2018年12月10日，我國甫獲APEC 秘書處通知成為APEC跨境隱私保護規則（Cross-Border Privacy Rules, CBPRs）體系之成員，繼美國、墨西哥、日本、加拿大、南韓、及新加坡之後，成為第七個會員國，代表我國政府在個人資料保護上所做的努力已獲得國際認可。

因應新興通訊科技之發達，利用網際網路線上進行商務活動日趨增多，跨國企業為了擴大商業範圍，發展新型商業模式，經常需要跨國蒐集、傳輸與利用消費者的個人資料，以執行差別取價或精準行銷等商業策略。

由於個人資料的跨境流動已成為跨國企業的常態需求，為保護國民個人隱私的權利，許多國家紛紛制定個人資料保護的相關法規。

若各國對於個人隱私保護程度不一，各自為政，無疑是造成跨國數據資訊跨境流通的阻礙，並且形成數位資料保護落差，進而影響全球數位貿易發展。

本文所述之CBPRs與歐盟訂定的GDPRs也就在此背景下成為各國於跨境隱私保護之國際共通準則。

CBPRs的起源可追朔於APEC電子商務指導小組在2004年所通過的隱私保護綱領 （APEC Privacy Framework ），當中揭示個人資料保護原則，包含預防損害、告知、蒐集限制、個人資料的利用、當事人選擇、個人資料完整性、安全措施、查閱與更正及責任等九大隱私保護原則，並且在2011 年APEC領袖會議批准了CBPRs，隨即指示個人資料隱私權保護小組 （Data Privacy Subgroup，DPS）正式運作CBPRs。

我國則是在2016年APEC年會與2017年小組會議上表達加入之意願。

從跨境資料傳輸實務上來說，若一企業未來欲從我國發送具有消費者個人隱私等資料至其他國家時，該企業必須符合CBPRs的認證，才可將該資料傳輸至海外。

另一方面，若資料的接收方也必須具備CBPRs的認證，才可以接收該筆資料，此舉目的在於保護消費者個人資料不會因兩國政府對於資料保護存有法規落差，而產生個人資料遭受盜用與非法使用的風險。

從日本經驗來看，2016年12月才有第一間企業通過CBPRs認證申請，而有意願申請CBPRs認證又以需要大量傳輸跨境資料的跨國企業為主，欲普及至一般國內企業較有難度。

另外，日本的「個人情報保護法」也與CBPRs規定相符，也就是說進行跨國電子商務交易的買賣雙方，不符合CBPRs的認證，當然也就不符合日本國內的個人情報保護法，個人資料也就無法進行跨境轉移，將形成電子商務交易的障礙。

但CBPRs認證是APEC國家間共通標準，我國企業若能率先取得此一標準，對於提升企業形象將有助益，建議我國政府應可於未來積極推廣企業申請該認證，以強化我國於資料跨境傳輸保護之決心。

（作者是商業發展研究院傅中原）

原文刊登：108/01/08-經濟日報B5經營管理