網路無國界,天涯若比鄰。在雲端時代,個資保護也應注意跨境國際傳輸的面向。我國個資法對於非公務機關所進行之個資國際傳輸,亦有限制與處罰的規定。資訊平台相關廠商推出商品服務時,有必要嵌入個資保護的設計,才能行遍天下,遠離法網。
隨著資訊科技與雲端服務的發展,常見在A國使用某網路平台(如蘋果、臉書、Google)的用戶個資傳輸到B國(如美國)處理,此涉及個資的國際傳輸,個資法亦有保護規範與限制。金融科技全球化的發展,也會有個資國際傳輸的議題。行政院於今年(2016)5月11日同意附條件開放Apple Pay等國際行動支付來台。Apple Pay的特色之一是由設在境外的代碼服務商(Token Service Provider,TSP)進行支付憑證的代碼轉換與處理。關於Apple Pay入台與否之政策決定曾引發不少爭議,中央銀行也質疑境外TSP模式如發生個資外洩,恐有難以處理及求償的問題。未來資訊平台業者勢必須重視個資的國際傳輸議題。
Apple Pay的個資議題
行動支付有許多模式,如第三方支付、儲值、信用卡虛擬化等模式。Apple Pay是採取信用卡虛擬化的模式。由iPhone手機綁定用戶的信用卡,將卡號代碼化(Token)進行身分驗證,且採取類似信用卡的清算流程。我國政府決定是否開放Apple Pay入台有考慮到國家稅收、扶植本地產業、個資保護等因素,政黨輪替前的行政院最終同意附條件開放國際行動支付業者來台,不限由國內TSP業者提供代碼化服務,並責成金管會應配合辦理下列事項:
1. 我國持卡人的國內信用卡交易依法應在國內辦理清算。
2. 為提供消費者多元選擇,要求國際行動支付業者與國內非信用卡之支付方式(如金融卡、電子票證、第三方支付等)業者合作,以國際、國內服務業者皆能上線為目標,讓國內業者得以利用其行動裝置作為載具,並配合鬆綁相關法令。
3. 為協助國內TSP業者發展,協調國際行動支付業者及信用卡組織,儘速與國內TSP業者洽商合作事宜,進行代碼相關技術、系統介接及認證等事項。
關於Apple Pay的個資保護爭論,或有質疑是為扶植我國TSP業者的假議題。析言之,假設有iPhone用戶的個資因使用Apple Pay而被傳輸到境外的TSP業者,實應探究該TSP業者所屬國家的個資法規是否符合國際標準,或至少符合我國個資法的水平,並非如有涉及個資國際傳輸,就託辭禁止,畢竟國際大廠也會重視商譽,而台灣的個資保護並沒有做得很好。此外,亦應檢視業者提供個資保護之水平如何,例如Apple Pay採取的代碼技術是否就是用來保護個資與財務隱私?倘若Apple Pay將信用卡的卡號代碼化,且在傳輸過程中與刷卡用戶個資隱私脫鉤,則代碼本身就不是問題,反倒係以技術手段解決個資保護的問題。
Max Schrems單挑臉書事件
許多知名的網路平台都是美國公司,全球各地的網路資訊都可匯流至美國總部。但自從史諾登揭發美國政府的情治機構(如NSA)透過網路通訊業者監控公民活動之後,引起許多人對美國的不信任。1995年歐盟個資保護指令對於歐洲公民來說是個資保護的護身符,關於個資的國際傳輸,亦要求他國須符合歐盟的保護水準。
歐盟執委會於2000年間針對與美國間的個資國際傳輸採取所謂的「安全港原則」,讓美國公司自願性加入並承諾遵守個資保護的原則,簡化認定程序以促進歐美間個資流通的效率與安全。然而身為一位歐洲公民也是年輕法學博士的Max Schrems對上開作法不以為然,他跟大多數人一樣申請臉書帳號從事許多網路活動,但認為位於愛爾蘭的臉書子公司蒐集的用戶個資,嗣後傳輸到美國總公司的伺服器,存有被政府機關侵害的危險,無法受到歐盟規格的個資保護。
Schrems為此在愛爾蘭興訟,歐盟法院於2015年10月6日判定歐盟執委會採取的安全港原則無效,並表示愛爾蘭當局對於個資國際傳輸至美國,有權審查其保護程度是否符合歐盟水準。1995年歐盟個資保護指令於今年4月邁入新里程碑,更強化個資保護,亦應注意對其他國家與業者的影響。
個資法對於個資國際傳輸的規範要點
我國個資法也有規範個資之國際傳輸,要點如下:
1. 個資之國際傳輸之定義:將個人資料作跨國(境)之處理或利用(第2條)。
2. 限制個資國際傳輸之行政命令或處分:非公務機關為國際傳輸個資,而有下列情形之一者,中央目的事業主管機關得限制之:(1)涉及國家重大利益。(2)國際條約或協定有特別規定。(3)接受國對於個資之保護未有完善之法規,致有損當事人權益之虞。(4)以迂迴方法向第三國(地區)傳輸個資規避個資法(第21條)。國家通訊傳播委員會(NCC)曾據此做出函令限制通訊傳播事業經營者將所屬用戶之個資傳遞至大陸地區。
3. 行政調查:中央目的事業主管機關或直轄市、縣(市)政府為執行個資國際傳輸限制而認有必要或有違反個資法時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料(第22條)。
4. 行政處罰:非公務機關違反前開限制個資國際傳輸之行政命令或處分者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之(第47條)。
5. 刑事處罰:意圖為自己或第三人不法之利益或損害他人之利益,而違反前開限制個資國際傳輸之行政命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣1百萬元以下罰金(第41條)。
6. 民事賠償:非公務機關違反前開限制個資國際傳輸之行政命令或處分者,致個資遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任(第29條)。
個資法對於個資國際傳輸之限制與處罰主要係針對非公務機關,並不包括公務機關,此形成立法漏洞。行使公權力的國家也可能濫用權力,侵犯人權,其就個資之國際傳輸(如就稅務、犯罪相關個資之跨國傳輸)也應該納入規範。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>