AI、物聯網、5G等技術快速發展,創造了龐大的資料經濟價值。以歐盟為例[1] ,相關經濟規模至2020年已高達7390億歐元,占GDP比例已達4%。為能充分釋放資料經濟潛力,非個人資料自由流通規則(FFD Regulation)[2] 應運而生。據估計,引進FFD Regulation所降低之資料服務成本,以及所增加之資料管理、分析彈性與服務選擇自由,能再為GDP額外貢獻80億歐元。
圖片來源 : shutterstock、達志影像
FFD Regulation與一般資料保護規則(GDPR)同為歐盟建立數位單一市場(Digital Single Market)的重要支柱。GDPR賦予高標準的個人資料保護,FFD Regulation則致力消弭因各成員國監管不同造成的非個人資料流通障礙,藉此充分運用資料所蘊含的高經濟效益。
相較於GDPR長達99條之篇幅,FFD Regulation僅有9條規定,可說是精簡許多,但就補充GDPR、移除資料流通障礙而言,卻有著不可或缺之重要性。依據構想[3] ,歐盟資料因其性質而受不同監管:在個人資料方面,係以保護歐盟公民之隱私權為圭臬,劃歸GDPR規範;若是非個人資料,則著眼於業務發展機會,透過FFD Regulation打造具競爭力的資料市場。
FFD Regulation之適用範圍僅限於歐盟境內的電子非個人資料處理,包括向居住或設立營業處所於歐盟之使用者提供此類處理服務,不問服務供應商是否設立於歐盟;以及居住或設立營業處所於歐盟之自然人或法人基於自身需要而為此類處理(Art.2(1))。2019年5月29日,歐盟執委會(European Commission)已按FFD Regulation第8(3)條規定,發布有關本規則與GDPR適用關係之指引[4] ,特別是在協助企業處理混合個人及非個人資料之資料集(data set)方面。
以非個人資料為規範客體
非個人資料之定義
FFD Regulation所規範之非個人資料係指GDPR第4(1)條定義以外者(Art.3(1)),亦即只要非為涉及已識別或可識別自然人之資料,均應適用 FFD Regulation 規定 。根據指引解釋,非個人資料之來源包括兩類(Guidance 2.1):
原本即與已識別或可識別自然人無關之資料,例如風力發電機上感測器所偵得的天氣狀況。
原本屬於個人資料,但嗣後經匿名化(anonymization)。
所謂之匿名化與假名化(pseudonymization)不同,前者即使結合其他資料(通常單獨保存且施以組織或技術性保護措施,例如加密),也無法指向特定自然人,故非屬於個人資料;相對地,後者一旦結合其他資料,仍可識別出資料主體,因而屬於GDPR定義之個人資料。不過,有朝一日如技術與資料分析的發展足以將匿名資料轉變為個人資料,即不再符合非個人資料之要件。
值得注意的是,個人資料原則上限於與自然人相關者,但若是法人名稱與自然人相同,或是聯絡資訊涉及已識別或可識別之自然人,仍應適用GDPR。
混合資料集之處理原則
資料集若同時包含個人資料與非個人資料,即屬於混合資料集(例如公司稅務記錄),原則上僅有後者適用FFD Regulation,但如兩者關係密不可分(inextricably linked),FFD Regulation則不得影響GDPR之適用(Art.2(2))。然何謂「密不可分」,FFD Regulation或GDPR均未加以定義,執委會認為得解釋為兩者資料無法分離,或是資料控管者認定分離係不具經濟效率或技術上不可行。而實際上,拆分資料集不僅可能大幅降低其經濟價值,隨著資料性質不斷變化,也將越難以明確區分彼此(例如健康資料)。無論如何,FFD Regulation與GDPR均未將拆分資料集、或分別處理個人資料及非個人資料規定為強制性義務(Guidance 2.2)。
以促進資料自由流通為宗旨
禁設資料在地化要求
FFD Regulation明文禁止資料在地化要求(data localization requirements),除非是基於公共安全需要且符合比例原則(Art.4(1))。資料在地化要求之範圍包括成員國的各種法律、法規、行政規定乃至於具一致性之一般行政慣例等規範,同時涵蓋直接及間接措施兩者:前者例如要求於特定地理區域儲存資料或遵循特定技術需求(如採用特定格式)之義務,後者則如要求使用經特定成員國驗證或核准之技術設施,或是導致在特定成員國境外處理資料受阻之規定。然而,指令2014/24/EU針對公共採購事務要求或禁止在特定區域處理資料,並不受FFD Regulation限制(Guidance 3.1)。
除排除資料流通之法律阻礙外,FFD Regulation亦規定各國主管機關如需執行監管任務,得請求或取用在其他成員國儲存或處理的非個人資料(Art.5(1))。
應留意的是,FFD Regulation並未規定企業義務,非個人資料處理之可行性只與個別企業如何選擇有關;再者,FFD Regulation亦未限縮企業的契約自由,其仍得自由選擇處理資料的地點[5] 。
公共安全之定義
依據FFD Regulation序文19說明,公共安全(public security)係包含成員國內外部安全以及公共安危(public safety)問題,特別是協助刑事犯罪調查、偵查與訴追之情形。其前提條件為,實際存在對任何社會基本利益造成真實且充分危害的嚴重威脅,例如對機構與社會基礎服務之運作、人口生存或軍事利益構成威脅,或是嚴重擾亂外交關係或各國和平共處情勢。各成員國如基於公共安全需要而預計制定新的在地化要求或修改既有規定,必須立即通知執委會(Art.4(2))。
個人資料亦有自由流通必要
實際上,不單是FFD Regulation,資料自由流通也是GDPR的規範宗旨之一:GDPR第1(3)條即規定,在處理個人資料方面,不得以保護自然人之相關理由限制或禁止該資料自由流通。縱使成員國非以保護自然人之理由制訂在地化要求(例如基於稅務監管需要),也必須依據歐盟運作條約(TFEU)所定之基本自由與允許縮減之正當理由以及服務指令(Services Directive)、電子商務指令(E-commerce Directive)等歐盟規範加以評估(Guidance 3.2)。
鼓勵發展資料轉移之行為準則
為使非個人資料發揮最大經濟效益,如何打破供應商鎖定(lock-in)慣例、維護資料可攜性(data portability)便至關重要。FFD Regulation第6條即建議制定歐盟層級的自律行為準則(self-regulatory codes of conduct),除應遵循透明化及互通性(interoperability)原則外,同時必須考量以下幾項重點(Guidance 4.1):
以結構化且常用之機器可讀格式,協助供應商轉換與資料轉移的最佳實務作法。
最低資訊要求,藉此確保專業使用者在簽訂契約前,即能獲得充分詳盡且明確的相關資訊,包括當使用者希望轉換成其他供應商或將資料轉移至自有IT系統時,所適用之流程、技術需求、時程表與費用。
提高雲端服務可比較性的驗證方案(certification scheme)方法。
提升行為準則意識的溝通藍圖。
前述自律行為準則係由雲端轉換暨資料轉移工作小組(The Cloud Switching and Porting Data Working Group, SWIPO)負責制定,預計涵蓋基礎架構即服務(IaaS)、平台即服務(PaaS)以及軟體即服務(SaaS)等三類雲端服務,2020年業已完成IaaS與SaaS行為準則[6] 。
結語
依據FFD Regulation第8(1)條,執委會應於近期向歐洲議會(European Parliament)、理事會(the Council)與歐洲經濟暨社會委員會(European Economic and Social Committee)提交報告,藉以評估其實踐成果。相較於GDPR廣受熱議,儘管FFD Regulation從制定之初便相對不受注目,但不難由此窺見歐盟逐步補完數位經濟未來各塊發展版圖的遠大抱負。
備註:
【本文僅反映專家作者意見,不代表本報立場。】
作者:
許慈真
學歷:
輔仁大學外語學院財經法律翻譯學程
輔仁大學法律學系博士
輔仁大學財經法律學系碩士
輔仁大學法律學系學士
專長:
智慧財產權、法律翻譯
Facebook
在北美智權報粉絲團上追踪我們
Please enable JavaScript to view the comments.