1. 適用情境
本文件適用於以下情境之 Uedu 平台處理:
- 資料主體位於歐洲經濟區(EEA)之自然人,無論 Uedu 是否主動向其提供服務(GDPR Art. 3(2))
- 與歐盟成員國機構之研究合作(如 Universität Zürich 雖在瑞士、但其合作對象常含 EU 機構)
- 與瑞士機構之研究合作(適用 nFADP)
- 當 Uedu 平台處理涉及上述資料主體之資料時
2. GDPR 核心要求摘要
| 議題 | GDPR 條文 | 要點 |
|---|---|---|
| 領土適用範圍 | Art. 3 | Establishment 或對 EEA 內資料主體提供商品 / 服務 / 監測其行為 |
| 合法基礎 | Art. 6 | 同意/契約/法律義務/生命攸關利益/公共利益/正當利益(六款擇一) |
| 特別類別個資 | Art. 9 | 原則禁止;十款豁免含明示同意、公共健康、學術研究等 |
| 告知義務 | Art. 13-14 | 蒐集時 / 取得後合理期間內告知 controller 身份、聯絡方式、處理目的、保存期、權利、跨境機制 |
| 資料主體權利 | Art. 15-22 | 存取/更正/刪除/處理限制/可攜/反對/自動決策反對 |
| 處理者 | Art. 28 | controller 與 processor 之合約要求;sub-processor 之事前授權 |
| DPO | Art. 37-39 | 核心活動涉大規模監測或特別類別個資處理者應指派 DPO |
| Breach 通報 | Art. 33-34 | 72 小時內通報主管機關;對資料主體高風險時直接通知 |
| 跨境傳輸 | Art. 44-49 | 充足性決定/適當保護措施(SCCs、BCRs)/derogations |
| 科學研究例外 | Art. 89 + Recital 159 | 研究目的之處理享有對部分要求之豁免,前提是具備技術與組織措施保障 |
| 罰則 | Art. 83 | 最高 2000 萬歐元或全球年營業額 4% 之較高者 |
3. 瑞士 nFADP 之核心差異
瑞士聯邦資料保護法修正版(new Federal Act on Data Protection, nFADP)自 2023 年 9 月 1 日生效,與 GDPR 高度對齊,但有以下值得注意之差異:
| 議題 | GDPR | nFADP |
|---|---|---|
| 適用對象 | 自然人之個人資料 | 自然人(法人受其他法律保護,不涵蓋) |
| 監理機關 | 各成員國 DPA | Federal Data Protection and Information Commissioner(FDPIC) |
| Breach 通報 | 72 小時內通報 DPA | 盡快(as soon as possible)通報 FDPIC |
| DPO(資料保護顧問) | Art. 37 強制條件下需設置 | 無強制;但對高風險處理建議設置 |
| 跨境傳輸 | EU 充足性決定名單 | FDPIC 維護獨立之充足性名單 |
| 罰則 | 對 controller 罰款 | 對個人責任人處罰(最高 250,000 瑞郎),這是 nFADP 之重要差異 |
| 記錄義務 | Art. 30 處理活動記錄 | 類似義務,小型企業豁免標準略不同 |
瑞士 FDPIC 對台灣之充足性認定狀態(目前 FDPIC 之充足性名單以一般國家對等度評估為基礎,台灣不在其名單中,故 Uedu 至瑞士之資料傳輸需另以合約機制保障)之具體合約文件化作業,留待 partner institutions 之 DPO 或瑞士法律顧問於合作啟動時共同審閱補完。
4. Uedu 對 GDPR 與 nFADP 之對應設計
| 條文 / 議題 | Uedu 對應作法 |
|---|---|
| 合法基礎(GDPR Art. 6 / nFADP 類似) |
服務性使用:Art. 6(1)(b) 契約履行 研究性使用:Art. 6(1)(a) 同意 + Art. 9(2)(a) 對特別類別之明示同意 + Art. 9(2)(j) + Art. 89 之研究例外 |
| 特別類別個資(Art. 9) | 生理感測資料(HRV、睡眠、壓力)、性別認同調查、健康整合資料屬此類;以個別 IRB 同意書取得明示同意 |
| 告知義務(Art. 13-14) |
本治理中心已揭露 controller 身份(個人,非機構)、Privacy Contact、處理目的、保存期、權利清單、跨境傳輸機制、IRB 案號 個別蒐集場景(如生理感測 opt-in)以對應同意書詳述 |
| 資料主體權利(Art. 15-22) |
刪除權:自助介面已實作 其他六項:來信 [email protected],30 日內回應 資料可攜權(Art. 20)目前以書面申請受理(self-service 介面未實作,於 隱私政策 §7.2 揭露) |
| 處理者合約(Art. 28) | 對 OpenAI、Microsoft Azure、Cloudflare、Mailgun 等具名 sub-processors 已簽署各自之 DPA;詳見 次處理者清單 |
| DPO(Art. 37) |
本平台未指派 GDPR Art. 37 意義下之 DPO(理由:(i) 控管者為自然人,無法擔任自己之 DPO,且設置外部 DPO 之獨立性要求對單人營運平台不切實際;(ii) 本中心 Privacy Contact 制度承擔對等之資料保護聯繫責任,並承諾於 30 日內回應) 對外揭露採 "Privacy Contact" 而非 "DPO",避免法律宣稱之不準確 |
| Breach 通報(Art. 33-34) | 採行 72 小時通報標準;高風險時對資料主體直接通知;通報窗口 [email protected](主旨標 [URGENT BREACH NOTIFICATION]) |
| 跨境傳輸(Art. 44-49) |
對美國 OpenAI 之資料傳輸:已啟用 Zero Data Retention,OpenAI 不留存輸入輸出於即時處理之外 對歐合作專案:得改路由至 Microsoft Azure OpenAI Service 之 Switzerland North / West Europe region 詳見 次處理者清單 §3 |
| 科學研究例外(Art. 89) |
匿名化研究資料之長期保留依 Art. 89 進行;同時援引 Recital 26 主張匿名化資料排除於個資範圍之外 具體實作詳見 隱私政策 §2.3 |
5. 跨境傳輸機制(重點)
對歐合作之跨境傳輸是治理立場之關鍵議題。本節說明 Uedu 之具體作法:
5.1 OpenAI 直連(預設)
OpenAI L.L.C.(美國)之資料處理依 Uedu 與 OpenAI 簽署之 Data Processing Addendum 進行。Uedu 對 OpenAI 已啟用 Zero Data Retention(ZDR):API 之輸入輸出於即時處理後即不留存。對歐洲資料主體之 GDPR 觀點,此安排之跨境合法基礎為:
- OpenAI 之 DPA 含 EU SCCs 條款
- ZDR 大幅降低資料於美國境內之存續時間,並減少美國 surveillance 法(如 FISA 702)對該資料之適用性
- 歐洲合作對象得選擇此路徑(保留 OpenAI 最佳模型品質)或下述 Azure CH 路徑(資料居住地完全限歐洲)
5.2 Azure OpenAI Service(瑞士 / 西歐選項)
對涉及歐洲資料主體之研究合作,推論得改路由至 Microsoft Azure OpenAI Service 之 Switzerland North 或 West Europe region,依 Microsoft EU Data Boundary 承諾處理。Region 之選擇與合作機構共同決定。對 nFADP 觀點,Switzerland North region 為瑞士境內處理,無跨境問題。
5.3 其他次處理者
- Cloudflare(DNS / CDN):歐洲使用者之請求主要由歐洲邊緣節點處理;Cloudflare DPA 已簽署
- Mailgun(Email):EU region;email 寄送內容含使用者識別資訊,依 Mailgun DPA 處理
下列具體合約文件留待 partner institutions 之 DPO 或該法域律師於合作啟動時共同審閱補完:(i) 對 OpenAI 之 SCCs 簽署版本(2021 EU Commission SCCs vs Schrems II 後之補充措施)、(ii) Transfer Impact Assessment(TIA)之文件化、(iii) 瑞士 FDPIC 對 Azure CH 之認定。
6. 資料主體權利行使方式
| 權利 | GDPR 條文 | Uedu 行使方式 |
|---|---|---|
| 存取權 | Art. 15 | 來信 [email protected] |
| 更正權 | Art. 16 | 個人設定頁直接編輯,或來信 |
| 刪除權 | Art. 17 | 個人設定頁「刪除我的帳號」自助入口 |
| 處理限制權 | Art. 18 | 來信 |
| 資料可攜權 | Art. 20 | 來信(self-service 介面未實作,已誠實揭露) |
| 反對權 | Art. 21 | 來信 |
| 反對自動決策權 | Art. 22 | 本平台目前不對使用者進行 GDPR Art. 22 意義下之自動化決策(即僅依自動處理而對其產生法律效果或類似重大影響者);學習特質量表結果為決策輔助,非自動決策 |
| 撤回同意 | Art. 7(3) | 對應功能之同意設定頁切換,或來信 |
| 向 DPA 申訴權 | Art. 77 | 得直接向所屬國家之 DPA 申訴;建議先以書面通知 Uedu Privacy Contact 以便先行解決 |
7. 監理機關互動窗口
7.1 EU 成員國 DPA
因 Uedu 平台於 EU 無 establishment,依 GDPR Art. 56 之「主要機構」(main establishment)原則不適用。對 EU 之 DPA 互動採以下原則:
- 對涉及多 DPA 之事件,由 Uedu Privacy Contact 統一協調並維持各窗口之獨立通報
- 資料主體向其所屬國 DPA 之申訴,依各 DPA 之程序進行
- 對特定合作專案,由合作機構之 DPO 為主要對接窗口
7.2 瑞士 FDPIC
| FDPIC 一般查詢窗口 | Federal Data Protection and Information Commissioner(FDPIC),Bern, Switzerland |
|---|---|
| Uedu 對 FDPIC 之窗口 | [email protected] |
8. 與其他治理文件之關係
- 資料治理框架:本治理立場之上位文件,§2 含 controller 宣告與 NCU 之區隔
- 隱私與資料保存政策:§7 詳列資料主體權利行使方式(含 B10 揭露)
- 次處理者清單:跨境傳輸之具體供應商與 region 揭露
- 研究者授權範本:合作研究之契約框架(含 SIAC 仲裁選項)
- 跨法域合規對照表:與其他法域之並陳對照
9. 聯絡窗口
| Privacy Contact | [email protected] |
|---|---|
| 對歐合作之研究洽談 | [email protected] |
| 對 GDPR / nFADP 治理立場之異議或建議 | [email protected](主旨標 [EU-CH NOTES FEEDBACK]) |