資料經濟時代內,資料應用與其規範,是許多企業或組織期待掌握的重點,特別是網路無國界,常涉及資料跨境傳輸,亦是法令遵循的重點之一。如中國大陸除於2022年2月施行《網路安全法》子法之《網路安全審查辦法》外,針對境內資料欲出境也陸續制定法規或管理作為。
資料經濟時代內,資料應用與其規範,是許多企業或組織期待掌握的重點,特別是網路無國界,常涉及資料跨境傳輸,亦是法令遵循的重點之一。如中國大陸除於2022年2月施行《網路安全法》子法之《網路安全審查辦法》外,針對境內資料欲出境也陸續制定法規或管理作為。尤其是2022年7月通過、同年9月施行之《數據出境安全評估辦法》,因涉及2021至2022年間滴滴出行在美國上市後(NYSE:DIDI,目前已下市),美、中兩國政府對於該公司掌握之資料,所衍生之相關爭議,而廣受外界矚目。
在美國方面,證券交易委員會(SEC)認為滴滴出行提供之資料不夠透明,違反美國上市公司相關規定,要求提供更多資訊,以保障投資人權益;另一方面,大陸證監會則認為滴滴出行洩漏用戶資料,且違反網路安全審查相關規範,對該公司處以重罰,並要求自美下市。而網信辦更配合2022年2月《網路安全審查辦法》之施行,於同年發布《數據出境安全評估辦法》,要求擁有100萬以上客戶資料者,其資料欲出境,須先經網信部門安全審查等。
中國大陸、歐盟跨境資料傳輸規範概述
在歐盟《一般資料保護規則(GDPR)》內,原則上禁止個資跨境傳輸,只有在符合特定情形才例外允許,如第45條認為傳輸至第三國或國際組織,其符合歐盟認定之「適當的保護水準」。該條規定就是比較多人理解之適足性認定。
除適足性認定外,屬例外允許之跨境傳輸,尚包含符合歐盟GDPR第40條之行為守則(Code of Conduct)、第47條之拘束性企業規則(BCR),及歐盟執委會經第93條核准之標準資料保護條款(Standard Data Protection Clauses),或稱標準契約條款(SCC)等情形。
對於跨境傳輸或資料出境管理,透過契約約定亦可符合法令遵循。關於個人信息(即個人資料)保護與出境管理(如跨境傳輸),如標準合同(即契約)之使用,早在1995年歐盟《資料保護指令》時,已發布相關規範供有跨境傳輸之需求廠商參考;2018年5月GDPR施行後,更受到各界關切。
對於標準契約條款(SCC),歐盟核准之主要考量是實際商務運作,有經常性接收某一歐盟境內公司個資等需求,因無法逐案處理,且執委會相關決定早在GDPR施行前已陸續發布,故在2018年GDPR施行後仍予以維持。目前核准之SCC至少有:1.規範歐盟控制者(EU Controller)傳送資料到非歐盟或歐洲經濟區控制者(non-EU or EEA Controller),以及2.規範歐盟控制者傳送資料到非歐盟或歐洲經濟區處理者(non-EU or EEA Processor)二類。
而中國大陸個資或相關資料之跨境傳輸,主要依據為《個人信息保護法》第38條。依該條規定至少有3類情形,包含:1.通過網信部門之安全評估(該法第40條參照)、2.依網信部門規定經專業機構進行個人信息保護認證、3.依網信部門制定之標準合同。
由上開條文可以知道,第1類情形即去年處理滴滴案之主要規範,並結合如《網路安全法》與《數據出境安全評估辦法》等配套措施。而因應第2類情形,中國大陸也於2022年陸續發布技術標準,如當年12月發布之「個人信息跨境處理活動安全認證規範V2.0」。至於第3類情形,即2023年公布之《個人信息出境標準合同辦法》。
中國大陸《個人信息出境標準合同辦法》研析
除《數據出境安全評估辦法》涉100萬以上客戶資料之管理外,2023年2月針對100萬以下客戶資料者,另制定《個人信息出境標準合同辦法》、預計於2023年6月施行。經檢視此一《個人信息出境標準合同辦法》,共計13條條文,並含1附件。該附件為個人信息出境標準合同(範本),除當事人資料欄位外,計9項約定,包含定義、個人信息處理者的義務、境外接受方的義務等內容。
除附件外,較重要的規定為該辦法第4條,即符合4類情形之一,包含:1.非屬關鍵資訊(信息)基礎設施(定義可參考《網路安全法》第31條),或2.處理個資在100萬人以下,或3.前一年個資跨境傳輸不滿10萬人,或4.前一年敏感個資跨境傳輸不滿1萬人者,始能透過訂定標準契約之方式,進行跨境傳輸。
此外,依該辦法第5條,應先經個人信息保護影響評估,此一評估類似歐盟GDPR內亦有之隱私影響評估(PIA)。中國大陸PIA重點包含:個資之特定目的等及其合法性、正當性、必要性;個資之範圍與類別,及其可能風險;境外接受對象承諾之義務,及其安全管理措施等。
綜合該辦法觀之,要符合中國大陸資料跨境傳輸要求,個資蒐集主體(即該辦法定義之個人信息處理者)除屬該辦法第4條之適用對象外,應先完成PIA(該辦法第5條參照),然後跟境外接受對象簽署主管機關公布之契約範本(該辦法第6條參照),之後再向地方(所在地省級)之網信部門備案(該辦法第7條參照)。契約屆滿後,再重新進行此一流程(該辦法第8條參照),即PIA→簽約→備案。
結論與建議
就資料應用之討論,部分人士檢視滴滴案時,係著眼於美中博弈或地緣政治之考量,據以評析中國大陸相關法規係因應個案管理或其他用途。然如觀察中國大陸整體資料(含個資)規範或其安全管理之沿革可知,自2015年「國家安全戰略綱要」與同年施行之《國家安全法》後,2017年《網路安全法》、2019年《密碼法》,以及2021年《數據安全法》與《個人信息保護法》等法規,搭配2019年更新之「網路安全等級保護制度2.0」,至少在網路空間內之安全審查,包含其資料應用,業已構建縝密之管理規範與機制。
基此,未來在檢視或討論中國大陸之資料應用或其他管理作為時,包含境內之蒐集、處理或利用,以及出境管理等事項,除法律(構成要件)、部門規章外,相關技術標準、認驗證(特別是安全審查)建議也是應注意的重點。
<本文作者:陳宏志近年來專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>