銀行國際傳輸客戶資料保護規範--以英國法為中心 / The study of the regulations on the protection of international data transfers in U.K. banks

林詩韻, Lin, Shih Yun

Unknown Date

隨著資訊技術之快速發展及受到金融交易全球化之影響，在營運模式及法令遵循之需求下，使得銀行業將客戶個人資料跨境傳輸至其他國家之公務或非公務機關所產生之資料保護或對資訊隱私權衝擊等議題漸增。為調和不同國家間對於個人資料保護文化及規範程度之差異，各國及各國際組織間均致力於如何在不影響商業交易需要、個人資料隱私安全及資訊自由流通之前提下，經由適當法律規範對於資料管理者國際傳輸個人資料之行為，予以適當控管。 隱私權之概念雖起源於美國，惟現行各國對於個人資料國際傳輸保護規範仍以歐盟委員會於1995年發布之個人資料隱私保護指令（Directive 95/46/EC）最為重要且影響層面較大。在歐盟指令仍須各會員國將其轉化為國內法，始得有效執行之前提下，本研究以金融服務產業發展較為領先之國家—英國，以英國銀行業適用之個人資料國際傳輸保護規範為研究主題，所涉法規包括：歐盟指令、英國1998年資料保護法（Data Protection Act, DPA）及英國金融服務業適用之相關規範等。 研究結果發現，英國1998年資料保護法在參照歐盟指令之相關規範下，對於資料管理者將個人資料國際傳輸已訂有相關限制規定及如何符合相關豁免規定之作業流程及評估程序，英國專責資料保護之監理機關（資訊自由及保護委員會），並已依據歐盟指令，發布規定授權英國企業得採用標準契約範本及經其個案核准採用共同約束條款，顯示英國對於國際傳輸之個人資料已有一定程度之保障。惟如同歐盟委員會之研究報告所述，英國相對於歐盟其他會員國，並未將國際傳輸規範明訂於資料保護法之本文，對於當事人資訊隱私權保護之法律位階，仍有待加強。 不同於我國係於銀行法明定銀行對客戶資料之保密義務，英國法院認為銀行對於客戶資料之保密責任，原始存在於銀行與客戶間之契約。惟英國與我國相同於金融相關法令中僅針對銀行境外委外所涉之國際傳輸訂有相關監理規範（包括境外委外事先申請核准、申請程序及應檢附之文件），以透過銀行與委外服務供應商之委外契約，確保金融監理機關能跨國有效行使其監理權限，保護當事人之權益，至於銀行因非委外事項，將客戶資料跨境傳輸至其他國家時，仍應回歸適用資料保護法有關國際傳輸之相關規定。 本研究最後就我國與英國對於個人資料國際傳輸相關保護規範之比較結果發現，我國個人資料保護法雖已於99年修正發布（新個資法），但對於國際傳輸之限制規定，修法後雖已明定國際傳輸之定義及加重非公務機關違反國際傳輸規定之罰則，惟未修正其實質規範內容，仍僅授權中央目的事業主管機關於非公務機關有第21條所列四項情形之一時，得限制其進行國際傳輸。在新個資法下，非公務機關對於個人資料之國際傳輸，已無須取得目的事業主管機關登記，並取得執照，雖有利於資料之國際流通，惟為保護當事人個人資料於傳輸後之安全，我國是否尚須其他配套措施，以落實個人資料於國際傳輸層面之保障，值得深思。 本研究對於我國銀行業國際傳輸個人資料保護規範之主要建議，包括（1）宜透過各中央目的事業主管機關對被監理機構之監理及其與相關公益團體間之合作，以強化各界對於個人資料保護之重視，（2）國際傳輸之限制規定應予細緻化，並透過產業自治逐步達成個人資料保護之目的，（3）金融監理機關宜配合個人資料保護法之修正，訂定銀行業國際傳輸之作業規範，（4）宜透過租稅合作協定，在不違反我國個人資料保護法及銀行法之原則下，協助我國金融機構解決美國「外國帳戶稅收遵從法」之實施，衍生對於個人財務資訊隱私權及跨境傳輸個人資料保護之問題。

資訊隱私權

國際傳輸

個人資料保護

標準契約範本

共同約束條款

境外委外

information privacy

international transfer

personal data protection

Standard Contractual Clauses

Binding Corporate Rules

offshore outsourcing

APEC Cross-border Privacy Rules