12月24日，英國與歐盟宣布達成脫歐（Brexit）貿易協議。脫歐始於2016年的公投，於2017年正式啟動脫歐機制，並歷經三任首相與雙方多輪協商談判，終於趕在12月31日的脫歐「過渡期」結束期限前有了重大突破。24日達成的貿易協議，讓英歐雙方在大方向上有了依循輪廓，避免了「硬脫歐」的局面，也意味著雙方關係進入新階段，協議將於2021年1月1日開始實施。儘管如此，資料跨境傳輸（cross-border data flows）並不在該協議涵蓋的範圍內。

資料跨境傳輸議題攸關國家安全

數位時代下，資料（data）在生活中近乎無所不在，更是每分每秒持續增長，以當前英國與歐洲大陸的一體化程度而言，資料在交通運輸、金融服務、商務、科技等方面的累積超乎想像。貿易協議中未有觸及資料跨境傳輸的議題，意味著2021年1月1日起資料在英國與歐盟之間的流動將可能不受保障，有關單位如何應處上述所及的各領域資料管理將是難題，也將影響降低雙方合作程度。

從安全的角度來說，威脅更是立即形成。英國目前所參與的執法與反恐機構權責下的資料庫，如記錄歐盟申根國家所提供的潛在或已經犯罪的人員個資的申根資訊系統（Schengen Information System, SIS II）將不再能享有使用權限。這將使英國無法取得犯罪嫌疑人的姓名、化名、生日、國籍、照片、性別、指紋等以及失蹤人口與失竊物品的訊息，衝擊打擊組織與跨國犯罪能力。英國也不再是歐洲刑警組織（European Union Agency for Law Enforcement Cooperation, Europol）的一員，不再能自動且即時獲得組織的資料。即便未來英國可以改透過國際刑警組織（Interpol）的管道取得資訊，在時效與資料範圍仍難保有落差。

構成整個歐盟當前資料規範的基礎是《一般資料保護規範》（General Data Protection Regulation, 下稱 GDPR）。在這個脈絡下，資料跨境傳輸問題，乃至更大範圍的資料管理問題，本質上就是GDPR在脫歐後英國的適用問題。事實上，英國已經單方面做出諸多努力試圖應付，包括單方面宣布會在脫歐後允許來自歐盟成員國的資料自由的流向英國，亦在國內層次將 GDPR 內法化。不過由於資料跨境傳輸的不確定性仍在，對於許多業界機構來說，面對徒增的成本，將公司選擇移往歐盟地區的誘因將增加。

英國取得歐盟適足性認可仍有不確定性

為使脫歐後存在於英歐境內的資料得以自由流動至兩邊如現狀，透過「認證」雙方規範符合標準是最直接的方法。有鑑於英國已經形同單方面開放，癥結點反而落在歐盟方面如何認定英國標準。在眾多方案中，最簡單的就是賦予英國「適足性認可」（Adequacy）。適足性認可程序涉及多項標準認定。

粗略而言，歐盟可就申請國的法制環境、監管獨立性以及人民的隱私權保障設計等狀況提出評估報告，經由歐盟執委會提案，送交歐洲資料保護委員會，再由歐盟國家代表決定批准與否。由於過程繁雜，歐盟又標榜「高標準」，這使得世界上目前通過歐盟適足性認可的國家屈指可數。即便是在脫歐協議談判過程中被英國高舉奉為範本的加拿大也僅將取得的適足性認可限縮在「商業領域」。換言之，英國作為「前」歐盟會員國的身分也不能保證申請結果會是正面。

關鍵原因在於，如果按照歐盟標準重新審查英國在資料保護相關領域的法案與行為，可能有違反 GDPR 之疑慮。譬如，英國現行的《調查權力法案》（Investigatory Powers Act 2016, IPA）賦予英國政府以安全為名目蒐集民眾個資，但這並不為人權團體、自由派人士以及隱私權專家等所認同。英國在個資保護相關作為的補助相比歐盟標準也為低。英國在《數據保護法案》（Data Protection Act 2018, DPA）排除移民的決定也引發爭議。

此外，英美之間的情報分享與合作機制，乃至於英國參與「五眼聯盟」（Five Eyes）所涉及的資料分享，也被指出可能有違反 GDPR 規範之處。歐盟的關切在於，其公民個資會否可能在英國的情報分享機制下迂迴移轉至歐盟定義的第三國。英國除了取得適足性認可外，其實亦有其他退一步的選項，以解決英國與歐盟之間資料跨境傳輸的問題。譬如常見於歐盟與任何第三方國家之間的《標準契約條款》（standard contractual clauses, SCCs）或美國與歐盟之間達成的《歐盟─美國隱私盾協議》（EU-US Privacy Shield Framework, Privacy Shield）。不過，前者存在的隱憂是該條款僅為一種契約範本，效力終究不如法規來的明確，而後者更早已在今年7月被歐盟法院宣告無效。

直言之，試圖取得歐盟的適足性認定仍是英國當前最佳方案，而歐盟代表也表示期待明（2021）年初能盡快完成相關審查。在此之前，歐盟已經同意只要英國維持現行法規不變，歐盟也會對等的提供 4個月的「指定期」維持現狀，並可就情況再延長2個月，這個作法將持續直到結果出爐。

※作者為國防安全研究院網路安全與決策推演所博士後研究。本文授權轉載，原文出處。