2018-06-18

個資跨境傳輸,我國申請GDPR適足性認定

歐盟為我國的第五大貿易國,因此歐盟於2018年5月25日開始施行之「通用資料保護法規」(GDPR),勢必連帶影響我國產業。據了解,我國受影響最大之產業為金融業、電子商務以及航空公司。

上述產業之所以受到最大衝擊,原因在於其業務涉及大量的資料跨境傳輸,而個資跨境傳輸正是我國個人資料保護法與歐盟GDPR差距最大之處。我國對於個資的跨境傳輸,採「原則允許,例外禁止」制度,而GDPR則採「原則禁止、例外允許」的嚴格規範。 依據GDPR,合法的個資跨境傳輸主要可分為兩大類。一種是以企業個體為單位,由個別企業採行符合規範之保護措施,例如遵守Binding Corporate Rules(BCRs)、簽訂標準個資保護條款,或是取得歐盟政府核發之跨境傳輸許可證等。

另一種是概括性地,以國家為單位向歐盟執委會證明其個資法制與GDPR之保護程度相當,通過「適足性認定(adequacy decision)」者,則該國所有企業即可自由與歐盟進行資料傳輸。目前全球已有12個國家取得適足性認定,而我國政府亦於2018年5月31日正式向歐盟表達申請適足性認定之意願。 國發會表示,將針對我國個資保護整體架構進行自我評估報告,報告送交歐盟後,雙方即可展開技術性對話,並針對規範落差共同提出解決方案。根據GDPR,適足性認定並非一次性的審核,而將每4年重新評估,且歐盟保有更改或撤銷之權利,故我國政府應抱持永續之態度經營個資保護。國發會主委陳美伶亦表示,我國個資法跨境傳輸之規範尚有改進空間,不排除修法之可能。

除了因應歐盟GDPR之適足性認定,我國同時亦爭取加入APEC之跨境隱私保護體系(CBPR),目前已通過第一階段審查。CBPR審查共有三階段,國發會表示,根據他國申請經驗,通常前二階段之審查即須耗時一至二年。我國在國際性的個資保護協議中,尚有許多法制上與執行上再努力的空間。
上一則 回列表頁 下一則