台灣跨國企業的跨境傳輸合規全景
從個資法第21條、歐盟標準合約條款到中國個資法與資料在地化的實務地圖
某個下午,台北總部收到中國子公司的資安通報:內部人力資源(Human Resources, HR)系統疑似遭入侵,受影響資料包含台灣派駐人員、中國當地員工,以及少量歐洲子公司借調員工資料。
這時候,問題不只是「要不要通知當事人」。法務、資安與人資很快會被一串更麻煩的問題追著跑:中國子公司把員工資料同步回台灣,是不是符合中國《個人信息保護法》(Personal Information Protection Law, PIPL)的資料出境規則?歐洲借調員工資料曾經傳到台灣總部,當時有沒有歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)的傳輸工具?台灣母公司把資料放在新加坡雲端區域,是否觸發新加坡《個人資料保護法》(Personal Data Protection Act, PDPA)或其他供應商所在地的要求?如果外洩發生在跨國系統,通報時鐘要從哪一個法域開始算?
跨境資料傳輸的難點,從來不是「資料有沒有出國」這麼簡單。真正困難的是:同一筆資料,在不同方向、不同角色、不同目的下,可能同時落入好幾套規則。
...