阿摩線上測驗
9. 某公司擬將客戶個人資料傳輸至國外進行雲端儲存,依據《個人資料保護法》規定,下列哪一種情況下,中央目的事業主管機關有權對該 國際資料傳輸行為進行限制?
(A) 公司規模未達主管機關要求標準,管理能力存疑
(B) 公司曾發生個人資料外洩事件紀錄,造成用戶信任流失
(C) 傳輸資料包含當事人已公開資訊,但仍涉及隱私風險
(D) 接收國家之個人資料保護法規尚未完善,可能損害當事人權益
統計: A(15), B(79), C(122), D(269), E(0) #3645714
詳解 (共 4 筆)
這題的正確答案是 (D) 接收國家之個人資料保護法規尚未完善,可能損害當事人權益。
這題考的是台灣《個人資料保護法》第 21 條關於「國際傳輸限制」的法定事由。
法律解析:個資法第 21 條
根據《個人資料保護法》第 21 條規定,非公務機關為國際傳輸個人資料,有下列情形之一者,中央目的事業主管機關得限制之:
-
涉及國家重大利益。
-
國際條約或協定有特別規定。
-
接收國對於個人資料之保護法令不完善,致有損害當事人權益之虞。(即選項 D)
-
以間接方法將個人資料傳輸至第三國(地區)以規避本法。
選項詳細說明
-
(A) 公司規模未達標:錯誤。 個資法限制國際傳輸的重點在於「國家層級的保護力」或「規避法律行為」,而非公司自身的資本額或規模。
-
(B) 公司曾有外洩紀錄:錯誤。 雖然外洩紀錄會導致公司被要求加強安全維護計畫(個資法第 27 條),但這不屬於第 21 條規定的「限制國際傳輸」之法定理由。
-
(C) 包含已公開資訊但有風險:錯誤。 只要是合法蒐集的個資,無論是否曾公開,限制其「國際傳輸」的判斷標準依然是看接收國的法令完善度,而非資料本身的公開狀態。
-
(D) 接收國法規不完善:正確。 這是實務上最常見的理由。如果資料預計傳輸到的國家(例如某些缺乏個資專法的國家)無法提供與台灣相當的保護水準,政府為了保護國民,有權禁止企業將資料傳出去。
1. 核心考點:個資法第 21 條(國際傳輸之限制)
當企業需要將個人資料傳輸到境外(例如儲存在國外的雲端伺服器)時,政府機關有權在特定情況下進行限制。這題考驗的是你對法規中「行政干預門檻」的理解。
2. 逐項解析
-
✅ (D) 接收國家之個人資料保護法規尚未完善,可能損害當事人權益:
-
原因:根據台灣《個人資料保護法》第 21 條第 3 款,若接受國對於個人資料之保護缺乏完善之法令限制,致有損害當事人權益之虞,中央目的事業主管機關可以裁定限制傳輸。這是為了確保資料出國後,台灣國民的隱私權不會因為當地法律鬆散而受損。
-
-
❌ (A) 公司規模未達主管機關要求標準,管理能力存疑:
-
原因:個資法對國際傳輸的限制主要針對「接受國的環境」或「傳輸的目的」,而非單純看「發送公司的規模」。規模小不代表不能使用合法的雲端服務。
-
-
❌ (B) 公司曾發生個人資料外洩事件紀錄,造成用戶信任流失:
-
原因:發生過外洩事件通常會面臨行政處罰或改善命令,但不一定會成為限制該公司「所有國際傳輸行為」的法定理由。主管機關限制傳輸通常是基於更宏觀的國家利益或法律制度差異。
-
-
❌ (C) 傳輸資料包含當事人已公開資訊,但仍涉及隱私風險:
-
原因:如果資料本身已經是公開資訊,受保護的程度通常較低。限制國際傳輸的法律紅線通常畫在「重大國家利益」或「接受國法律不健全」等具體事項上,而非針對已公開資料的風險判斷。
-
? 重點整理:個資法第 21 條的四種限制情況
在考試中,只要看到主管機關「限制國際傳輸」,通常是基於以下四個原因之一:
-
涉及國家重大利益。
-
國際條約或協定有特別規定。
-
接受國法規不健全(如本題選項 D)。
-
以迂迴手段規避個資法(例如為了逃避監督而故意傳到境外)。
這題是 iPAS 考卷中常見的法規題,建議背下這四個關鍵情境。