政策與議題

「大數據時代下的隱私保護:從歐盟GDPR反思我國個資法」講座側記

台權會在今(2018)年4月13日在立法院舉辦「大數據時代下的隱私保護:從歐盟GDPR反思我國個資法」講座,邀請專家學者與實務律師針對即將在5月25日上路的歐盟新的個資保護法規「一般資料保護規則」(General Data Protection Regulation, GDPR)做探討,以下是講座側記。

介紹GDPR(歐盟一般資料保護規則)前,想先和大家探討為何歐盟訂定的規則會在台灣引起騷動,就連媒體也下了「史上最嚴資料保護令」、「最嚴苛個資法」、「企業不可不慎」等等標題。究竟GDPR有多嚴苛?與台灣個資法的差異為何?讓我們先了解所謂GDPR再下結論。

台權會專員何明諠引言提到,GDPR的中英對照本內容大約有三百頁,其中有許多條文及相關立法說明,在此摘出幾個重點項目來做討論。

GDPR的管轄範圍到底有多大?

在第三條有做明確的規範,大致上情況分為兩類:

(一)資料控制或處理者在歐盟裡有設點,不論在哪裡處理這些資料都將被歐盟所規範。

(二)沒有在歐盟境內設點,但對境內進行資料蒐集或提供商品、服務及進行監控等行為也同樣會受到規範。

第一點如余若凡律師所說,在歐盟境內設立公司,例如銀行、運輸業(長榮、華航)等,都需要去符合規範。內容則是資料處理應遵循之規則,如公正性、合法性、透明度、資料當事人之權利、國際資料運輸、不遵守監管機關之命令等等。嚴重違反最高處以2000萬歐元,或以前一會計年度全球營業額4%之行政罰緩,以較高者為準。

而第二點可由劉定基教授則以歐盟自身的舉例來解釋:

日本網路商店B,透過英文介面銷售貨物,結帳時允許使用歐元計價付款,一天中有數筆交易來自位於歐盟境內的人民,且將貨物寄送到歐盟。這樣取得的資料可能才歸GDPR規範。

歐盟所舉的這個案例透漏了一些訊息,如日本和台灣一樣是歐盟境外的國家,並且需使用英文(為歐盟的官方語言)、允許歐元計價(不一定要有付費行為,只是上述用了有付費行為的例子)、一天有數筆的交易量等,才可能受到GDPR規範。

劉定基老師在說明時指出,GDPR在考量該法規的管轄效力時,重點應在於「領域」,而非人。在相關的條文的說明中都可發現,資料當事人必須在歐盟境內,絕對不是一蒐集或處理歐盟公民的資料就會適用。

而立法說明的二十三、四點亦有指出,需看使用的語言、貨幣,以及是否針對歐盟的人民習慣進行銷售、或監控。而監控的主體行為必須在歐盟境內,並不是在任何情況下取得歐盟人民資料就會適用GDPR。

最後,歐盟的Article 29 Working Party也正在對域外的規範效力做討論,可能不久後會發出正式的指引,到時可驗證現在討論的方向是否正確。

資料主體的權利到底在GDPR裡怎麼被規定?

在1995年就有資料保護指令,而GDPR是2016年後開始的規範,生效日期則於2018年5月開始。過往的指令規範其實已經可以自由地取用自己的資訊,以及更正、刪除等權利。而這次主要新增的有三:被遺忘權(某些條件限制之下,可請求資料處理者在目的消失或一段時間後把資料給拿掉。台灣個資法第11條[註一]也有相關規定)、資料可攜性(以往使用線上服務時,所留下的內容大多卡死在某家企業手中,應該讓消費者或資料主體有權利去要求可自行、自由的轉換使用的服務)以及拒絕自動化處理的決定。

這些權力都涉及了何謂個資的定義。GDPR裡將個資分為一般個資及敏感性個資。而哪些個資為一般,哪些為敏感,會依各國國情而有不同。劉定基教授也指出,本次GDPR討論熱烈的IP或其他網路可識別資料,其實原本在指令時代就可被當作個資,並非因應GDPR規範才新增的。而台灣個資法對個資的定義其實也不窄,特別是有關間接識別的個資,若我們正確地去理解我國個資法,則不少網路資料也會被認定是可間接識別的個人資料。

而根據幾位與談人的說法,大體而言,從指令到規範有幾個主要的轉變,如:

撤回同意要容易

GDPR要求,同意授權要跟同意撤回一樣容易,用什麼方式同意就用什麼方式撤回。畢竟現實中常發生同意只需要一鍵即可同意,但要撤回時使用者卻不知道該從何撤回。而其中可探討的是撤回同意時,使用者的相關資料該如何處理?

強化既有告知/同意規範

GDPR也要求徵求同意時,必須是可理解、易接近的、易懂的方式。對此,劉定基老師亦補充道,其實台灣的法律也有就告知進行規定,例如消費者保護法就有類似的條文。甚至在過往,台灣個資法更要求書面同意,或許才是史上最嚴的同意方式。而自2015年來一直以來被詬病的默示同意,亦應把重點放置在當事人積極提供資料的行為上,可能才算是正確解讀。

隱私衝擊評估

在某些特定情況下需要做,如:使用新科技、大型資料探勘、有風險時。

大規模處理敏感性資料時就需要做隱私衝擊評估,資料處理者需有詳細的資料處理委外合約,需保有紀錄,但不適用於員工數少於250人公司,因處理大規模資料時對小型公司來說會有保存紀錄上的困難。

未成年行使同意的特別規定

未成年人至少須為16歲,但各會員國可以降低年齡,最多不可低於13歲,否則須由監護人同意。對於未成年人要提供的資訊,特別需確保透明度,同意、通知都要非常清楚,並且蒐集或使用未成年的資料本身就會被認定是一種高風險行為,就需要作隱私權衝擊評估。

而余若凡律師則提到,很多時候在電子商務上其實也很難確認真實身分,或僅利用信用卡認證、控管。GDPR最後會怎麼實施是值得我們繼續觀察的。

資料外洩

三十三、三十四條有規範資料控管者或資料處理者,在發現資料外洩的72小時內要通報監管機關,不得無故延遲,並應描述案情可能的傷害、降低傷害的措施等;通報當事人,當其權力或自由處在高風險,控管者應要用清楚簡易的語言與當事人溝通且不可無故延遲。

會員國需設立獨立監管機關

各會員國都要設立一個獨立監管機關,監控GDPR的落實。並維持法規適用的一致性。監管內容包括:GDPR落實、提升公眾意識、提出立法行政建議、接受申訴、進行主動調查等。而GDPR非常要求要有獨立專責機關,組織、人事、功能、財務獨立,使個資保護專責機關在實質上得免於直接或間接受到外部的任何影響,以致使其執行職務有偏頗之虞。

葉奇鑫律師也提到,目前有個資法的國家都有個資法保護專責機關,而台灣卻是由各主管機關來判斷,因此專業度持疑。台灣的個資法架構完整,但由各主關機關來辦理,並沒有足夠的資金和人力。

建議我國成立個資保護專責機關的理由:

  • 統一監管個人資料保護法
  • 統一解釋法律
  • 統一執行行政裁罰
  • 統一監管標準
  • 促進個資保護專業化
  • 法律監管具備高度專業性
  • 專屬財務與足夠人力有利推動法律執行
  • 個資保護社前遵循與教育訓練
  • 符合國際潮流並強化個資保護的國際合作
  • 設立個資保護專責機關為國際趨勢
  • 強化國際合作與交流

回應到第一段所討論的,雖然媒體都報導GDPR是史上最嚴格的個資法,但其實很多範圍較廣且不針對特定對象所做的規範,還是有許多詮釋的空間。

因此GDPR雖被稱史上最嚴的法,但實際上是不是如此,可能要去分析、正確解讀台灣個資法才能知道。在部分條文規定上,其實個資法未必會比GDPR來得寬鬆。但劉定基教授也補充道,這並不意味著台灣個資法沒有問題,我們的個資法基本上從制訂至今都未得到落實,個資法的內容是否有跟上數位科技的變化,也確實是須誠實被檢討的。余若凡律師也持類似觀點,認為GDPR目前對台灣影響其實不那麼大,台灣的企業可能也不是第一波受罰的對象,但台灣的產業其實沒有被台灣的個資法有效的規範,因此應先落實台灣個資法,邊觀察GDPR實行的狀況再來研擬之後的方向。

綜合上述可推測,GDPR第一波開罰應從大企業開始(需要一定程度的規模),如Amazon、Google、Facebook、Microsoft等。

政府及企業若擔心受罰,應由落實台灣個資法開始,強化既有告知同意規範模式、回應大數據、開放政府資料的具體規定、假名匿名化的特別規定、開放資料正當程序的引入、人民退出權的確認及賦予。現階段不需要太妄自菲薄,GDPR跟台灣個資法差異有限,若公務及非公務機關都能落實,並不需要太緊張。


[附註1]個人資料保護法第十一條

公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。

全文出處

發表迴響