資料在地化政策與個人資料保護議題/Vincent Chen

資料在地化政策(Data Localization Policy)與隱私議題,最近因為如Uber、Apple Pay等客戶資料是否需存在台灣境內,及歐盟、中國、俄羅斯等國家相繼將資料在地化立法付諸實施後,已對全球Internet跨境服務產生根本性的影響。

舉例來說,隨著雲端服務興起,服務伺服器是否需要設立於用戶所在國家境內、對跨境資料流通是否需要給予限制或任其自由流通、對個資的保護是否符合各國法律要求等,即所謂的「資料在地化」政策為何,即成為Internet治理政策重要的一環。

各跨境雲端服務平台,真的會善盡義務,做好用戶的資安與個資保護嗎?

傳統跨境貿易流通之規則,隨著全球Internet雲端服務平台如Google Cloud Platform、Facebook、Apple、Airbab、Uber、Amazon AWS、Microsoft Azure、Alibaba等快速興起,標榜全球化大旗的網路大軍,如入無人之境般進行大規模跨境資料流通,已對傳統跨境商務規則產生破壞性的影響。

有時候我們會問一些基本問題:FB或Google等跨境服務的用戶,因為使用雲端服務,所以我們根本不知道自己的資料儲存在哪裡; 通常我們假定這些超級雲端服務平台,會善盡其善良管理人義務,幫我們做好資安及個資保護,但有些國家可不單純的如此認定。

隨著Internet日益成為數位經濟的關鍵因素,世界強權間的競爭益趨激烈,致使資料跨境流通與隱私儼然已經提升為主權爭奪議題而日益複雜。本文擬對近日資料跨境流通與隱私議題,提出一些觀察與建議。

資料在地化

所謂「資料在地化」,包括凡是阻礙跨境資料流通之措施,如要求服務提供者於國境內設置伺服器,資料傳輸或儲存皆須透過國內伺服器為之,或是依法令要求,需經過一定程序,始可進行跨境資料傳輸。學者宋柏霆亦將其分為三種模式,包括:

全面禁止跨境自由流通

如俄羅斯、中國等,歐盟原則上禁止把個資由歐盟境內流出,除非相關資料流入國或地區經歐盟核可,為對個資保護具有足夠安全措施的地區。

於特定範圍內禁止或有條件允許跨境自由流通

如澳洲,要求醫療個資不得傳輸到國外,韓國則要求應告知個資提供者並取得同意後,始可將個資傳送到境外。

未禁止跨境資料自由流通

如美國,採要求業者自律,並由聯邦貿易委員會(Federal Trade Commission)提供包括行業規範、第三方程序等來促使業者自我監督;如未遵守時再由FTC進行罰鍰或提起行政訴訟。因此美國並無全國聯邦層級的個資保護及跨境資料流通之規範,即使在1996年的Telecommunications Act,都僅有非常窄化的資料隱私條款。

各國資料在地化概況:中國篇

中國並無一部單一的隱私保護法律,即「個人資料保護法」,而以中國工信部2013年7月公佈之「電信和網際網路用戶個人信息保護規定」及Internet相關個別法規定之。

另如2016年4月中國《互聯網域名管理辦法(修訂徵求意見稿)》第三十七條: 「在境內進行網絡接入的域名應當由境內域名註冊服務機構提供服務,並由境內域名註冊管理機構運行管理。在境內進行網絡接入、但不屬於境內域名註冊服務機構管理的域名,互聯網接入服務提供者不得為其提供網絡接入服務」。

該修訂辦法目前尚未正式發布,其中上述規定很模糊,甚至「可以被用來封鎖一切沒有在中國註冊的域名」。在中國目前的網站系統規範中,雖然要求伺服器必須設在境內,但域名可以在境外。因此一些網站就算伺服器被封,其域名擁有者還有機會進行重建。

但新的《辦法》使得境內網站的伺服器和域名可以同時被封,徹底失去重建的機會。由於官方規定外資企業在中國開展業務,相關伺服器和儲存設備必須存放在中國境內,如果按照新版《辦法》,外企必須將域名轉入中國才能提供解析。而淘寶、百度、微軟、蘋果等諸多知名公司的網站域名都在境外註冊,「從理論上來說,這些網站都將受到影響,將域名轉移至境內。」

中國國家互聯網信息辦公室去年曾表示,中國網絡空間立法已「進入新階段」,目前已有至少十部相關法律法規,並將繼續推動《網絡安全法》;2015年12月習近平在浙江烏鎮舉行的第二屆世界互聯網大會上強調,網絡空間不是「法外之地」,要尊重各國「自主選擇網絡發展道路」和「網絡管理模式」。

中國對資料在地化的管制,無疑將會是全球最嚴格的國家。

各國資料在地化概況:歐盟篇

為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效。

該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員國是否立法,得以直接適用;然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備。

法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案,要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國;並依據先前歐盟法院關於「安全港」(Safe Harbor)無效之判決的結果為修訂。

US-EU之「安全港」協議原本提供了一個統一的規範,允許使用者的隱私資料在美國與歐盟之間傳輸。對於歐盟來說,資料隱私權屬於受保護的人權範圍,但美國將其視為消費者權益的一部分。有鑑於大西洋兩岸的概念落差,「安全港」協議提供了一個妥協的架構,使得企業及機構不須擔心地區的法規落差。

但這個協議的核心精神在於美國應尊重歐盟的標準,保護使用者的隱私資料。在史諾登洩密案引發軒然大波後,沒有相對應的情報機構的歐盟對這種無差別的大規模監控感到額外戒慎。「安全港」架構被歐盟判定無效後,歐盟28個成員國可以自行訂立美國企業使用其國民隱私資料的規定,甚至是拒絕讓資料傳回美國,必須於本地處理。

美國遂與歐盟再度協議新的Privacy Shield(隱私屏盾)協議,期望能比「安全港」架構更佳。這是美國首度對歐盟規章給予承諾,其國安行動將會受到清楚的監管與限制。這也是歐盟公民首度在資訊隱私權上獲得申訴的權利。美國已承諾,不會對歐洲人民施以無差別的大規模監控。

新的協議也包括歐盟與美國聯邦貿易委員會每年一次的聯合評估。在後史諾登隱私備受關注後,AWS、Microsoft、Google等公司已陸續在歐洲建立雲端資料中心,並採取混合雲端基礎設施 (Hybrid Cloud Infrastructure) 架構,雲端服務市場已經在各國適法性要求下,採取適當因應策略,以持續保持市場競爭力。

隨著美國-歐盟之Safe Harbor協議失效,繼之而起的Privacy Shield(美國境內伺服器處理歐盟人民之個人資料處理規範),也已經有包括微軟、Salesforce.com等超過200家公司通過Privacy Shield認證。

TPP與TiSA之貿易協定規範

一般在各國國際貿易協定之電子商務專章中,對資料跨境流通及資料在地化,都會或多或少有些規範。2015年11月所釋出的TPP(跨太平洋夥伴關係協議:The Trans-Pacific Partnership)條文中及規定締約國應允許資料跨境流通,惟在締約國有正當公共政策密地時,可以限制跨境流通,但不得恣意限制,或做為不公平之歧視貿易障礙。

在資料在地化規範上,締約國不得要求投資者或服務提供者在其境內從事商業行為時,需要使用或自行設立當地伺服器或資料儲存設備,作為商業運算之用。另在商談中的服務貿易協定(Trade in Service Agreement, TiSA)中,亦規定締約國對於與從事商業相關之資料,包含個資跨境流通、處理或儲存皆不應限制,該條文將允許個資在未經同意或未確認資料流入國是否具備足夠保護個資措施時,即可逕行跨境流通,惟韓國極力表示反對。

美國挾全球Internet之國家優勢,一直提出使用在地伺服器或基礎設施是非關稅貿易障礙的觀點,亦會影響發展中的雲端運算平台服務。在TPP與TiSA之談判內容中,數位資料跨境流通之角力也益趨重要。

我國資料在地化概況

我國對跨境資料傳輸的規範,根據新版個資法第21條,非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:

  • 涉及國家重大利益;

  • 國際條約或協定有特別規定;

  • 接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞;

  • 以迂迴方法向第三國(地區)傳輸個人資料規避本法。

由此看來,台灣允許個資境外傳輸的關鍵在於,資料接受國對於個人資料之保護是否有完善之法規,會不會導致有損當事人權益之虞;或相互之國際條約或協定有無特別規定。

如何判斷一個境外雲端服務之個資,是否有損當事人權益?如有,要如何主張及執行權利,在我國幾無實際案例。僅有的案例為2012年八月遠傳電信爆發客服中心委外、個資可能外洩的爭議;NCC為避免國內用戶個人資料外洩風險,通過限制命令禁止國內電信業者將客服中心設立於中國服務台灣用戶,經調查違反者將開罰並要求限期改善。

由於NCC為通訊傳播主管機關,限制命令以電信業者為對象,其他行業並沒有受到限制,且目前禁止的地區只有中國,並不包括其他國家地區。我國在執法過程,一般皆較為保守,例如Uber的雲端服務都利用手機APP,先不考慮其創新營運模式等議題,僅就其註冊資料都屬跨境傳輸且無在地化,未遵守運輸業相關辦法並經交通部認定為違法,如亦認定涉及國家重大利益,判定後責成NCC要求各行動業者之客戶無法存取Uber APP,就像阻擋垃圾郵件一樣,然後化被動為主動,等Uber來談判如何開放事宜。

我國的資料在地化政策至目前為止,仍甚為模糊且未受到應有重視。

Apple Pay、Airbnb、Alibaba及其他類似之棘手非善意的Internet服務皆可類似處理。當然這些措施一定也會備受內容、服務管制等爭議,但在嚴謹的適法設計下,比較強勢的依法行政作為,或許可以思考一些實質的技術手段來輔助政策之有效執行,包括個資法、電信法(或行動寬頻業務管理規則)等可以修正或釋例執行。

大國如美國、中國、歐盟、蘇聯等,都有非常顯明的在地化政策,美國強調自由流通,不希望設立非關稅障礙,中國、蘇聯則採全面要求資料在地化,歐盟則採Privacy Shield有條件對美國開放方式。因此我國在雙邊或多邊貿易談判過程中,也應積極為台灣數位經濟產業,包括跨境電商及消費者爭取更多應有權益。

總之,我國的資料在地化政策至目前為止,仍甚為模糊且未受到應有重視,似乎僅對我國業者規範,未見對境外公司執法,亦未見強勢保護產業與消費者權益措施。