歐盟個資跨境傳輸的護身符：採用標準契約條款 SCC 應對 GDPR 合規要求

在數位全球化的商業環境中，數據跨境流動是跨國企業運營的命脈。然而，隨著歐盟一般資料保護規則（GDPR）及各國隱私法規的緊縮，「如何合法地將個人資料傳輸至境外」成為法遵部門的重大挑戰。

如果希望在 GDPR 規範下進行資料的跨境傳輸，在台灣尚未取得歐盟適足性認定（Adequacy Decision）的情況下，「標準契約條款」（Standard Contractual Clauses，簡稱 SCC）是目前最實際也是普遍採用的合規工具（目前亞洲只有日本與韓國滿足適足性條件）。

一、 什麼是標準契約條款（SCC）？

標準契約條款（SCC）是一套由監管機關（歐盟執委會）預先核准的契約模版。其核心目的在於透過契約義務的拘束力，確保個人資料流出受監管領域（如歐盟）後，在接收國（如台灣、美國、中國）仍能受到「實質等同」的保護。

根據 GDPR 第 46 條規定，若資料傳輸至未獲適足性認定的第三國，控制者或處理者必須提供「適當的保障措施」。簽署歐盟執委會通過的 SCC，即被視為滿足此項要求的主要途徑。SCC 不僅是商業契約，更具有強烈的法規監管性質，例如其具備以下特色：

1. 不可修改原則： 企業在使用 SCC 時，原則上不得修改其核心條款（可以納入更廣泛之合約中，或增加其他條款或保障措施，但不能牴觸 SCC 原意）。
2. 第三人受益權： 除了部分例外款項，SCC 賦予資料當事人（Data Subject）直接向資料接收方（Importer）主張權利的資格，即使當事人並非該契約的簽署方。

二、 歐盟新版 SCC 的模組化架構

歐盟執委會於 2021 年發布新版 SCC (EU) 2021/914，採用了「模組化」（Modular）設計，以適應複雜的現代數據處理鏈。但在選擇模組之前，必須先釐清 GDPR 定義下的兩種關鍵角色，因為模組的選擇完全取決於輸出方與接收方的法律身分：

1. 資料控制者（Controller）： 指單獨或共同決定個人資料處理之「目的」與「手段」的單位。通常是對資料擁有主導權的一方（例如：決定蒐集客戶資料做行銷的品牌商）。
2. 資料處理者（Processor）： 指代表控制者，依其指示進行個人資料處理的單位。其對資料沒有自主決定權，僅能執行委託內容（例如：受託儲存資料的雲端服務商、受託發送薪資的會計事務所）。

除了基本的共通條款以外，企業必須根據上述角色與實際數據流向，在個別的權利義務約定條款上選擇正確的模組：

（一） 模組一：控制者傳輸予控制者（C2C）

適用於兩個獨立的資料控制者之間的傳輸，雙方雖然有商業合作，但各自獨立決定如何利用手上的資料，互不隸屬。例如：一家德國自駕車新創（歐盟控制者）與一家台灣 AI 晶片大廠（非歐盟控制者）簽署共同開發協議，並且相互提供資料，而兩家公司分別基於自己的專案管理目的處理這些資料。

（二） 模組二：控制者傳輸予處理者（C2P）

這是最常見的場景，適用於控制者將資料委外處理的標準委外服務，供應商僅能依照指示處理資料，不能拿來做自己的生意。例如：一家法國大型零售商（歐盟控制者）委託位於台灣的供應鏈管理軟體公司（非歐盟處理者）進行全球庫存優化。

（三） 模組三：處理者傳輸予處理者（P2P）

通常適用於再委託情境。例如：一家位於荷蘭的全球貨運承攬商（歐盟處理者）受客戶委託處理貨物運送。為了完成將貨物送往亞洲客戶手中的任務，該荷蘭公司將收件人資料轉傳給位於新加坡的在地物流車隊（非歐盟次處理者）進行最後一哩路配送。

（四） 模組四：處理者傳輸予控制者（P2C）

適用於處理者將資料回傳給控制者，或傳輸給控制者指示的對象。常見適用情境例如海外公司委託歐盟廠商服務，並於服務完成後將資料回傳。此模組依據資料來源分為兩種狀況：

• 狀況 A（純回傳）：一家台灣電子大廠（非歐盟控制者）將其台灣員工資料傳給愛爾蘭的薪資計算公司（歐盟處理者）。當愛爾蘭公司計算完畢將資料單純傳回台灣時，適用此模組。
• 狀況 B（混合歐盟資料）：一家台灣自行車品牌（非歐盟控制者）委託義大利的市場調查公司（歐盟處理者）進行歐洲消費者偏好分析。義大利公司在歐洲當地蒐集了消費者問卷，並結合台灣公司提供的基礎資料，彙整後傳輸給台灣公司。此種情形因涉及「在歐盟境內蒐集之資料」的傳出，故除了簽署模組四外，仍須執行法律環境評估與政府調取應對之相關規範（詳見下述說明）。

三、 雙方當事人的核心義務與跨境規範

在簽署 SCC 時，企業必須清楚理解條款中所賦予的實質權利義務，尤其需要確認該項合作關係中所適用的模組。以下依據 (EU) 2021/914 之規範，解析控制者與處理者在契約關係中的關鍵責任（以最常見的 C2P 模組二為例）：

（一） 資料保護保障措施

1. 指示權與合規通知： 資料接收方（Importer）僅能依照資料輸出方（Exporter）的「文件化指示」處理資料。不過這不代表接收方只需奉命行事即可；接收方亦負有確認合規之義務，若認為指示違反 GDPR 或當地法規，即有義務「立即通知」輸出方。
2. 目的限制： 除了特定例外，接收方僅得為附錄 I.B 中載明的特定目的處理資料。
3. 安全性與敏感資料保護：雙方必須實施適當的技術與組織措施（TOMs）並具體列於附錄 II，包括加密、假名化等措施以確保資料安全，且接收方應定期檢查措施的有效性。若傳輸涉及種族、政治觀點、健康、生物特徵等敏感資料，接收方應適用附錄 I.B 中特定的限制或額外的保障措施。
4. 次處理者的轉委託：
   • 授權模式： 接收方若要轉包，需取得輸出方的「事前特定書面授權」或「一般書面授權」。前者較為嚴謹，接收方每次新增或更換次處理者前，均須取得輸出方之特定書面同意，適用於對資料流向需高度掌控之情境（如金融、醫療數據）；後者則是讓接收方獲概括性授權，僅須於變更次處理者前一定期間（如 14 天）通知輸出方，使其有權行使異議權即可，適用於如供應鏈複雜之雲端服務。
   • 責任承擔： 處理者需與次處理者簽署書面契約，確保提供同等保護，並對次處理者的行為向控制者負完全責任。

（二） 法律環境評估與政府調取應對

這是 2021/914 版 SCC 最重要的更新，內容包含：

1. 當地法律影響評估：雙方在傳輸前必須進行傳輸影響評估（Transfer Impact Assessment），保證其「無理由相信」接收國的法律（如過度的監控法）會阻礙接收方履行 SCC 義務。這需要考量具體傳輸情境及適用的保障措施，且這項評估必須作成書面記錄以備主管機關查核。
2. 補充措施：若評估發現接收國法律保障不足，企業必須採行額外措施。例如技術性（如端對端加密）或組織性的補充措施。若無法透過補充措施確保資料安全，企業必須停止傳輸。
3. 政府調取資料時的義務： 若接收方收到公權力機關（含司法機關）具有法律拘束力的調取要求，必須立即通知輸出方，如可能亦應通知當事人。若法律禁止通知，應盡力爭取豁免，同時審查該調取要求之合法性。若有合理理由認為該要求違法（依據當地法律或國際法原則），必須提出挑戰並盡可能上訴。

（三） 責任歸屬與合約終止機制

1. 責任：雙方對因違反 SCC 而造成的損害，需對另一方負責。且雙方皆應對個資當事人因違反第三人受益權而遭受的損害負責，再依內部責任分擔追償。
2. 違約與終止：若接收方無法遵守 SCC，輸出方應暫停傳輸。更有甚者，若違約持續或屬重大違約，輸出方有權終止合約，並要求接收方返還或刪除資料。

四、 台灣法律視角下的契約義務

雖然台灣個人資料保護法（個資法）尚未如歐盟般發布官方版的 SCC 模版，但在實務運作上，契約仍是跨境傳輸合規的核心。

（一） 限制國際傳輸命令

個資法第 21 條賦予主管機關在特定情形下（如接受國對個資保護未完善）限制國際傳輸的權力。雖然目前主管機關僅針對部分產業較少主動發布限制命令，但企業若未能證明已採取適當保護措施，在發生外洩事件時仍將面臨極高的法律風險。

（二） 委外監督義務

當企業將個資跨境傳輸給受託者（Processor）時，依個資法施行細則第 8 條規定，委託人應對受託人為適當之監督。簽署一份具備完整保護條款（參考歐盟 SCC 標準）的合約，是履行此項法定監督義務的最佳證明。

五、 結論：企業的策略選擇

除了歐盟 GDPR 外，隨著英國、中國及東協（ASEAN）相繼推出專屬的跨境傳輸規範，「標準契約」已逐漸成為全球數據治理的通用工具。

雖然導入新版 SCC 及執行 TIA 的前置作業繁瑣，勢必需要投入法遵成本，但這確實是確保跨國數據流動合法性的實際手段。建議企業將此視為必要的「數位基礎建設」，主動盤點內部的數據地圖，並針對不同的傳輸路徑（如歐盟、英國或中國）建立模組化的契約範本庫，進而以最低的變動成本，靈活應對全球日益嚴格的監管挑戰。