跳至主要內容

各國政府在談資料跨境傳輸時,台灣需要什麼?


保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在北美境內自由傳輸資料。

2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。

在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。

到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。

如果有興趣進一步了解DFFT,可以閱讀:

  1. Digital Agency, Data Free Flow with Trust (DFFT),
  2. World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows

網路上的資料很多,可以多找一下世界經濟論壇或OECD的報告資料庫。DFFT比較像是國家與國家之間的資料傳輸協議,在其討論的面向中包含:傳輸機制、法律和規範合作(例如 Budapest Convention)、技術標準與產業合作(例如ISO、IEEE、3GPP)、國際貿易規則(例如WTO 的 GATS),也有限制性的參與,例如歐盟GDPR的適足性認定、APEC Cross-Border Privacy Rules(APEC CBPR)、雙邊互認的協議或等值決定、數位貿易的承諾(例如美國-墨西哥-加拿大協定、美日數位貿易協議、澳洲和新加坡的數位經濟夥伴協議等)。

多數的人對於全面性普及DFFT的抱持的態度是認為進度緩慢,如同數位稅的議題,有些國家已經對網路公司課稅,但OECD可能還在協調已談論出來的架構要怎麼實施,包括已課稅的國家如何採用新架構,已課的稅金要如何處理。

單獨看日本與歐盟之間發展資料傳輸的進度,就可以知道DFFT並不慢,歐盟於2023年4月公布日本通過歐盟GDPR的適足性認定,2023年7月的歐盟-日本峰會所發表之聯合聲明中亦提到確保DFFT符合各自司法管轄區之規則,包含資料保護規則,並歡迎建立夥伴關係制度實施DFFT。

亞太區除日本額外倡議 DFFT 之外,美國、墨西哥、加拿大、新加坡、南韓、日本、澳洲、台灣(Chinese Taipei)都加入了CBPR的體系,其中前面談到的「美國-墨西哥-加拿大協定」中限制資料在地化、強調會員國企業的資料可以自由流動之外,也要求隱私規範與CBPR一致。在5月時,美、日、英、韓等10國將建立新的資料傳輸框架,協助有共識的會員國企業減輕跨境傳輸資料的法遵成本及相關的流程。

中國也知道資料跨境傳輸的重要性,但中國更傾向嚴格管制,所以在2022年時就有「數據出境安全評估辦法」及相關的配套措施,不過因為經濟受到各種衝擊,在2024年3月,也公布了「促進和規範數據跨境流動規定」,降低相關的門檻,希望能減輕企業在資料流動的法遵成本。

很多商業文章在討論歐盟GDPR時,只注意到保護個人資料,但忽略其實這是一個讓資料在歐盟境內流動的規則,它是要求外國企業必須要符合其適足性認定才可以與歐盟會員國間自由流動資料,再加上日本提出的DFFT,DFFT的框架更大,把上述談到的資料傳輸、數位經濟合作協議都放在DFFT中,大抵也是為減少企業和各國後續處理的負擔,例如已簽訂的協議就延用,不用像數位稅那樣還要再與各國協商。

讓資料自由流動的議題在台灣,政府部門應該已經有所感受,但民間還沒有正視,在法規不明確時,資料早已無限制的在流動,跨國企業則是也有能力承擔法遵成本去遵守經營地點所在國之法律。相對的,人權倡議者比較擔心在相關資料傳輸協議下,會不會有其他隱私受到侵犯的風險?例如 LGBTQ+ 社群交友軟體 Grindr 就與廣告公司分享使用者的資料,而廣告公司更有可能將資料銷售給其他公司而被訴。在美國,拜登總統於今年2月簽署行政命令,授權給美國司法部,禁止大規模的美國人個人資料傳輸至其他國家。

台灣已於2018年獲准成為APEC CBPR體系會員,在2021年6月獲准成立當責機構,這是一個好消息,至少台灣日後在資料跨境傳輸時,若涉及隱私議題,台灣有一個可以遵循的框架。當企業被認證為符合CBPR隱私保護規範時,在此架構下便可以傳輸資料,也就是把信任建立在CBPR上,可以傳輸的國家更多,更有助於國際貿易發展,同時也可以避免受限於中國的資料保護法(中華人民共和國數據出境安全評估辦法、中華人民共和國網路安全法、中華人民共和國個人資訊保護法、中華人民共和國資料安全法)。更白話一點,就是台灣企業可以做生意的國家更多了,而且政府藉由加入CBPR體系,幫台灣企業增加可以做生意的國家。

當我在讀上述資料時,隱約有著不安感—台灣目前似乎並沒有跨境資料傳輸法(或辦法、規則),在個人資料保護法中,僅限制國際傳輸,幾年前曾有限制電信業者將台灣人的資料傳輸至中國,但嚴格來說,台灣可能沒有一個基本的跨境資料傳輸的規則可以讓企業遵循(如果有,也請讓我知道,更正我的想法),例如:傳輸資料的類別、傳輸資料的方式(隨身碟算不算?)、與其他法規的配套措施,如智財、專利、營業秘密法...等。

以台灣目前的國際地位,與其他國家要以對等的地位簽訂雙邊或多邊的協議較有難度,也不太容易成功,除了政治因素考量外,可能相關法規的主責機關僅處於籌備階段也有關係。有些國家,如歐盟、南韓、日本,將個人資料的跨境傳輸寫於該國、區域的個人資料保護法或規則中,中國除立法外也有相關的辦法。台灣是否也需要一部資料傳輸或資料流通辦法,協助企業無論是在跨境或是境內傳輸資料時,有個依據能減輕他們的行政負擔,同時,這個辦法也不會讓外國企業來台灣投資時感受到障礙,我覺得這是可以思考的空間,畢竟有了法規,對企業來說可能也是一個負擔,畢竟在以往沒有這樣被限制過,但相對有了法規,再配合CBPR的隱私規範,就有一個明確的框架,企業做起事來就不會被個人資料保護法綁手綁腳,也不用擔心要無上限的提高法遵成本,應該會是一個好的開始。

其他的內容我寫在6月號的台經月刊裡,本期還有同事們的大作,月刊已出版。

Image by Jensen Art Co from Pixabay

留言

此網誌的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法...

讀《時代的噪音》

朱利安.巴恩斯(Julian Barnes)所著的《時代的噪音》(The Noise of Time)是以蘇聯體制時期的作曲家 蕭士塔高維契 (Dmitriy Dmitrievich Shostakovich)的視角,從自己出生時的命名、年輕時因為政治因素,過著每晚心驚膽顫的生活,到年老變成自己厭惡的樣子。書裡描寫了一個藝術家在創作時需要考量政治因素,因為這些作品需要經過審查,通過審查的作品才能公開表演。 我對20世紀的古典樂作曲者不熟悉,更不用說蘇聯體制時期的樂曲及音樂家的一生。這是一本值得現代未經歷過共產主義、戒嚴年代的年輕人閱讀的書籍,這本書講得不只是蕭士塔高維契或是共產主義國家對藝術發展的影響,而是講權力對藝術與人生的干預。從蕭士塔高維契出生時的命名,他的父親為他取了名字,卻被教會要求改名,到自己的情人、婚姻的對象、說話交往的對象,成為蘇聯對外宣傳的代表,「權力」都是影響他在政治上的聲譽或是創作的因素。 如果藝術家跟人類的靈魂無關,那藝術家還能做什麼?除非藝術家只想成為裝飾,或只是權貴的走狗。 我在大學最後一年修了一門課,課程中的幾個章節是簡介馬克思主義與其經濟理論,馬克司主義敘述與內容是一個看似理想化的經濟學。資本主義走到現在也許造成整個社會呈現兩極化,但不可否認資本主義提供激勵,提供誘因讓人參與經濟活動,成為生產要素。馬克思主義對於理想化、想改變世界,少經世事的學生是很迷人的,也能觸及勞動階級參與改革社會。 一位醫生曾與我聊到馬克思主義帶給社會的影響,醫生轉述一篇文章的內容,該篇文章的作者認為馬克思主義試圖藉由知識分子帶領容易服從的勞動階層,發動革命以改革社會。中國共產黨與中國國民黨的歷史,就是近代清楚明確的案例。毛澤東是當時的知識分子,許多知識分子跟著他,操弄著相對知識缺乏的農民、勞動階層,與過度理想化的學生與青少年,發動革命反抗蔣介石,在1949年把中國國民黨趕到台灣來。但如果馬克思主義真的這麼好,那我們可以看看那些曾經實施馬克思主義政權的人民們過得是什麼樣的生活--中國曾經歷過十分艱辛的時代,直到鄧小平在晚年的開放,改變中國的經濟發展。 書中談到蕭士塔高維契回憶自己的一生與生活的共產主義年代,作者以這段文字描述共產主義: 它給了你夢想,再給你夢魘,而它讓所有人--不論大人小孩都感到恐懼。 台灣的戒嚴時期就與書中描寫的狀態一致,由中國國民黨統治的台灣...

面對平台隱私變革:使用者的角色轉變與應對之道

在 X (原 Twitter)這個曾經是自由言論的社群媒體上,因該平台最近改變隱私條款,以致於又興起一股使用者搬到其他社群平台上的浪潮,這是很熟悉的場景,從 Facebook 的言論管制,到 X 目前讓被封鎖的使用者自討沒趣的去看封鎖他的人的訊息。我開始在想,在這一次又一次的搬遷潮裡,我學到什麼。 Google 曾經提供一個名為 Google Reader 的服務,使用者可以自訂資訊來源,將有提供 RSS 服務的網站或 Blog 資訊加入其中。當時,許多網站或 Blog 都提供 RSS 服務,讓使用者能方便更新資訊來源。然而,隨著社群平台的興起,越來越多使用者開始利用社群媒體的演算法來獲取資訊,Google 最終在 2013 年停止 Google Reader 的服務。這使得一些使用者選擇依賴社群平台提供的資訊,而另一些人則轉向其他類似的 RSS 閱讀服務,例如 Feedly。Google 停止 Google Reader 的一個好處是,其他類似的平台得以有機會生存,而不再由 Google 壟斷這類資訊來源的服務。 最近 Google 反對紐西蘭的新聞議價法案 (Fair Digital News Bargaining Bill),這件事的後續影響可能是 Google 會移除資料庫中紐西蘭新聞的來源。此外,Google 和 Meta 也因類似的法案移除過澳大利亞和加拿大的新聞內容。 這代表網路使用者不應該再如以往般依賴搜尋引擎、社群平台取得資訊來源,而是開始建立及掌握自己的資訊來源,對於新聞媒體而言,應該著力於提供品質良好的新聞,讓使用者願意付費訂閱,而不是使整個新聞版面充斥廣告,依賴廣告收入,讓使用者無法取得要閱讀的資訊,也讓廣告服務平台掌控收入來源,而有些新聞網站的版面看起來更像是內容農場一樣。 我使用 Twitter 已超過十年,有很長一段時間迷失於Facebook此類社群平台上的互動,直到我感受到社群平台的公開性,使某些惡意的使用者會追蹤社群平台內容,造成隱私隱憂時,便決定不再使用 Facebook,也改變我使用社群平台的策略,讓不同平台有不同的功能,也因為這樣,服務平台變動使用者服務條款或隱私權條款,對我並沒太大影響。 至於使用者們擔心 X 平台使用使用者內容訓練人工智慧,在講究著作權、智財權的年代,這乎是要發展人工智慧服務的平台會做的事。目前的平台使用者...