您所在的位置:台灣服務業概況 > 業界專訪 > 商業服務

2017-09-30  跨境網際網路上個人資料保護的發展中華經濟研究院WTO及RTA中心 靖心慈副研究員

TCP/IP協定和萬物聯網
目前,人們使用各種終端設備和應用軟體,經由線路、無線電、光纖等組成的網路實體將原始資料上傳或下載,並透過資料封裝從一端傳輸到另一端。建立在前述基礎上,為了使封裝資料順利交換,於是產生了網路層的網際網路協定(Internet Protocol, IP),其任務是根據源主機和目的主機的位址傳送資料,但IP它不保證資料能準確的傳輸。因此,就產生了傳輸控制協定(Transmission Control Protocol, TCP) ,其將資料流分割成適當的長度,然後給每個封裝資料一個序號,保證了傳送到接收端實體封裝資料的接收順序。如今,基本概念上萬物均可使用TCP/IP連線。電腦系統的虛擬化、雲端等結構也都把TCP/IP當作核心網路技術。TCP/IP協定已經運用在各種設備控制或資料傳輸上,進化成為重要的社會基礎和跨境交易的管道。


區塊鏈(Block chain)
傳統交易管道是透過各種類型的中介機構協助完成,中介機構憑借著專業和保密來建立其信譽。然而,中介機構仍不時會發生違反信用原則的事情。當網際網路從資料遞送管道,開始邁向成為交易管道,其在價值移轉和個人資料保護上同樣產生了問題。


區塊鏈的產生可能解決此一信用原則問題,區塊鏈是去中心化的資料庫,也是分散式總帳技術。區塊鏈系統是由許多電腦做為節點來構成,在技術上通過程式設計激勵讓參與者投入資源爭取成為節點擁有者。眾多節點擁有者透過最快解決程式提供的難題,獲得一個交易的記帳機會。區塊鏈系統會將一段時間內交易變化記錄以密碼學方法存放在一個資料區塊(Block)中,並分送給至每一個節點,其他節點核實無誤後就存入自己的帳本中。區塊鏈透過私密金鑰來管理取閱的許可權。若有人企圖篡改資料帳本,區塊鏈系統以最多節點有相同資料帳本為準,故須擁有51%以上節點才有可能篡改資料帳本成功。使得篡改資料者須付出大量成本,進而抑制了篡改的企圖。從區塊鏈技術的發展,可以預期未來有可能產生沒有中介機構的資訊系統,有效媒合交易並保護個人資料。但在那一天到來之前,我們已經面臨網際網路上進行交易和價值移轉,個人資料的保護也迫在眉睫。


歐洲對個人資料的保護
歐洲國家加上毛里求斯、塞內加爾和烏拉圭於1981年,就通過個人資料自動化處理保護公約(Convention for the protection of individuals with regard to automatic processing of personal data)。要求參與國在國內法採取必要措施保護個人資料,也要求適用於跨境資料流動,但不能是採取措施的唯一原因。


歐盟1995年「個人資料保護指令」(Directive 95/46/EC),旨在調和歐盟境內各國家對於個人資料保護法規之標準,以建立一套準則,適用在歐盟境內公民之個人資料所流出的對象國。在第25條針對資料跨境流通部分,該指令禁止會員國將個人資料跨境傳輸至對於資料保護不夠充足之國家。


歐盟2016年「一般資料保護規則」(Regulation (EU) 2016/679) 取代Directive 95/46/EC,預計於 2018 年 5 月在歐盟境內實施。在個人資料跨境傳輸議題上,第 45 條明定傳遞個人資料至第三國或國際組織,須在歐洲執委會認為該國或該組織具有充足的保護水準時始得為之。適當保護水平之考量,除指令原有之當地法規現況外,另新增「第三國是否設有符合歐盟規則要求之相關主管機關」,及「第三國是否締結與個資保護相關的國際公約或文件」。


歐盟一般資料保護規則增加資料控制者得採行之「適當保護措施」,如「企業自我約束規則」(Binding Corporate Rules, BCRs)、標準契約條款、行為準則、認證機制、資料控制者或資料處理者間的契約條款被監督機關認可。


APEC對個人資料的保護
亞太經合組織(APEC)在2007年就開始研究發展跨境隱私保護規則體系(Cross Border Privacy Rules System, CBPR System),2010年通過跨境隱私執行協議(Cross-Border Privacy Enforcement Arrangement, CPEA),2011年通過CBPR System並承諾執行。


APEC成員國意識到數位經濟將繼續擴大商機,降低成本,提高效率,提高生活質量,及促進小企業更多地參與全球商業的潛力。保護經濟體內外的隱私和促進個人資訊的區域轉移架構有利於消費者、企業和政府。所以在2015年APEC部長批准APEC隱私架構。此架構中強調引進隱私規則機制,促進和實施隱私,並保持APEC經濟體與其貿易夥伴之間資訊流的連續性;促進架構之間CBPR系統的互操作性及其實施措施。


檢視我國對個人資料保護的立場
宋柏霆2016年檢視我國個人資料保護法與歐盟資料保護規則之合致性,他發覺我國目前個資法明文規範上,大部分合乎歐盟要求的原則,僅有對於資料跨境傳輸之規範所採取的限制模式過於寬鬆、就安全原則規範未盡周延、未對自動化個人資料處理權有所規範以及因未有專責之主管機關,未加入區域組織中之跨境隱私保護規則體系中,未完全合致歐盟的規則。


另外,我國在2016年於APEC會議中表達加入CBPR系統的意願。今(2017)年內,政府也大力檢視我國的隱私執法機構,並對業界進行宣導,和辦理APEC跨境隱私保護規則體系能力建構研討會。這一切都似乎與歐盟的「一般資料保護規則」新規範相呼應,目的不外乎使我國業者能更合乎國際規範,能順利進行跨境交易。但是,未來業者須要付出什麼成本,以及可以獲得什麼利益,跨境隱私保護議題值得我們重視和深入瞭解。