
台灣正準備加入亞太經濟合作(APEC)的跨境隱私保護規則體系。
去年台灣(或APEC熟知的「中華台北」)宣布計劃準備加入成為跨境隱私保護規則(CBPR)體系的一員,目的在促進亞太地區的資料流通。一個國家要加入CBPR,其資料隱私保護法必須遵循一套共同的原則,並建立有效的執法機制。
一旦APEC經濟體被CBPR接受,該國的公司可能會申請其資安系統的認證。取得認證資格代表該公司可不受拘束的把資料轉移至其他參與CBPR的國家,無需額外提出遵守該國個資法規的證明。(跨國公司的子公司通常適用母公司的認證)。
21個APEC實體其中五個國家—美國、加拿大、墨西哥、日本和韓國,已加入CBPR,新加坡已遞交申請。除了台灣之外,還有菲律賓和越南已表達參與意願。被指定協調台灣CBPR準備工作而努力的經濟部國際貿易局多邊貿易組胡啟娟組長解釋:「對台灣這樣的貿易型經濟體來說,確保資料自由流通,支持日益增長的國際隱私保護趨勢至關重要。」。
胡啟娟說:「今年主要著重在能力建構。」,為此政府已開辦兩場國內研討會,向政府機構和私人單位成員在內的國內利害關係人介紹CBPR體系的運作。上個月台灣也舉辦了一場APEC國際研討會,為來自十九個APEC經濟體的隱私保護法專家與出席者,提供意見交流的機會。
明年的重點是加強中小企業對CBPR規定的意識。在其他市場,已通過CBPR認證的大多是大型企業,但在台灣,中小企業是經濟的主幹。胡啟娟說:「CBPR能降低中小企業在其他國家營運時所花費的法遵成本,他們也許無力支付巨額法律費用,但加入CBPR,能讓中小企業更快融入全球價值鏈。」
台灣正式申請加入CBPR時,需詳細說明未來執行主管機關或單位為何,美國的主管機關是聯邦貿易委員會。然而,台灣「個人資料保護法」(PIPA)的執法機關是依產業別各自屬於不同政府單位管轄,管電信公司的是國家通訊委員會,管醫院的是衛生福利部,管金融機構的是金融監督管理委員會等等。在提出申請前,台灣內部必須先協調,釐清每個機關的作用,確保體系運作良好。」
申請書中,台灣也要指定一個「當責機構」來驗證公司是否遵守CBPR。目前尚未決定是否任命既有的兩個已獲認證的當責機構:一家美國公司和一家日本公司,還是另行成立一個當責機構。
台灣完成準備工作沒有固定的時間表。胡啟娟說:「最重要的是把事情做好。」