 針對第二段，締約國應以其認為適當之方式，保護電子商務. n. al. er. 東協紐澳 FTA. ‧. 馬澳 FTA（2013） 1. 締約國應建立或維持保護電子商務使用者之規範 2. 關於個人資料保護之標準，締約國應將國際標準或相關國際組織之標準納入考量. Ch. engchi. i Un. v. 智澳 FTA（2009） 1. 締約國應建立或維持保護電子商務使用者之規範 2. 關於個人資料保護之標準，締約國應將國際標準或相關國際組織之標準納入考量秘加 FTA（2009） 1. 締約國皆肯認於線上環境中保護個人資料之重要性 2. 締約國應維持法律、規範或行政命令以保護電子商務使用者之個人資料 3. 締約國應互相交換其國內保護個人資料之資訊及經驗星澳 FTA（2003） 1. 儘管締約國現行系統中對個人資料之保護有所差異，各國應以其認為適合之方式，保護電子商務使用者之個人資料 2. 關於個人資料保護之標準，締約國應將國際標準或相關國際組織之標準納入考量 *資料來源：本研究整理 32.