英國脫歐後其隱私權保護法規仍受歐盟GDPR約束WTO及RTA中心

作者：    王煜翔

今（2017）年2月1日英國上議院歐盟內政事務委員會聽證會上，英國數位暨文化部長漢考克（Matt Hancock）指出，無論最終英國是否退出歐盟自由貿易區，英國將於2018年5月前完成隱私權保護法規之修法，以符合歐盟新頒布之「歐盟資料保護規範」（General Data Protection Regulation，GDPR），一旦英國失去歐盟成員國資格，英國應適用歐盟與第三方國家間進行個人資料傳輸之相關規範，依據GDPR之規定，除非另與歐盟就個資傳輸達成「隱私保護適足性協議」（privacy-adequacy decision），否則英國將無法繼續接收來自歐盟之個資。漢考克進一步指出，GDPR是英國脫歐之後，繼續維持和歐盟之間跨境資訊傳輸的重要基礎，未來如何確保英國能夠繼續與歐盟其他27個成員國進行個人資料跨境傳輸，除與歐盟達成協議外，目前並無其他可行替代方案。

熟悉隱私權與資訊安全事務之律師評論英國官方聲明時即認為，英國若同意採納歐盟新推行之隱私權制度，意味著未來英國隱私權保護法規都必須經過歐盟之檢視，認可其隱私權保障程度足以保護跨境傳輸之歐盟個人資料不會遭到不當侵害。

針對GDPR所揭示的隱私保護適足性此一法律要件，泰勒威欣（Taylor Wessing）律師事務所負責數據保護法律團隊的主持律師凡貝吉（Vin Bange）認為，無論談判完成後英國與歐盟將維持何種形式的關係，歐洲經濟共同體都將必須就「英國所提供的個人數據保護法制是否完備（adequate）」，以及「是否達到相當於歐盟之保護水準」兩項重要問題進行檢視。然而，目前歐盟已完成多國隱私保護適足性之評估，就前述問題之審酌上並非全無先例可循。此外，通過隱私保護適足性之評估，將可使英國取得合法接收歐盟跨境傳輸資訊之法律地位，對英國而言是較為明智的選項。

依據目前美國與歐盟間所建立之數據傳輸隱私護盾機制，美國企業可以透過自我驗證其數據保護水準是否符合歐盟所公布之隱私與數據安全準則，並與美國商務部完成符合性之檢視工作後，方可合法進行美歐之間的個資跨境數據傳輸活動。目前已有谷歌、微軟、臉書等上千家企業以隱私護盾機制為基礎，進行資訊傳輸活動。美歐隱私護盾機制之設置，即是建立在歐洲經濟共同體針對美國所進行之隱私權法規適足性評估結果之基礎上。

【由王煜翔報導，取材自World Trade Online，2017年2月3日】