個資跨境傳輸的護身符：採用標準契約條款 SCC 應對跨境傳輸合規限制

在數位全球化的商業環境中，數據跨境流動是跨國企業運營的命脈。然而，隨著歐盟一般資料保護規則（GDPR）及各國隱私法規的緊縮，「如何合法地將個人資料傳輸至境外」成為法遵部門的重大挑戰。

在尚未取得適足性認定（Adequacy Decision）或未導入跨境隱私規則（CBPR）的情況下，「標準契約條款」（Standard Contractual Clauses，簡稱 SCC）是目前國際間最普遍採用的合規工具。

一、 什麼是標準契約條款（SCC）？

標準契約條款（SCC）是一套由監管機關（最典型為歐盟執委會）預先核准的契約模版。其核心目的在於透過契約義務的拘束力，確保個人資料流出受監管領域（如歐盟）後，在接收國（如台灣、美國、中國）仍能受到「實質等同」的保護。

根據 GDPR 第 46 條規定，若資料傳輸至未獲適足性認定的第三國，控制者或處理者必須提供「適當的保障措施」。簽署歐盟執委會通過的 SCC，即被視為滿足此項要求的主要途徑。SCC 不僅是商業契約，更具有強烈的法規監管性質，例如其具備以下特色：

1. 不可修改原則： 企業在使用 SCC 時，原則上不得修改其核心條款（可以納入更廣泛之合約中，或增加其他條款或保障措施，但不能牴觸 SCC 原意）。
2. 第三人受益權： 除了部分例外款項，SCC 賦予資料當事人（Data Subject）直接向資料接收方（Importer）主張權利的資格，即使當事人並非該契約的簽署方。

二、 歐盟新版 SCC 的模組化架構

歐盟執委會於 2021 年發布新版 SCC (EU) 2021/914，採用了「模組化」（Modular）設計，以適應複雜的現代數據處理鏈。但在選擇模組之前，必須先釐清 GDPR 定義下的兩種關鍵角色，因為模組的選擇完全取決於輸出方與接收方的法律身分：

1. 資料控制者（Controller）： 指單獨或共同決定個人資料處理之「目的」與「手段」的單位。通常是對資料擁有主導權的一方（例如：決定蒐集客戶資料做行銷的品牌商）。
2. 資料處理者（Processor）： 指代表控制者，依其指示進行個人資料處理的單位。其對資料沒有自主決定權，僅能執行委託內容（例如：受託儲存資料的雲端服務商、受託發送薪資的會計事務所）。

除了基本的共通條款以外，企業必須根據上述角色與實際數據流向，在個別的權利義務約定條款上選擇正確的模組：

（一） 模組一：控制者傳輸予控制者（C2C）

適用於兩個獨立的資料控制者之間的傳輸。例如：台灣總公司（控制者）蒐集歐洲客戶資料，傳輸給日本子公司（亦為控制者）進行獨立的行銷利用。

（二） 模組二：控制者傳輸予處理者（C2P）

這是最常見的場景。適用於控制者將資料委外處理。例如：法國電商公司（控制者）將客戶資料傳輸給台灣的雲端服務供應商（處理者）進行儲存或分析。

（三） 模組三：處理者傳輸予處理者（P2P）

適用於再委託（Sub-processing）情境。例如：台灣的雲端服務商（處理者）為完成控制者指示之任務，將資料進一步傳輸給位於美國的 AI 分析公司（次處理者）進行受託之運算服務。

（四） 模組四：處理者傳輸予控制者（P2C）

適用於處理者將資料回傳給控制者，或傳輸給控制者指示的對象。這通常發生在非歐盟處理者受歐盟控制者委託，需將資料回傳的情境。

三、 雙方當事人的核心義務與跨境規範

在簽署 SCC 時，企業必須清楚理解條款中所賦予的實質義務。以下依據 (EU) 2021/914 之規範，解析控制者與處理者在契約關係中的關鍵責任（以最常見的 C2P 模組二為例）：

（一） 資料保護保障措施（Data protection safeguards）

1. 指示權與合規通知： 資料接收方（Importer）僅能依照資料輸出方（Exporter）的「文件化指示」處理資料。不過這不代表接收方只需奉命行事即可；接收方亦負有確認合規之義務，若認為指示違反 GDPR 或當地法規，即有義務「立即通知」輸出方。
2. 目的限制： 除了特定例外，接收方僅得為附錄 I.B 中載明的特定目的處理資料。
3. 安全性與敏感資料保護：雙方必須實施適當的技術與組織措施（TOMs）並具體列於附錄 II，包括加密、假名化等措施以確保資料安全，且接收方應定期檢查措施的有效性。若傳輸涉及種族、政治觀點、健康、生物特徵等敏感資料，接收方應適用附錄 I.B 中特定的限制或額外的保障措施。
4. 次處理者的轉委託：
   • 授權模式： 接收方若要轉包，需取得輸出方的「事前特定書面授權」或「一般書面授權」。前者較為嚴謹，接收方每次新增或更換次處理者前，均須取得輸出方之特定書面同意，適用於對資料流向需高度掌控之情境（如金融、醫療數據）；後者則是讓接收方獲概括性授權，僅須於變更次處理者前一定期間（如 14 天）通知輸出方，使其有權行使異議權即可，適用於如供應鏈複雜之雲端服務。
   • 責任承擔： 處理者需與次處理者簽署書面契約，確保提供同等保護，並對次處理者的行為向控制者負完全責任。

（二） 當地法律與政府調取資料的特別規範（Schrems II 條款）

這是 2021/914 版 SCC 最重要的更新，內容包含：

1. 當地法律影響評估： 雙方保證其「無理由相信」接收國的法律（包括要求揭露數據的法律）會阻礙接收方履行 SCC 義務。這需要考量具體傳輸情境及適用的保障措施。
2. 政府調取資料時的義務： 若接收方收到公權力機關（含司法機關）具有法律拘束力的調取要求，必須立即通知輸出方，如可能亦應通知當事人。若法律禁止通知，應盡力爭取豁免，同時審查該調取要求之合法性。若有合理理由認為該要求違法（依據當地法律或國際法原則），必須提出挑戰並盡可能上訴。

（三） 責任歸屬與合約終止機制

1. 責任：雙方對因違反 SCC 而造成的損害，需對另一方負責。且雙方皆應對個資當事人因違反第三人受益權而遭受的損害負責，再依內部責任分擔追償。
2. 違約與終止：若接收方無法遵守 SCC，輸出方應暫停傳輸。更有甚者，若違約持續或屬重大違約，輸出方有權終止合約，並要求接收方返還或刪除資料。

四、 關鍵警示：簽了 SCC 可能還不夠？傳輸影響評估（TIA）的重要性

許多企業誤以為只要簽署了 SCC 文件即完成合規，這是在 Schrems II 判決後最大的法遵誤區。歐盟法院明確指出，單純簽署 SCC 可能不足以滿足充分保護。因此，在使用 SCC 時，必須同步進行 「傳輸影響評估」（Transfer Impact Assessment, TIA）：

1. 法律環境評估： 評估接收國的法律是否符合民主社會之必要性與比例性。
2. 補充措施（Supplementary Measures）： 若評估後發現風險，必須採取技術性（如端對端加密）、契約性或組織性的補充措施，以彌補保護力的不足。若無法透過補充措施確保資料安全，企業必須停止傳輸。

五、 台灣法律視角下的契約義務

雖然台灣個人資料保護法（個資法）尚未如歐盟般發布官方版的 SCC 模版，但在實務運作上，契約仍是跨境傳輸合規的核心。

（一） 個資法第 21 條的限制權

個資法第 21 條賦予主管機關在特定情形下（如接受國對個資保護未完善）限制國際傳輸的權力。雖然目前主管機關僅針對部分產業較少主動發布限制命令，但企業若未能證明已採取適當保護措施，在發生外洩事件時仍將面臨極高的法律風險。

（二） 委外監督義務（個資法細則第 8 條）

當企業將個資跨境傳輸給受託者（Processor）時，依個資法施行細則第 8 條規定，委託人應對受託人為適當之監督。簽署一份具備完整保護條款（參考歐盟 SCC 標準）的合約，是履行此項法定監督義務的最佳證明。

六、 結論：企業的策略選擇

在跨境傳輸的合規工具箱中，SCC 與 CBPR 各有其戰略地位：

1. CBPR（跨境隱私規則）： 適合用於 Global CBPR Forum 成員經濟體（如美國、日本、台灣）間的跨境傳輸，具備一站式認證的便利性，且更能展現企業的主動當責形象。此部分說明可以參考本所相關文章。
2. SCC（標準契約條款）： 除了歐盟 GDPR 外，英國、中國、東協（ASEAN）等司法管轄區亦推出了各自的標準契約條款，適合自各司法管轄區進行境外傳輸時使用。雖然簽署成本較高且需進行 TIA，但其適用範圍最廣，是國際間最基礎的合規工具，跨國企業在簽署時可以針對不同傳輸路徑採用對應的版本。

對於佈局全球的科技企業，建議採行「雙軌並進」策略：在 Global CBPR Forum 成員經濟體間利用 CBPR 降低合規摩擦成本；針對歐盟及其他採行標準契約制度的司法管轄區（如英國、中國），則應選用對應版本的 SCC 並備妥 TIA 評估報告，以構建無懈可擊的法律防護網。