什麼是CBPRs?
APEC遵循CBPR所建立的運作架構則稱為跨境隱私規則體系(Cross-Border Privacy Rules System, CBPRs)。我國在美方促請下於2018年正式加入CBPRs。
國家發展委員會與CBPR之關係?
國家發展委員會(下稱國發會)為達成我國參與APEC之經貿與外交任務,關注國際數位經濟發展非常重視隱私保護趨勢,主責我國於2018年加入APEC CBPRs之推動事宜。
CBPR VS. GDPR
CBPR是APEC參與其體系會員體之間的國際隱私法遵標準。我國加入該體系後,已有遵守與承諾之義務。
GDPR則是歐盟所制訂適用於歐洲經濟區(European Economic Area, EEA)之國際隱私法遵標準。我國尚處於洽談適足性認定中,如未來通過認定,則國內企業與歐盟資料傳輸無須再取得。
應注意兩者目前於跨境傳輸並不通用。
CBPR如何運作?
CBPR是國際級驗證,且為我國政府參與APEC對於隱私保護之共同承諾。是APEC推動數位經濟發展基礎重要的一環。
CBPR透過參與的APEC會員體共同建立國際隱私法遵一致性的要求,並藉由各國指定之當責機構(Accountability Agent, AA)對企業或組織進行驗證。
CBPR可證明企業或組織對資料或個資管理的重視與能力,建構合規資料自由流通的信賴環境,促進商務貿易往來。
除了美國、臺灣,還有哪些國家認可CBPR?
APEC在2011年正式實施CBPR之後,已有不少國家陸續加入成為會員,至今除了我國之外,還有美國、墨西哥、加拿大、日本、韓國、新加坡、澳洲、菲律賓,共9個會員。全體CBPR成員貿易總額佔全球39%。
我國則是在2018年加入CBPR。成為會員後,我國國家發展委員會與隱私執法機關共同指定資策會,並由國家發展委員會指導及協助資策會申請作為CBPR認證的當責機構。
2021年6月3日終於獲得APEC認准,成為繼美國、日本、新加坡、南韓之後,第5個擁有當責機構的APEC會員體。
國際上亦有非APEC會員體支持CBPR,如百慕達等。未來也將持續有其他國家加入。
什麼是AA?
AA是指當責機構,全稱是「Accountability Agent」。
目前全球有5個國家擁有AA,共9個AA,分屬於我國、美國、日本、韓國、新加坡等國。
AA可能是政府機關或法人組織,必須由所屬國家隱私執法機關(Privacy Enforcement Authority, PEA)推薦,向CBPRs聯合監督小組(Joint Oversight Panel, JOP)申請,經APEC DESG審查通過後取得資格。
國家發展委員與AA的關係?
按CBPR要求,國發會與我國15個隱私執法機關以經濟部TPIPAS寶貴的建置經驗為由,共同指定及推薦資策會擔任我國AA。並由國發會協助及指導資策會完成申請,公私協力推動CBPR在我國落實,展現我國奠定國內企業數位轉型法遵基礎,參與APEC數位經貿活動之決心。
隱私執法機關與AA的關係?
按CBPR要求,國發會與我國15個隱私執法機關以經濟部TPIPAS寶貴的建置經驗為由,共同指定及推薦資策會擔任我國AA。
AA的任務是什麼?
AA主要任務是完成企業驗證(Certification)的執行,推動APEC CBPR此一標準的落實。
資策會科法所未來也將積極參與國際隱私活動,關注及研究國際隱私法制動向與最新發展,以利我國行政機關與私人企業之準備。
我國有哪些AA?
我國第一個AA為財團法人資訊工業策進會,亦為全球第九個AA。因長年維運經濟部臺灣個人資料保護與管理制度(TPIPAS),受國家發展委員會與國內隱私執法機關於2019年推薦參加申請,並於2021年6月3日取得資格生效。