各國政府在談資料跨境傳輸時，台灣需要什麼？

保護個人資料可能是各行各業的一個重要議題，不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業，除了要配合各國的資料保護法(規範、規則)外，也要擔心資料外洩事件後續的成本，還有許多額外的行政手續。許多國家已經感受到資料流動的重要性，也紛紛的透過數位經濟協議、各種雙邊或多邊協議，來減輕企業跨境傳輸資料時的相關成本，以促進(數位)經濟發展，例如2018年時，美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement)，讓這三個國家的企業可以在北美境內自由傳輸資料。

2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT)，其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸，促進資料自由流動，同時確保對隱私、安全和智慧財產權之信任。

在2019年G20大阪峰會時就已談出了DFFT的發展概念，2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題，並且也有著「資料的連結與使用是可提升生產力的重要因素，限制跨境資料流動，會是國際貿易體系的沉重成本之一，且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。

到了2023年，因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故，DFFT的概念再次被提出，且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership，IAP)，並由OECD擔任協調的單位，來建立所謂的IAP；日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。

如果有興趣進一步了解DFFT，可以閱讀：

1. Digital Agency, Data Free Flow with Trust (DFFT),
2. World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows

網路上的資料很多，可以多找一下世界經濟論壇或OECD的報告資料庫。DFFT比較像是國家與國家之間的資料傳輸協議，在其討論的面向中包含：傳輸機制、法律和規範合作(例如 Budapest Convention)、技術標準與產業合作(例如ISO、IEEE、3GPP)、國際貿易規則(例如WTO 的 GATS)，也有限制性的參與，例如歐盟GDPR的適足性認定、APEC Cross-Border Privacy Rules(APEC CBPR)、雙邊互認的協議或等值決定、數位貿易的承諾(例如美國-墨西哥-加拿大協定、美日數位貿易協議、澳洲和新加坡的數位經濟夥伴協議等)。

多數的人對於全面性普及DFFT的抱持的態度是認為進度緩慢，如同數位稅的議題，有些國家已經對網路公司課稅，但OECD可能還在協調已談論出來的架構要怎麼實施，包括已課稅的國家如何採用新架構，已課的稅金要如何處理。

單獨看日本與歐盟之間發展資料傳輸的進度，就可以知道DFFT並不慢，歐盟於2023年4月公布日本通過歐盟GDPR的適足性認定，2023年7月的歐盟-日本峰會所發表之聯合聲明中亦提到確保DFFT符合各自司法管轄區之規則，包含資料保護規則，並歡迎建立夥伴關係制度實施DFFT。

亞太區除日本額外倡議 DFFT 之外，美國、墨西哥、加拿大、新加坡、南韓、日本、澳洲、台灣(Chinese Taipei)都加入了CBPR的體系，其中前面談到的「美國-墨西哥-加拿大協定」中限制資料在地化、強調會員國企業的資料可以自由流動之外，也要求隱私規範與CBPR一致。在5月時，美、日、英、韓等10國將建立新的資料傳輸框架，協助有共識的會員國企業減輕跨境傳輸資料的法遵成本及相關的流程。

中國也知道資料跨境傳輸的重要性，但中國更傾向嚴格管制，所以在2022年時就有「數據出境安全評估辦法」及相關的配套措施，不過因為經濟受到各種衝擊，在2024年3月，也公布了「促進和規範數據跨境流動規定」，降低相關的門檻，希望能減輕企業在資料流動的法遵成本。

很多商業文章在討論歐盟GDPR時，只注意到保護個人資料，但忽略其實這是一個讓資料在歐盟境內流動的規則，它是要求外國企業必須要符合其適足性認定才可以與歐盟會員國間自由流動資料，再加上日本提出的DFFT，DFFT的框架更大，把上述談到的資料傳輸、數位經濟合作協議都放在DFFT中，大抵也是為減少企業和各國後續處理的負擔，例如已簽訂的協議就延用，不用像數位稅那樣還要再與各國協商。

讓資料自由流動的議題在台灣，政府部門應該已經有所感受，但民間還沒有正視，在法規不明確時，資料早已無限制的在流動，跨國企業則是也有能力承擔法遵成本去遵守經營地點所在國之法律。相對的，人權倡議者比較擔心在相關資料傳輸協議下，會不會有其他隱私受到侵犯的風險？例如 LGBTQ+ 社群交友軟體 Grindr 就與廣告公司分享使用者的資料，而廣告公司更有可能將資料銷售給其他公司而被訴。在美國，拜登總統於今年2月簽署行政命令，授權給美國司法部，禁止大規模的美國人個人資料傳輸至其他國家。

台灣已於2018年獲准成為APEC CBPR體系會員，在2021年6月獲准成立當責機構，這是一個好消息，至少台灣日後在資料跨境傳輸時，若涉及隱私議題，台灣有一個可以遵循的框架。當企業被認證為符合CBPR隱私保護規範時，在此架構下便可以傳輸資料，也就是把信任建立在CBPR上，可以傳輸的國家更多，更有助於國際貿易發展，同時也可以避免受限於中國的資料保護法（中華人民共和國數據出境安全評估辦法、中華人民共和國網路安全法、中華人民共和國個人資訊保護法、中華人民共和國資料安全法）。更白話一點，就是台灣企業可以做生意的國家更多了，而且政府藉由加入CBPR體系，幫台灣企業增加可以做生意的國家。

當我在讀上述資料時，隱約有著不安感—台灣目前似乎並沒有跨境資料傳輸法(或辦法、規則)，在個人資料保護法中，僅限制國際傳輸，幾年前曾有限制電信業者將台灣人的資料傳輸至中國，但嚴格來說，台灣可能沒有一個基本的跨境資料傳輸的規則可以讓企業遵循(如果有，也請讓我知道，更正我的想法)，例如：傳輸資料的類別、傳輸資料的方式(隨身碟算不算？)、與其他法規的配套措施，如智財、專利、營業秘密法...等。

以台灣目前的國際地位，與其他國家要以對等的地位簽訂雙邊或多邊的協議較有難度，也不太容易成功，除了政治因素考量外，可能相關法規的主責機關僅處於籌備階段也有關係。有些國家，如歐盟、南韓、日本，將個人資料的跨境傳輸寫於該國、區域的個人資料保護法或規則中，中國除立法外也有相關的辦法。台灣是否也需要一部資料傳輸或資料流通辦法，協助企業無論是在跨境或是境內傳輸資料時，有個依據能減輕他們的行政負擔，同時，這個辦法也不會讓外國企業來台灣投資時感受到障礙，我覺得這是可以思考的空間，畢竟有了法規，對企業來說可能也是一個負擔，畢竟在以往沒有這樣被限制過，但相對有了法規，再配合CBPR的隱私規範，就有一個明確的框架，企業做起事來就不會被個人資料保護法綁手綁腳，也不用擔心要無上限的提高法遵成本，應該會是一個好的開始。

其他的內容我寫在6月號的台經月刊裡，本期還有同事們的大作，月刊已出版。

Image by Jensen Art Co from Pixabay