當前,我國針對個資的國際傳輸規範仍在摸索與探究中,一邊學習國際經驗,一方面調適本國的法治架構。筆者認為,針對個資跨境傳輸,行政單位應緊抓三大原則:
原則一、相互尊重他國企業在本國的資料可近權
資料可近權 (Right to Access) 為 GDPR第 15 條所闡述的原則。當事人有權向資料控管者確認,其有權取得或近用個人資料及衍生資訊。外國企業來台,應與台灣本國企業擁有相同的資料可近權,不應有歧視或差別待遇。同樣的,我國應向他國要求相同的權利。
原則二、尊重國際雙方認同的資料傳輸格式
GDPR 第 20 條強調資料可攜權 (Right to Data Portability)。即當事人有權向資料控管者以具結構化的、使用共通性 (Commonly Used) 且機械性可讀 (Machine- Readable) 檔案格式,取得其所提供之開放資料。資料格式的設計,應尊重兩國雙方及所參與之跨國協約平台的互惠精神,亦可參考歐盟為數據資料處理的監管措施所提出的 EOSC 宣言條款(EOSC Declaration Action),強調資料的開放、應符合 FAIR 原則(Findable, Accessible, Interoperable, Reusable),亦即「可搜尋」、「可取得」、「可相互運用」、「可重複使用」之原則。
原則三、針對相關廠商資安等級的全面要求
以精準醫療為例,無論是民眾的就醫病例、基因體資訊或健保就診紀錄,皆為相對敏感的資訊。自2016年政府啟動生醫產業創新推動方案以來,隨著生物檢測技術開發與診斷系統的蓬勃發展,中小型新創企業已達數百家。允許醫療健康資訊進行國際傳輸時,如何同步落實對所有企業的資安監理,將是行政部門必須面對的考驗。
大數據與資料公共治理時代的來臨,對於身為科技島國的台灣而言,無疑是一個產業飛躍不可多得的機會。在產業起跑前,若能預先做好法令規劃、制定遵循原則,必能為台灣企業掃除創新的障礙。
*作者為中國文化大學法律系教授
