熱門文章

【重磅】你在跨境傳輸個資嗎? —GDPR新版個資境外傳輸SCC適用性初解析

撰文:    斌 博士

審閱:葉奇鑫 律師

王慕民 律師

 

全文約4200字,閱讀約需15分鐘

 

2021年可謂是GDPR個資境外傳輸規則大發展的一年。2021年6月,歐盟執委會依GDPR訂定了新版個資境外傳輸「標準契約條款」(SCC),給歐盟個資境外傳輸提出新要求(註1)。11月,歐盟層面GDPR解釋機關歐洲個人資料保護委員會(EDPB)公布專門指引(以下稱EDPB指引),對GDPR域外適用效力和境外傳輸限制的適用作出最新解讀(註2)

 

如果你的業務涉及與歐盟的個資流動,甚至你本身就屬於GDPR域外適用的效力範圍,那你可能要留意,你的個資境外流動是否構成GDPR規定的個資境外傳輸?是否適宜選擇SCC作為個資境外傳輸法遵工具?我們透過這篇文章,協助大家迅速對這些問題作出判斷

 

為什麼GDPR會有個資境外傳輸限制?

個資境外傳輸限制是GDPR個資保護規範的一個重要面向。眾所周知,世界各國對個資的保護水平並不一致。正是因此,歐盟個資法GDPR對個資境外傳輸有特殊限制,要求歐盟個資即使傳輸到歐盟境外,所受保護水平也與GDPR相當,也就是大家經常聽聞的「適足保護」

 

為了實現適足保護,GDPR第5章規定,控管者/處理者將歐盟個資傳輸到境外時,若接收國尚未依GDPR第45條取得歐盟適足性認定,則必須使用第46條的「傳輸工具」,或具備第49條規定的例外

 

GDPR所列各項傳輸工具中,標準契約條款(Standard Contractual Clauses,SCC)可能是對於台灣企業而言最務實的工具。本文也是以SCC為討論重點

 

怎麼判斷個資境外傳輸?

顧名思義,「個資境外傳輸」是指把GDPR所保護的個資傳輸到歐盟境外的行為。這個概念雖然看起來簡單,但依據EDPB指引,還是有些誤區要留意

 

  • 個資從歐盟境內傳輸到境外,未必是受GDPR限制的個資境外傳輸

GDPR的適用對象,是決定個資處理作業的「控管者」,以及受控管者委託處理個資的「處理者」。因此,GDPR個資境外傳輸限制,僅適用於控管者或處理者將當事人個資傳輸到歐盟境外(註3)。換言之,如果是個資當事人直接將個資提供給歐盟境外業者,這個傳輸行為並不受GDPR拘束。當然,境外業者若符合GDPR第3條第2款的域外效力規定,在處理所接收的個資時,可能需要遵守GDPR,這是另一個問題

 

舉個例子,若一家台灣網站針對歐盟消費者提供線上服務,消費者在購買服務時,需要對台灣網站提供個人資料,這些個資被儲存在網站位於台灣的伺服器。此時,消費者對外提供個資不適用GDPR,台灣網站接收個資,也無需具備GDPR規定的個資境外傳輸條件。但台灣網站針對歐盟消費者提供服務,將會落入GDPR域外效力範圍;網站蒐集和後續處理歐盟消費者個資,需要遵守GDPR在透明化、法律依據等方面的規定

 

  • GDPR規定的個資境外傳輸,並不限於個資從歐盟境內傳出

GDPR關於個資境外傳輸的規定,僅要求個資傳輸到非歐盟地區,但並未限定個資須從歐盟境內輸出。搭配GDPR的域外適用效力,位於歐盟境外、適用GDPR的控管者或處理者,若將歐盟個資傳輸到歐盟境外,也會構成GDPR意義上的個資境外傳輸,需要遵守GDPR相關限制(註4)

 

繼續以剛剛的台灣網站為例,若這家網站委託台灣外部廠商分析歐盟消費者資料,因為網站屬於GDPR的域外效力範圍,其把歐盟個資提供給外部廠商的過程,也將構成GDPR規定的「個資境外傳輸」。台灣網站作為個資輸出方,將需要遵守GDPR的個資境外傳輸限制,採取措施確保個資在傳輸後仍受到適足保護

 

  • 傳給GDPR域外效力範圍內的境外接收者,仍然是個資境外傳輸

剛剛已經提到,GDPR個資境外傳輸限制的目的是為了確保個資在歐盟境外也受到「適足保護」。從這個角度,你大概會認為,如果個資的境外接收者已經因域外效力規範而直接適用GDPR,那這種傳輸應該不構成個資境外傳輸

 

EDPB指引對此給出了不同答案。依EDPB的見解,GDPR個資境外傳輸限制適用於「一切」將歐盟個資傳輸至歐盟境外的行為,無論境外接收者自身是否在GDPR域外效力範圍內。這是因為,境外接收者所須遵守的其他法律,可能影響GDPR的個資保護效果(註5)

 

繼續以剛剛的台灣網站為例,若這家網站委託歐盟經銷商推廣其服務,並從歐盟經銷商取得消費者資料。雖然網站自身已適用GDPR,但個資從歐盟經銷商傳輸到台灣網站的過程,仍構成GDPR所稱的個資境外傳輸,需要遵守GDPR規定的限制條件

 

為什麼歐盟要制定新版SCC?

依GDPR第42條規定,SCC由歐盟執委會訂定(或由會員國主管機關訂定並經歐盟執委會核准),目的是把GDPR規範內容,轉化為由雙方簽署的契約條款。這樣,雖然個資的境外接收者未必直接受GDPR拘束,也會因為契約而有義務遵守GDPR的實質內容

 

SCC並非GDPR首創,而是在歐盟此前的個資保護指令(Data Protection Directive, 95/46/EC)中已有類似規範(註6)。依個資保護指令的授權,歐盟執委會分別於2001年(註7)、2004年(註8)和2010年(註9)制定了三種不同版本的SCC(以下合稱舊版SCC),其中兩種適用於歐盟境內的「控管者」對境外「控管者」的個資傳輸,一種適用於歐盟境內的「控管者」對境外「處理者」的傳輸

 

依GDPR規定,舊版SCC不會隨個資保護指令廢止而失效,而是在歐盟執委會生制定新版SCC前繼續有效(註10)。但畢竟GDPR的個資保護規範比個資保護指令要嚴格許多,舊版SCC欠缺許多GDPR要求的保護措施,能否提供適足保護不斷受到質疑。因此,歐盟執委會依據GDPR的個資保護要求,制定了新版SCC

 

新版SCC制定了,舊版還能繼續使用嗎?

歐盟執委會對新舊SCC設計了18個月的過渡期(詳見下圖)。新版SCC於2021年6月4日通過,6月7日公布於歐盟官方公報,6月27日正式生效。舊版SCC則於新版生效滿3個月時(2021年9月27日)被撤銷,已經簽訂的舊版SCC,則可繼續沿用至新版SCC生效滿18個月(2022年12月27日)。到明年年底,舊版SCC將不再提供適足保護

 

也就是說,如果你目前想要選擇SCC作為個資境外傳輸工具,應該只能使用新版SCC。如果你在2021年9月27日前已經簽訂舊版SCC,則最晚在2022年年底前,需要「升級」為新版SCC

 

誰可以使用新版SCC?

舊版SCC僅適用於「歐盟境內」到「歐盟境外」的個資傳輸,而新版SCC則將適用範圍擴張到「適用GDPR的控管者/處理者」到「不適用GDPR的控管者/處理者」。

 

這顯然是為了配合GDPR的域外適用效力,與此同時,對於台灣企業而言,這也意味著一段尷尬過渡期的結束:舊版SCC下,台灣企業至多作為個資的境外接收者,被要求簽署SCC、履行個資保護義務。GDPR生效後,落入GDPR域外效力範圍的台灣企業,有義務使用傳輸工具確保個資適足保護,但囿於舊版SCC的適用範圍限制,SCC並非真正可用的選項。在新版SCC下,這種障礙將被消除。

 

你可能已經留意到,歐盟傳輸給適用GDPR的境外接收者,仍然要遵守個資境外傳輸限制。但新版SCC的適用範圍,並不包括傳輸給「適用GDPR的控管者/處理者」。仍以前文的台灣網站為例,當歐盟經銷商將消費者個資傳輸給台灣網站時,並不能使用新版SCC作為傳輸工具。

 

對此,EDPB指引說明,當境外接收者自身已適用GDPR時,SCC或其他傳輸工具應著重補充個資接收國法律與歐盟法的落差,並留意避免重複GDPR規範內容。歐盟目前尚未對此制定專門的傳輸工具(註11)

 

簽署新版SCC,要留意哪些事項?

由於SCC是已經由歐盟執委會認定的統一契約文本,將個資傳輸到尚未取得適足性認定的國家時,簽署SCC是相當便利可靠的法遵方法。正是因此,2020年歐盟法院(CJEU)在Schrems II案中(註12),宣告歐盟—美國隱私盾不能提供適足保護後,歐盟對美國的個資境外傳輸,多轉而使用SCC作為傳輸工具。

 

但新版SCC並非單純將舊版SCC的內容「升級」到與GDPR一致,而是納入了歐盟法院Schrems II案判決的實質內容。其中一項重要變化,是要求個資傳輸雙方在簽署前執行傳輸影響評估,並考慮是否需要搭配補充措施。

 

歐盟法院在Schrems II案判決中提出,SCC能否提供適足保護,應進行個案評估;視個資輸入國的法律環境不同,SCC可能需要搭配額外安全維護措施。換言之,依歐盟法院的見解,不是SCC不是隨便簽一簽,就能提供適足保護、讓雙方自由傳輸個資。在選擇SCC為傳輸工具時,個資傳輸雙方須事先評估在接收國法律環境下,SCC能否提供適足保護、是否需要搭配額外措施。這一評估被稱為傳輸影響評估(Transfer Impact Assessment,TIA)。

 

新版SCC把歐盟法院的這一要求列為了契約條款之一。個資傳輸雙方在簽署SCC的同時,也是在保證雙方已執行TIA,能合理確信SCC(搭配額外措施),能夠在輸入國法律環境下,對所傳輸的個資提供適足保護。

 

你可能想問,應如何執行TIA?這也是歐盟法院作出Schrems II案判決後,涉及個資傳輸的業者都想要瞭解的問題。對此,EPDB建議評估如下要素(註13)

  □  與傳輸之目的、性質、行業、所涉個資種類等相關的法規和實務

  □  是否存在使評估複雜化的要素 (e.g.,傳輸之全部參與方、是否涉及再行傳輸)

  □  依輸入國相關法規、實務及既有經驗,公務機關是否可能通知資料輸入方/不經通知,要求存取個資

  □  公務機關是否有權透過第三方 (e.g., 電信業者) 存取個資

  □  輸入國法規和實務是否允許個資當事人依SCC行使權利

 

如果根據以上要素,傳輸雙方能合理認為個資輸入國的法律環境,不致影響其確實履行SCC規定的義務,那麼,SCC將是適當的傳輸工具。此外,基於GDPR的課責性要求,雙方應將這項評估作成紀錄,以備主管機關監督。

 

確保個資跨境傳輸適法,你該怎麼做?

總結一下,如果你與歐盟間有個資流動,無論是從歐盟接收個資、還是把歐盟個資傳給第三人,都可能受GDPR境外傳輸限制的拘束,需要選擇適當的傳輸工具。由於台灣及世界多數國家尚未取得適足性認定,歐盟官方公布的SCC可能是最便利可靠的選擇。

 

目前我們正處於新舊版本SCC的過渡期。若你現在打算簽署SCC,則需要留意選擇新版SCC,在簽署前執行TIA並作成紀錄。若你在2021年9月底前已經簽署SCC,則建議確定簽署的SCC的版本,並在2022年年底前,將舊版SCC升級為新版SCC。

 

無論你是個資輸出方或接收方,簽署適當的SCC後,依SCC都負有個資保護義務。除了適用範圍擴張、明文約定事前TIA義務外,新版SCC在形式結構、締約方法、個資保護義務等方面,還有其他實質變化,我們將在日後文章中,為大家進一步解讀。

 

想要量身定制個資法遵方案?需要有針對性的SCC訂約履約建議?境內外一站式個資法遵服務,歡迎聯絡我們:service@davinci.idv.tw

 


 

註1:European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (C/2021/3972) (hereinafter the “New SCC Decision”): https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en.

註2:EDPB, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (version for public consultation) (18 November 2021) (hereinafter the “EDPB Guidelines 05/2021”): https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf.

註3:EDPB Guidelines 05/2021, paras. 11-12, 14.

註4:EDPB Guidelines 05/2021, para. 10.

註5:EDPB Guidelines 05/2021, para. 18.

註6:Data Protection Directive, 95/46/EC, Article 26(4).

註7:European Commission, 2001/497/EC: Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC: https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32001D0497.

註8:European Commission, 2004/915/EC: Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32004D0915.

註9:European Commission, 2010/87/: Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32010D0087.

註10:GDPR, Article 46(5).

註11:EDPB Guidelines 05/2021, para. 23.

註12:CJEU, Judgment of 16 July 2020 in Case C-311/18, https://curia.europa.eu/juris/document/document.jsf;jsessionid=D868495444D9D58C3734E0CE306797E9?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=995549.  

註13:EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Version 2.0 of 18 June 2021): https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf.

 

※歡迎註明出處後轉載。

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw