數據是 21 世紀的戰略資源,數據的跨境流動則是數位時代最核心的貿易議題之一。然而,台灣的法制現況在這一議題上呈現出深刻的矛盾:一方面,台灣以出口導向、高度數位整合的開放經濟體自居,數據的自由流動是科技產業與金融服務業的命脈;另一方面,台灣現行的個人資料保護法(個資法)在數據跨境傳輸的規範上存在顯著的制度空白,既無法有效保護個人隱私,也未能提供企業清晰的合規指引。更緊迫的是,台灣申請加入《跨太平洋夥伴全面進步協定》(CPTPP)的訴求,使得數位貿易章節的制度準備成為入會談判的核心議題。本文以法學的精度與政策的高度,系統分析台灣在數據跨境流動立法改革上的優先議題與制度選擇。

一、資料在地化與自由流通的制度張力

全球數據治理目前呈現出兩種競爭性的制度典範:以中國為代表的「資料主權模式」,透過強制性的資料在地化(data localization)要求,限制特定類型數據的跨境傳輸,以確保國家對數據資源的控制;以及以美國與日本為代表的「自由流通模式」,主張數據應像貨物與服務一樣自由跨境流動,僅在隱私保護與國家安全的具體情境下施以例外限制。[1]

歐盟則提供了第三條道路——「以信任為基礎的流通模式」,透過 GDPR 建立高標準的個人資料保護框架,並以「充分性認定」(adequacy decision)機制允許達到同等保護水準的法域進行數據自由流通。這一模式的核心邏輯是:隱私保護與數據流通並非零和,充分的隱私保護反而是數據跨境流通可信任性的基礎。

台灣在這個三元制度座標中的位置極為尷尬:現行個資法的實體保護標準既不及 GDPR 嚴格,跨境傳輸的程序規範又過於模糊,無法向貿易夥伴論證台灣已達到可信任的保護水準。這一制度不確定性,既無法通過 GDPR 的充分性認定,也難以滿足 CPTPP 數位貿易章節的制度要求。[2]

二、個資法與 GDPR 充分性認定的差距分析

台灣個資法(2010 年通過,歷經數次修訂)與 GDPR 之間存在若干根本性的制度差距,是台灣難以獲得歐盟充分性認定的核心障礙。

獨立監管機構的缺失。GDPR 要求每個成員國設立獨立的個人資料保護監管機關(DPA),具備充分的調查與執法權限,且在運作上獨立於政府行政。台灣目前的個資法執法體系分散於各目的事業主管機關,缺乏統一的獨立監管機構,執法能量與一致性嚴重不足。[3]

資料當事人權利的不完整。GDPR 賦予資料當事人包括被遺忘權(right to erasure)、資料可攜性(data portability)、反對自動化決策(right to object to automated decision-making)等一系列實體權利,台灣個資法在這些新興權利的規範上存在明顯空白。

跨境傳輸的合法性基礎不清。GDPR 第 44–49 條對跨境傳輸設有清晰的合法性框架——充分性認定、標準合約條款(SCCs)、有約束力的企業規則(BCRs)等。台灣個資法第 21 條雖設有跨境傳輸限制,但授權框架模糊,主管機關的裁量空間過大,缺乏可預期的合規路徑,造成企業的合規成本與法律不確定性同時高企。[4]

三、CPTPP 數位貿易章節的制度要求

CPTPP 第 14 章(電子商務)是台灣入會準備最需要聚焦的數位治理議題。其中第 14.11 條「跨境電子資訊傳輸」及第 14.13 條「電腦相關設施之位置」,直接觸及資料在地化的禁止義務,構成台灣現行法制的最大挑戰。

CPTPP 第 14.11 條要求締約方允許電子資訊的跨境傳輸(包括個人資訊),除非有正當的公共政策目的,且限制措施須符合比例原則,不構成任意歧視或偽裝的貿易限制。第 14.13 條則要求締約方不得以提供或取得服務為條件,強制要求在當地使用或設置電腦相關設施(即禁止強制資料在地化)。[5]

台灣現行的若干法規——包括金融業的資安規範、電信業的資料管理規定,以及部分政府採購規範中的資料儲存要求——可能與 CPTPP 第 14.13 條的資料在地化禁止義務存在潛在衝突。入會談判前,台灣需要對現行法規進行系統性的 CPTPP 合規審查,識別潛在的不相符措施(non-conforming measures),並評估修法的可行路徑。

四、日本 DFFT 框架與 APEC CBPR 體系

在 CPTPP 的制度框架之外,台灣在數據治理國際接軌上有兩個重要的多邊機制可以積極運用。

日本的 DFFT(Data Free Flow with Trust)框架是安倍晉三在 2019 年 G20 峰會上提出的倡議,核心主張是:數據的自由流通與隱私、安全、智財的保護並非對立,「信任」是實現可持續數據自由流通的制度基礎。日本持續推動 DFFT 在 G7、G20 及 WTO 等多邊論壇中的制度化,並在 2023 年主辦 G7 期間成立了推動 DFFT 的 Institutional Arrangement for Partnership(IAP)。台灣與日本的數位夥伴關係近年快速深化,應積極尋求在 DFFT 框架下與日本建立雙邊的數據流通協定,以實質性的雙邊機制彌補多邊接軌的障礙。[6]

APEC 跨境隱私保護規則體系(CBPR)是亞太地區最重要的跨境數據流通認證機制,要求認證企業符合 APEC 的隱私框架,並接受認可問責代理人(AAA)的認證審查。台灣自 2013 年起參與 APEC CBPR 體系,但目前取得認證的企業數量仍相當有限,體系的實際運作效能有待強化。台灣應擴大 CBPR 認證的推廣力度,並研議以 CBPR 認證作為個資法跨境傳輸合法性基礎的制度連結,為企業提供清晰的合規路徑。[7]

五、立法改革建議:CPTPP 入會的制度準備路線圖

綜合以上分析,本文提出台灣數據跨境流動立法改革的六項優先行動:

第一,設立獨立的個人資料保護委員會。這是個資法改革最根本且最優先的制度建設。獨立監管機關不僅是 GDPR 充分性認定的前提,也是向 CPTPP 締約方論證台灣個資保護機制可信度的制度基礎。委員會的設計應確保組織、預算與人事上對行政機關的獨立性,並賦予充分的調查、處分與國際合作職權。[8]

第二,修訂個資法的跨境傳輸規範,建立清晰的合法性框架。仿照 GDPR 第 44–49 條的架構,建立充分性認定機制(認定他國的保護水準足以比擬台灣)、標準契約條款制度,以及以 APEC CBPR 認證作為跨境傳輸合法性基礎的明文規定,大幅降低企業的合規不確定性。

第三,對現行法規進行系統性的 CPTPP 合規審查。委由法務部及數位部主導,對所有涉及數據儲存、處理或傳輸要求的現行法規,進行 CPTPP 第 14 章合規性的系統審查,建立「不相符措施清單」,並評估修法、豁免申請或承諾表格填寫的最適路徑。

第四,積極推動台日數位流通協定。在 DFFT 框架下,與日本談判雙邊的「可信數據自由流通協定」,建立雙邊的充分性互認機制,並以此作為爭取其他 CPTPP 締約方支持的重要外交槓桿。

第五,強化 APEC CBPR 的實質參與。增加推廣 CBPR 認證的資源投入,設定年度認證企業數量目標,並積極參與 CBPR 框架的升級討論——特別是正在進行中的 CBPR Global 擴展計畫,爭取台灣在亞太數據治理制度建設中的更大話語權。[9]

第六,建立政府數據流通的安全例外清單。在開放數據跨境流通的同時,針對關鍵基礎設施數據、國安敏感數據、生物辨識資料等特定類別,建立明確的安全例外清單與處理規範,確保數位主權的底線不被自由貿易承諾所侵蝕。[10]

數據跨境流動的立法改革,表面上是技術性的法律修訂工程,實質上是台灣在數位時代的主權定位與國際整合策略的核心選擇。台灣無法迴避這場制度抉擇——問題只在於是主動引領改革、為入會談判建立制度優勢,還是被動因應外部壓力、在不利的談判條件下做出倉促的制度讓步。制度準備的深度,決定了台灣在這場談判桌上的籌碼厚度。

陳弘益教授,日本名古屋大學法學博士。歷任英國劍橋大學研究員暨亞太地區代表、浙江大學國際聯合商學院 MBA 主任暨高管教育主任,為世界銀行、聯合國等國際機構主持跨國政策研究。現帶領超智諮詢,結合商學專業與前沿科技,提供 AI 及量子運算等領域的軟體開發及策略制定服務。策劃全球思想領袖論壇邀集逾 50 位國際領袖、累計觀眾逾 30 萬人次。

References

  1. Aaronson, S. A. (2022). Data Is Different: Why the World Needs a New Approach to Governing Cross-border Data Flows. Digital Policy, Regulation and Governance, 24(1), 44–57.
  2. European Commission. (2023). Adequacy Decisions: How the EU Determines if a Non-EU Country has an Adequate Level of Data Protection. Brussels: EC. ec.europa.eu
  3. European Data Protection Board (EDPB). (2022). Guidelines 05/2021 on the Interplay between the Application of Article 3 and the Provisions on International Transfers. Brussels: EDPB.
  4. 法務部。(2023)。《個人資料保護法修正草案總說明》。台北:法務部。
  5. CPTPP Secretariat. (2018). Comprehensive and Progressive Agreement for Trans-Pacific Partnership: Chapter 14 Electronic Commerce. mfat.govt.nz
  6. G7 Hiroshima Summit. (2023). G7 Digital Technical Track: Institutional Arrangement for Partnership on DFFT. Tokyo: Ministry of Internal Affairs and Communications.
  7. APEC. (2023). APEC Cross-Border Privacy Rules System: 2023 Progress Report. Singapore: APEC Secretariat. apec.org
  8. 個人資料保護委員會籌備辦公室。(2024)。《個人資料保護委員會設置規劃報告》。台北:行政院。
  9. CBPR Global. (2023). CBPR Global Forum: Expanding the APEC CBPR System to a Global Privacy Framework. Washington D.C.
  10. Burri, M. (2021). Big Data and Global Trade Law. Cambridge: Cambridge University Press. doi.org
返回洞見