本文導讀

第　壹　章

我國 vs 歐盟 · 兩種跨境哲學

從相對寬鬆到嚴格管制

21條

我國跨境條文

個資法第 21 條:四種情況可限制非公務機關國際傳輸

45條

GDPR 跨境核心

GDPR 第 45-49 條:適足性決定、SCC、BCR、特殊例外

4%

GDPR 違反罰金

全球年營業額 4% 或 2,000 萬歐元(較高者)

我國個資法

第 21 條 · 相對寬鬆

• —原則:可跨境傳輸,主管機關可在四種情況限制
• —四種限制:國家重大利益、國際條約、接收國保護不完善、迂迴規避
• —實務:對中國大陸特定行業(電信、金融)有限制
• —當事人保護:依第 8 條告知義務(含跨境傳輸事項)

歐盟 GDPR

第 45-49 條 · 嚴格管制

• —原則:傳輸至歐盟外需有合法基礎
• —基礎:適足性決定、SCC(標準契約條款)、BCR(企業約束規則)、特殊例外
• —Schrems II 案後:即使有 SCC,仍需個案評估接收國法律
• —違反罰金:全球年營業額 4% / 2,000 萬歐元

第　貳　章

GDPR 四大跨境機制

適足性、SCC、BCR、特殊例外

第　參　章

企業合規的四步驟

從盤點到告知的完整路徑

STEP I

資料流向盤點

盤點所有 AI 與 SaaS 服務的伺服器所在地、資料類型、流向。

STEP II

適用法律識別

判定哪些國家的法律適用(我國 + 歐盟 GDPR + 其他可能的目標市場法律)。

STEP III

機制選擇

依適用法律選擇合法基礎(SCC、BCR、本地伺服器、適足性決定地)。

STEP IV

告知與更新

在隱私政策明確告知跨境傳輸,定期檢視法律與服務變更。

第　肆　章

結語 · 下一篇:DPO 制度

Q.　我用 ChatGPT 處理客戶個資,算跨境傳輸嗎?

A.　算。ChatGPT 預設將資料傳至 OpenAI 的美國伺服器處理。屬個資法第 21 條意義下的「國際傳輸」。建議:第一,評估資料敏感度;第二,選擇企業版(可關閉訓練、提供 DPA);第三,在隱私政策中明確告知跨境傳輸;第四,評估改用本地部署 AI 模型(若資料極敏感)。

Q.　台灣企業服務歐盟客戶,需要管 GDPR 嗎?

A.　需要。GDPR 採域外效力,只要處理歐盟居民個資皆適用,不論企業設立地。實務:第一,評估歐盟使用者實際情況;第二,做完整 GDPR 合規(隱私政策、當事人權利機制、跨境傳輸機制、可能需要設置 EU Representative);第三,違反罰金嚴重(全球營業額 4% / 2,000 萬歐元)。建議委請熟悉 GDPR 的律師團隊規劃。

Q.　Schrems II 後,SCC 還有效嗎?

A.　仍有效但不是萬靈丹。Schrems II 案後,使用 SCC 須個案評估接收國法律是否實質保障 GDPR 等級。對美國(因 Section 702 監聽法等),需採額外保障(加密、匿名化、分散儲存等)。對其他國家,需逐案評估。建議:不要單純依賴 SCC,須結合技術與組織措施。

Q.　BCR 與 SCC 哪個適合我?

A.　視企業規模與架構:SCC 適合中小企業 / 與單一接收方的單次傳輸;BCR 適合跨國集團內部、需長期傳輸至多個國家。BCR 程序複雜(需歐盟主管機關核准,通常 1-2 年),但一旦取得可在集團內統一適用。

Q.　怎麼確認我的雲端服務的伺服器在哪?

A.　看服務商提供的資料處理協議(DPA)與區域選擇。多數主流雲端(AWS、Azure、GCP)允許客戶選擇資料中心區域,並提供完整的合規文件。建議:第一,索取 DPA;第二,檢查 sub-processor 清單(可能涉及第四方);第三,在合約中明確區域限制。