跳至主要內容

各國政府在談資料跨境傳輸時,台灣需要什麼?


保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在北美境內自由傳輸資料。

2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。

在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。

到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。

如果有興趣進一步了解DFFT,可以閱讀:

  1. Digital Agency, Data Free Flow with Trust (DFFT),
  2. World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows

網路上的資料很多,可以多找一下世界經濟論壇或OECD的報告資料庫。DFFT比較像是國家與國家之間的資料傳輸協議,在其討論的面向中包含:傳輸機制、法律和規範合作(例如 Budapest Convention)、技術標準與產業合作(例如ISO、IEEE、3GPP)、國際貿易規則(例如WTO 的 GATS),也有限制性的參與,例如歐盟GDPR的適足性認定、APEC Cross-Border Privacy Rules(APEC CBPR)、雙邊互認的協議或等值決定、數位貿易的承諾(例如美國-墨西哥-加拿大協定、美日數位貿易協議、澳洲和新加坡的數位經濟夥伴協議等)。

多數的人對於全面性普及DFFT的抱持的態度是認為進度緩慢,如同數位稅的議題,有些國家已經對網路公司課稅,但OECD可能還在協調已談論出來的架構要怎麼實施,包括已課稅的國家如何採用新架構,已課的稅金要如何處理。

單獨看日本與歐盟之間發展資料傳輸的進度,就可以知道DFFT並不慢,歐盟於2023年4月公布日本通過歐盟GDPR的適足性認定,2023年7月的歐盟-日本峰會所發表之聯合聲明中亦提到確保DFFT符合各自司法管轄區之規則,包含資料保護規則,並歡迎建立夥伴關係制度實施DFFT。

亞太區除日本額外倡議 DFFT 之外,美國、墨西哥、加拿大、新加坡、南韓、日本、澳洲、台灣(Chinese Taipei)都加入了CBPR的體系,其中前面談到的「美國-墨西哥-加拿大協定」中限制資料在地化、強調會員國企業的資料可以自由流動之外,也要求隱私規範與CBPR一致。在5月時,美、日、英、韓等10國將建立新的資料傳輸框架,協助有共識的會員國企業減輕跨境傳輸資料的法遵成本及相關的流程。

中國也知道資料跨境傳輸的重要性,但中國更傾向嚴格管制,所以在2022年時就有「數據出境安全評估辦法」及相關的配套措施,不過因為經濟受到各種衝擊,在2024年3月,也公布了「促進和規範數據跨境流動規定」,降低相關的門檻,希望能減輕企業在資料流動的法遵成本。

很多商業文章在討論歐盟GDPR時,只注意到保護個人資料,但忽略其實這是一個讓資料在歐盟境內流動的規則,它是要求外國企業必須要符合其適足性認定才可以與歐盟會員國間自由流動資料,再加上日本提出的DFFT,DFFT的框架更大,把上述談到的資料傳輸、數位經濟合作協議都放在DFFT中,大抵也是為減少企業和各國後續處理的負擔,例如已簽訂的協議就延用,不用像數位稅那樣還要再與各國協商。

讓資料自由流動的議題在台灣,政府部門應該已經有所感受,但民間還沒有正視,在法規不明確時,資料早已無限制的在流動,跨國企業則是也有能力承擔法遵成本去遵守經營地點所在國之法律。相對的,人權倡議者比較擔心在相關資料傳輸協議下,會不會有其他隱私受到侵犯的風險?例如 LGBTQ+ 社群交友軟體 Grindr 就與廣告公司分享使用者的資料,而廣告公司更有可能將資料銷售給其他公司而被訴。在美國,拜登總統於今年2月簽署行政命令,授權給美國司法部,禁止大規模的美國人個人資料傳輸至其他國家。

台灣已於2018年獲准成為APEC CBPR體系會員,在2021年6月獲准成立當責機構,這是一個好消息,至少台灣日後在資料跨境傳輸時,若涉及隱私議題,台灣有一個可以遵循的框架。當企業被認證為符合CBPR隱私保護規範時,在此架構下便可以傳輸資料,也就是把信任建立在CBPR上,可以傳輸的國家更多,更有助於國際貿易發展,同時也可以避免受限於中國的資料保護法(中華人民共和國數據出境安全評估辦法、中華人民共和國網路安全法、中華人民共和國個人資訊保護法、中華人民共和國資料安全法)。更白話一點,就是台灣企業可以做生意的國家更多了,而且政府藉由加入CBPR體系,幫台灣企業增加可以做生意的國家。

當我在讀上述資料時,隱約有著不安感—台灣目前似乎並沒有跨境資料傳輸法(或辦法、規則),在個人資料保護法中,僅限制國際傳輸,幾年前曾有限制電信業者將台灣人的資料傳輸至中國,但嚴格來說,台灣可能沒有一個基本的跨境資料傳輸的規則可以讓企業遵循(如果有,也請讓我知道,更正我的想法),例如:傳輸資料的類別、傳輸資料的方式(隨身碟算不算?)、與其他法規的配套措施,如智財、專利、營業秘密法...等。

以台灣目前的國際地位,與其他國家要以對等的地位簽訂雙邊或多邊的協議較有難度,也不太容易成功,除了政治因素考量外,可能相關法規的主責機關僅處於籌備階段也有關係。有些國家,如歐盟、南韓、日本,將個人資料的跨境傳輸寫於該國、區域的個人資料保護法或規則中,中國除立法外也有相關的辦法。台灣是否也需要一部資料傳輸或資料流通辦法,協助企業無論是在跨境或是境內傳輸資料時,有個依據能減輕他們的行政負擔,同時,這個辦法也不會讓外國企業來台灣投資時感受到障礙,我覺得這是可以思考的空間,畢竟有了法規,對企業來說可能也是一個負擔,畢竟在以往沒有這樣被限制過,但相對有了法規,再配合CBPR的隱私規範,就有一個明確的框架,企業做起事來就不會被個人資料保護法綁手綁腳,也不用擔心要無上限的提高法遵成本,應該會是一個好的開始。

其他的內容我寫在6月號的台經月刊裡,本期還有同事們的大作,月刊已出版。

Image by Jensen Art Co from Pixabay

留言

此網誌的熱門文章

[movie]記憶中失落的迷人氣味 Perfume

書本: Perfume: The Story of Muder 香水 作者:Patrick Suskind 徐四金 譯者:洪翠娥 出版社:皇冠 電影:Perfume: The Story of Muder 香水 導演:Tom Tykwer 演員:Ben Whishaw, Dustin Hoffman, Alan Rickman, Rachel Hurd-Wood 原聲帶: Perfume: The Story of a Murder - O.S.T. 在博客來網路書局買香水電影原聲帶 配樂:Berliner Philharmoniker 柏林愛樂交響樂團演奏 相信有不少人都看過德國作家徐四金所寫的著名小說《香水》,對這部電影的上映也是又期待又害怕。今天和排休的偉展兩個人到中和國賓影城看了這部電影後,都覺得這電影票錢花得值得,而且也意猶味盡的準備買下DVD和原聲帶。 雖然說這部電影在上映時,作者並未出席首映會,但對於讀者來說,雖然電影的部份有做部份的修改,刪掉書中的部份情節,忽略了小說開頭最重要的部份,但仍是相當好看的,在配樂上、男主角的確有詮釋出 葛奴乙 對於香氣保存的渴望與對氣味的貪婪,由其是他臉上的肌肉會因為對氣味貪婪而顫動著,難怪導演選角選了很久。 在目前所能看到的商業活動文宣裡都提到葛奴乙生來是沒有氣味的,這點其實有些問題。他並非天生就沒有氣味的,在書裡,他出生在一個非常炎熱與臭味衝天的環境裡,小說裡是這麼寫的: 「這種臭她感覺起來不像別的臭,而只更像一種令人受不了的醉人的東西,像百合田,或像放太多黃水仙的密封房間」 因為這醉人的香氣,她暈了過去並滾到路面上,雖然醒來繼續做生意,但沒多久就上斷頭台了(電影裡是受絞刑)。所以葛奴乙並非是生來無氣味的,在我的解讀裡,他一生中的氣味就在出生的那一剎那散發了出來,也許是回饋給那位沒愛過他且嗅覺已遲鈍的年輕母親。然而一個剛出生的嬰兒會有這樣的味道其實也不尋常,嬰兒的味道其實是一種甜甜的蜂蜜牛奶香,暖呼呼的,當然還帶著點尿布的味道,書裡也有描寫,但如果沒有確實的聞到嬰兒身上的香氣,其實很難想像出來。 這也是這部小說和電影成功的地方。在小說的剛開頭章節裡,幾乎都是對於氣味的描寫,讀者要一邊閱讀著文字,大腦裡還要一邊將文字處理成氣味的記憶,但平凡如我,也無法聞過所有的香氣,有

聽死神說故事--偷書賊

書名:偷書賊(THE Book Thief) 作者:Markus Zusak ISBN:9789866973420 作者網站: Markus Zusak 譯者:呂玉嬋 出版:木馬文化 封面取自博客來網路書局。 購買於小小書房。 這個夏天讀《偷書賊》和《失物之書》,會在兩本不同的故事裡看到同一個時空背景所發生的故事,同樣是發生在孩子身上的事,同樣在說文字的力量,但《偷書賊》的節奏比《失物之書》緩慢一些。我盡量不要比較這兩本書,因為這是很無聊的事,但在閱讀的過程裡總驚訝這兩個故事有那麼多巧合之處,不是情節上的相似,而是在人物角色和背景總是有相似或是對立的情況出現。 《偷書賊》的女主角是被德國夫妻領養的莉賽爾,原本也要一同被領養的莉賽爾的弟弟卻死於火車上,莉賽爾在遭受與父母分離及弟弟的死亡後,在精神上受了極大的創傷,幸運的是領養她的父母是故事書中最仁慈的角色,給了莉賽爾完整的愛,不同於此時期裡其他的孩子可能瀕臨餓死或是送入集中營或是在街頭流浪被流彈波及,莉賽爾因為養父母的照顧和周遭的朋友、躲在地下室的猶太人…還有偏愛她的死神。 這個故事的特別處之一,敘述者不是主角或是任何一個書中的角色,而是沒有時空限制,總是旁觀的第三者,特別是在二戰的年代,無所不在的死神,戰場、集中營、巷弄裡,特別的是,這個死神總是想要表現祂冷酷無情和輕蔑人類的一面,但實際上我們從書中讀到的,是祂憐憫人類、輕視、無奈、驚訝人類的個性,也像人類一樣會抱怨工作、具有詩意、幽默感,也就是具有人性的一面: 人類只有在一天的開始與結束時,才會觀察顏色的變化。 但是對我而言,一天當中,每個短暫片刻都呈現出不同的色度與調性。 光是一個小時的時間,就包含了幾千種不同的顏色:蜜蠟黃、柔絲藍、陰鬱黑。 我是做這行的,當然特別注意顏色的變化。 …她貫徹始終,只要經過三十三號的門口,從沒有忘記吐痰,還會外加一句「死豬」。我發現德國人有個特點:他們真的很愛豬。 這個具有人性的死神成了說書者,祂說著在戰時會發生在任何一個角落的故事,然而我們透過祂的眼睛,看到一個帶著色彩、煙硝味濃厚、心驚膽跳與眼淚的故事,祂不儘是旁觀者,同時也是貫穿整個故事的主要角色之一。 整個故事讀起來有對納粹主義的不滿也有對當時情況的無奈。裡面對於創傷後壓力症候群( PTSD )的描寫也很貼切,莉賽爾和猶太人麥克斯分別經歷了不同程度的打擊,也產生了同樣的症狀,