Newsletter
企業應提早評估及因應資料跨境傳輸國際規範趨勢
現今資料跨境傳輸已成為數位經濟及科技進步的重要支柱,因而各地相關規範的整合與遵循亦變得越發重要。在台灣,現行個人資料保護法(下稱「個資法」)對於個人資料之國際傳輸,係採「原則允許,例外禁止」之立法模式,僅授權中央目的事業主管機關於特定情形下,得限制非公務機關為個人資料之國際傳輸。惟有鑒於歐盟GDPR施行後對台灣企業的影響,我國政府自2018年起便積極向歐盟申請適足性認定,並據此研議個資法修正草案。雖然政府尚未公告修正草案徵詢公眾意見,個資法下有關國際傳輸的規定將來很有可能會修正為「原則禁止,例外允許」的立法例,以順應世界潮流。
CBPR(Cross-Border Privacy Rules)為APEC DESG(Digital Economy Steering Group)在美國領導下推動的資料跨境傳輸體系,旨在透過第三方認證的方式促進個人資料合規且自由的流通,執行上係由各會員經濟體指定之當責機構(Accountability Agent)對企業或組織進行驗證並頒發標章,證明該企業或組織具備相當水平的個資保護能力,藉此降低資料跨境傳輸的法規障礙。舉例而言,新加坡個人資料保護規則(Personal Data Protection Regulations 2021)第10(1)條規定,資料發送方將個人資料傳送至新加坡境外前,應採取適當措施確認及確保資料接收方受到可依法執行的義務所拘束,必須提供個人資料至少與新加坡個人資料保護法(Personal Data Protection Act 2012)保護標準相當的保護,依照個人資料保護規則第12條規定,若資料接收方已通過APEC CBPR或PRP(Privacy Recognition for Processors)認證,則將被視為符合前述第10(1)條規定。
我國政府已於2021年成功推動財團法人資訊工業策進會取得APEC CBPR當責機構之資格,可執行驗證並頒發CBPR標章,此外,個人資料保護委員會籌備處已於2023年12月5日掛牌,其任務除了完成組織法的制定、於2025年8月以前正式成立個人資料保護委員會外,尚包括推動個資法的修正,建議企業應提早評估及因應資料跨境傳輸國際規範趨勢,以避免個人資料的國際傳輸將來因個資法修法而受阻。