某個下午,台北總部收到中國子公司的資安通報:內部人力資源(Human Resources, HR)系統疑似遭入侵,受影響資料包含台灣派駐人員、中國當地員工,以及少量歐洲子公司借調員工資料。

這時候,問題不只是「要不要通知當事人」。法務、資安與人資很快會被一串更麻煩的問題追著跑:中國子公司把員工資料同步回台灣,是不是符合中國《個人信息保護法》(Personal Information Protection Law, PIPL)的資料出境規則?歐洲借調員工資料曾經傳到台灣總部,當時有沒有歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)的傳輸工具?台灣母公司把資料放在新加坡雲端區域,是否觸發新加坡《個人資料保護法》(Personal Data Protection Act, PDPA)或其他供應商所在地的要求?如果外洩發生在跨國系統,通報時鐘要從哪一個法域開始算?

跨境資料傳輸的難點,從來不是「資料有沒有出國」這麼簡單。真正困難的是:同一筆資料,在不同方向、不同角色、不同目的下,可能同時落入好幾套規則。

一、釐清三個常見誤解

1. 台灣沒有取得歐盟充分性決定

先說最容易誤用的一點:截至 2026 年,歐盟(European Union, EU)執委會公布的 GDPR 充分性決定名單中,沒有台灣。

這件事很關鍵。GDPR 的充分性決定,處理的是「從歐盟或歐洲經濟區(European Economic Area, EEA)把個人資料傳到第三國」時,第三國是否已被歐盟認定有足夠保護水準。如果沒有充分性決定,歐盟端的資料輸出者通常要回到 GDPR 第 46 條的適當保障工具,例如 2021 年版歐盟標準合約條款(Standard Contractual Clauses, EU SCCs)、具拘束力企業準則(Binding Corporate Rules, BCR),或少數特定情形下的第 49 條例外。

所以,對台灣企業來說:

  • 歐盟子公司把員工、客戶或使用者資料傳回台灣總部,通常不能寫成「依歐盟-台灣充分性決定」。
  • 台灣母公司把資料傳到歐盟,主要先看台灣個資法第 21 條與資料處理本身的合法性;如果歐盟收受端本來就是 GDPR 主體,也會有自己的 GDPR 義務。
  • 如果台灣公司直接向歐盟資料主體提供商品服務或監測其行為,還要另外評估 GDPR 第 3 條的域外適用問題。

換句話說,「資料從哪裡傳到哪裡」不能省略。跨境傳輸的合規工具,永遠跟傳輸方向綁在一起。

2. 台灣第 21 條不是充分性制度,也不是標準合約條款制度

台灣《個人資料保護法》第 21 條採取的是限制型規範。非公務機關為國際傳輸個人資料時,主管機關得在四種情形下限制傳輸:涉及國家重大利益、國際條約或協定有特別規定、接受國保護不足致有損當事人權益之虞,或以迂迴方法規避本法。

這個設計跟 GDPR 很不一樣。台灣沒有歐盟式的充分性白名單,也沒有一般性強制 SCC;企業在多數日常傳輸中,也不需要先向主管機關備案。但這不代表企業可以不留文件。第 21 條只回答「主管機關什麼時候可以限制傳輸」,並沒有免除第 5 條比例原則、第 8 條告知、第 19 條蒐集處理依據、第 20 條利用範圍、第 4 條及施行細則第 8 條委外監督,以及相關安全維護要求。

實務上,我會建議把台灣第 21 條當成最低底線,不要當成完整合規方案。尤其是跨國集團的人資、客戶資料、雲端備份、客服錄音、醫療資料或金融資料,只靠一句「台灣沒有禁止跨境傳輸」是不夠的。

3. 日本版模型契約條款是政策方向,不是已可直接簽的工具

日本個人情報保護委員會(Personal Information Protection Commission, PPC)在 2026 年 4 月 1 日發布的《全球策略》(Global Strategy),確實提到會推動全球模型契約條款(Global Model Contractual Clauses),並研究日本版模型契約條款(Japan Model Contractual Clauses, Japan MCCs),且會參考 EU SCCs、東南亞國家協會(Association of Southeast Asian Nations, ASEAN)的模型契約條款(ASEAN Model Contractual Clauses, ASEAN MCCs)等既有框架。

但這仍是政策方向與規劃,不是已正式生效、企業今天就能拿來取代既有日本《個人情報保護法》(Act on the Protection of Personal Information, APPI)跨境傳輸要求的合約工具。台灣企業在日本有子公司或客戶,可以開始追蹤 Japan MCCs,但不應把它寫進合約當作已存在的法定傳輸機制。

同樣要小心的是,日本 2026 年「三年一度檢討」中關於臉部特徵資料、opt-out 限制與行政制裁的改革方向。截至 2026 年 5 月 1 日,這些是明確的修法方向與法案進程,不應寫成已全面生效的制度。

二、台灣企業應先畫出「傳輸方向」

很多跨境傳輸盤點會一開始就問:「要不要簽 SCC?」這個問題太快了。正確順序應該先問:資料從哪個法域出去、傳到哪裡、誰是輸出者、誰是接收者、接收者是控制者還是處理者。

傳輸方向 主要判斷 常見工具或處理方式
EU/EEA → 台灣 台灣未取得 GDPR 充分性決定 EU SCCs、BCR,或少數第 49 條例外;通常還要做傳輸影響評估(Transfer Impact Assessment, TIA)
台灣 → EU/EEA 台灣端看個資法第 21 條及處理合法性;EU 端看 GDPR 角色義務 台灣法不要求 SCC,但合約仍應處理控制者/處理者、資安、事件通報與刪除
英國(United Kingdom, UK)→ 台灣 台灣不是英國充分性目的地 英國國際資料傳輸協議(International Data Transfer Agreement, IDTA),或英國增補條款(UK Addendum)加 EU SCCs
中國 → 台灣總部 看 PIPL、中國國家互聯網信息辦公室(Cyberspace Administration of China, CAC)資料出境規定與是否符合 HR 管理例外 可能免申報,但仍須告知、單獨同意、個保影響評估;達門檻時用標準合約、認證或安全評估
台灣 → 中國供應商 台灣端看第 21 條、委外監督與資安;中國端看接收後處理規範 合約要明確處理目的、保存、刪除、再委外與事件通報
日本 → 台灣 APPI 對外國第三方提供有同意或相當措施等要求 追蹤 Japan MCCs,但目前仍依 APPI 現行規則處理
新加坡 → 台灣 PDPA 的移轉限制義務(Transfer Limitation Obligation) 確保境外接收方提供可比保護,通常透過合約、集團政策與安全措施
巴西 → 台灣 巴西《一般資料保護法》(Lei Geral de Proteção de Dados, LGPD)與巴西國家資料保護局(Autoridade Nacional de Proteção de Dados, ANPD)19/2024 國際傳輸規則 ANPD 已核准標準契約條款,不能再寫成「尚無官方 SCC」
越南 → 台灣 越南第 13/2023/ND-CP 號個資保護法令(Decree 13/2023/ND-CP)要求跨境傳輸影響評估文件 準備傳輸影響評估文件(transfer impact assessment dossier),並依規定送交公安部門

這張表的重點不是背誦所有法域,而是避免把「接收資料」誤以為一定比較輕鬆。很多台灣總部其實是海外子公司的資料接收者;一旦海外法把台灣視為第三國,總部就會被迫配合海外輸出者的傳輸工具。

三、資料在地化:不是只有中國才有

跨境傳輸合規的第一個基本問題,是資料實際放在哪裡。資料在地化可以粗略分成三類。

第一類是強制或近似強制的境內儲存。中國對關鍵資訊基礎設施運營者(Critical Information Infrastructure Operator, CIIO)有境內儲存與安全評估要求;部分國家的公共部門、金融、電信或重要基礎設施資料,也可能有境內保存或本地資料中心要求。

第二類是門檻觸發型。中國在 2024 年《促進和規範資料跨境流動規定》後,對一般資料處理者的門檻已經調整:非 CIIO 自當年 1 月 1 日起,向境外提供不滿 10 萬人一般個人信息且不含敏感個人信息,可能免於安全評估、標準合約或認證;10 萬人以上、不滿 100 萬人一般個人信息,或不滿 1 萬人敏感個人信息,通常走標準合約或認證;100 萬人以上一般個人信息或 1 萬人以上敏感個人信息,則進入安全評估。實施跨境人力資源管理且符合依法制定的勞動規章制度、集體合同等條件者,也有特定豁免空間,但並不免除告知、單獨同意、個保影響評估等 PIPL 基本義務。

第三類是不強制在地化,但要求傳輸保障。EU/UK GDPR、新加坡 PDPA、巴西 LGPD、瑞士新版《聯邦資料保護法》(revised Federal Act on Data Protection, nFADP)、泰國《個人資料保護法》、澳洲隱私法與台灣個資法,大多落在這一類。資料可以跨境,但要有充分性、SCC、BCR、認證、同意、合約或其他法定工具支撐。

台灣企業最容易犯的錯,是只在採購雲端服務時填「資料中心區域」,卻沒有同步管理「遠端存取地點」。資料放在新加坡,不代表只有新加坡的人能接觸;越南客服、中國工程師、日本委外商或美國母集團管理員,只要能讀取個人資料,都可能變成跨境傳輸或境外處理問題。

四、SCC 不是萬靈丹,但沒有文件更糟

跨境傳輸常用工具大致可以分成四種:充分性或白名單、標準合約條款、企業內部規則或認證、特定例外或同意。不同法域用語不同,但管理邏輯差不多:你要能說明資料為什麼能出境、誰負責保護、當事人出了事找誰。

歐盟標準合約條款與英國 IDTA

歐盟 2021 年版 SCCs 是目前最常用也最成熟的跨境傳輸合約工具。它採四模組架構,分別處理控制者對控制者、控制者對處理者、處理者對處理者、處理者對控制者。第 14 條(Clause 14)要求雙方評估目的地國法律與實務是否會影響條款履行,這也是企業常說的 TIA。

英國脫歐後,英國資訊專員辦公室(Information Commissioner’s Office, ICO)推出 IDTA 與 UK Addendum。若同一個供應商同時收 EU 與 UK 資料,實務上常見做法是 EU SCCs 加 UK Addendum;若只有英國受限制傳輸(UK restricted transfer),也可使用 IDTA。

對台灣企業而言,重點不是把 SCC 當附件簽完,而是把 Annex I 的傳輸描述、Annex II 的技術與組織措施、子處理者清單,以及 TIA 真的補齊。很多稽核或客戶盡調,問的不是「你有沒有 SCC」,而是「你知不知道資料到底怎麼流」。

中國:安全評估、標準合約、認證與豁免並存

中國的規則近年變化很快。2024 年新規上路後,部分低風險或特定必要情形,例如跨境購物、跨境支付、旅宿機票預訂,以及符合條件的跨境 HR 管理,可能免於安全評估、標準合約或認證。但只要涉及個人信息出境,仍要回到 PIPL 的告知、單獨同意、個保影響評估與保存紀錄。

因此,中國子公司把員工資料傳回台灣總部時,不能只問「有沒有超過門檻」。還要問:這是不是確實為跨境人力資源管理所必要?勞動規章制度或集體合同是否足以支撐?員工是否已被告知接收方、目的、方式、資料類型與權利行使方式?敏感個人信息是否另行取得單獨同意?

巴西:ANPD 已核准標準契約條款

原先很多企業把巴西寫成「尚無官方 SCC」。這個說法在 2024 年後已不準確。ANPD 的 Resolution CD/ANPD No. 19/2024 已核准國際資料傳輸規則與標準契約條款,並要求既有合約在公布後的期限內納入 ANPD 條款。

如果台灣企業在巴西有客戶、員工或軟體即服務(Software as a Service, SaaS),不能再只靠一般資料處理合約帶過。至少要確認是否構成 LGPD 下的國際資料傳輸,是否有合法處理依據,以及採用的是 ANPD SCC、特定契約條款、BCR、充分性或其他機制。

越南:重點不是 SCC,而是影響評估文件

越南 Decree 13/2023 的跨境傳輸設計,跟 EU SCC 不同。它要求資料輸出者準備跨境傳輸影響評估文件,並在開始處理後一定期限內送交公安部相關單位。這不是「越南有一套公安部核准 SCC」那麼簡單。

台灣企業若把越南員工、客戶或使用者資料匯回台灣總部,應先確認越南端是否已準備傳輸影響評估文件、是否保存可供檢查的資料、是否對資料主體履行告知與同意等要求。

五、事件通報:最容易被跨國流程吃掉時間

跨境傳輸治理不能只做到合約簽署。真正出事時,最容易失控的是通報時鐘。

幾個穩定的實務錨點如下:

法域 常見通報節點 企業應注意
EU/EEA GDPR 知悉個資外洩後,原則上 72 小時內向主管機關通報;高風險時通知當事人 若台灣總部是處理者,應先快速通知 EU 控制者
UK GDPR 架構大致與 GDPR 類似 同時涉及 EU 與 UK 資料時,不要只通報其中一邊
新加坡 PDPA 判斷為應通報事件後,須盡速通知新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC);重大規模或可能造成重大損害時觸發 先做事件評估(assessment),再進入通知(notify);不要把評估拖成內部調查
中國 PIPL / CAC 規則 發生或可能發生資料安全事件時,應採補救措施並及時向主管部門報告 「及時」不等於等鑑識報告完成才處理
南韓《個人資訊保護法》(Personal Information Protection Act, PIPA) 法律文字採「without delay」通報當事人與主管機關;細節依總統令與個案而定 不宜簡化成固定 24 小時規則
台灣個資法 2025 修正已建立更完整的事故通知、通報與應變框架,但部分條文施行日須看行政院公告;金融、醫療、交通等產業別規則仍要分別看 台灣總部要同時維護「一般個資法」與「目的事業主管機關」版本的應變手冊

跨國事件回應的最低要求,是公司內部要有一條很短的升級路徑。第一線資安、客服、人資或供應商管理人員只要知道「可能外洩個資」,就應在數小時內進到隱私或法務窗口,而不是等到資訊科技(Information Technology, IT)團隊完成完整根因分析才通知。多數法域計算的是知道或合理知悉後的時間,內部拖延不會幫企業暫停時鐘。

六、台灣跨國企業的行動清單

以下幾件事,比再多背幾個法條更有用。

1. 在資料處理活動紀錄加上資料地點與存取地點

大多數資料處理活動紀錄(Records of Processing Activities, ROPA)只記錄處理目的、資料類別、保存期限與接收者。跨境傳輸管理還需要至少三個欄位:資料儲存地點、可遠端存取地點、資料輸出與接收法域。

資料放在東京資料中心,但由台北、上海與胡志明市團隊共同維運,這就不是單純的「日本境內儲存」。

2. 每條資料流都建立傳輸工作底稿

建議每一條重要資料流都保留一份簡短工作底稿,不必寫成論文,但要能回答四件事:

  • 資料從哪裡到哪裡,誰是輸出者與接收者。
  • 使用哪個傳輸機制,例如 SCC、IDTA、ANPD SCC、PIPL 標準合約、同意、HR 必要例外或台灣第 21 條評估。
  • 目的地法是否可能影響資料主體權利或合約履行。
  • 已採取哪些技術與組織措施,例如加密、權限控管、日誌、刪除流程、供應商稽核與事件通報服務水準協議(Service Level Agreement, SLA)。

3. 不要讓採購獨自決定雲端區域

雲端採購表單通常會問資料中心地區,卻不會問最關鍵的幾個問題:供應商支援人員在哪些國家、子處理者在哪些國家、備份與日誌是否跨區、客服或工程維運是否可遠端讀取個資。

跨境傳輸治理應該進入採購流程,而不是上線後才補合約。

4. 為中國、越南、巴西、歐盟與英國建立獨立作業手冊

這幾個法域的傳輸工具與文件要求差異太大,不適合用一份全球範本硬套。

  • 歐盟/英國:SCC、IDTA、UK Addendum、TIA、子處理者管理。
  • 中國:PIPL 告知、單獨同意、個保影響評估、標準合約或安全評估門檻,以及 HR 管理例外。
  • 越南:跨境傳輸影響評估文件與送交要求。
  • 巴西:ANPD 19/2024、ANPD SCC 與 LGPD 合法依據。

5. 把事件通報寫進供應商合約

跨境事件通常不是總部第一個發現。供應商、子公司、雲端平台、客服外包商,才是最早接觸異常的人。合約裡的事件通報 SLA 不應只寫「without undue delay」,最好明確寫成幾小時內初報、幾天內補報、哪些資訊先提供、誰負責通知主管機關與當事人。

七、不要賭單一捷徑

未來幾年,跨境傳輸會往兩個方向同時發展。一邊是互操作性:Japan MCCs、全球跨境隱私規則(Global Cross-Border Privacy Rules, Global CBPR)、ASEAN MCCs、EU SCCs 都在試圖讓跨境資料流動比較可預測。另一邊是資料主權與在地化:中國、越南、印度與各種產業別規則(sector rules),會要求企業更清楚地說明資料在哪裡、誰能碰、為什麼要出境。

人工智慧(Artificial Intelligence, AI)會讓問題更複雜。企業用生成式 AI 工具處理客服紀錄、人資資料、醫療摘要或金融交易資料時,常常以為只是「上傳到一個工具」,但法律上可能同時涉及委外處理、國際傳輸、訓練資料二次利用、資料保留與當事人權利。就算採用聯邦學習(federated learning)或合成資料,也不代表跨境問題自動消失;模型參數、遠端管理權限、錯誤重識別風險,都需要被納入評估。

對台灣企業來說,最穩的做法不是等待某個全球通用的傳輸工具出現,而是先把自己的資料流畫清楚。你知道資料在哪裡、為什麼要出境、誰能存取、出事誰負責,才有能力選對工具。

跨境傳輸不是法務附件,是營運能力

跨境傳輸合規看起來像法務成本,但實際上是企業營運能力的一部分。歐洲客戶問你 SCC 與 TIA,中國子公司問你 PIPL 出境門檻,巴西團隊要求 ANPD 條款,越南人資提醒要準備傳輸影響評估文件,這些都不是例外事件,而是跨國營運的日常。

真正有用的合規,不是把所有法條塞進一份政策裡,而是讓公司在採購、系統上線、供應商管理、資料外洩、併購整合、HR 調動時,都知道下一步該找誰、該看哪份文件、該補哪個機制。

資料會繼續跨境。企業要做的,是讓每一次跨境都有理由、有文件、有負責的人。

延伸閱讀與參考來源