歐盟GDPR與台灣個資法之比較分析 @ 洪律師BLOG

歐盟GDPR與台灣個資法之比較分析

GDPR重要規定：

擴大適用地域範圍

相較於個資保護指令以資料管理者在「歐洲經濟區」內設有機構，或利用「設備」蒐集、處理個人資料，才適用於各會員國個資法之規定，GDPR則將適用地域明顯擴大，甚至適用於非設立於歐盟境內的資料管理者。依GDPR第3條第2項規定，本規則適用於非設立於歐盟境內之資料管理者或受託者，對於歐盟境內之資料當事人所為涉及以下行為之個人資料處理：(a)對歐盟境內之資料當事人提供商品或服務，無論資料當事人是否需付款；(b)對資料當事人於歐盟境內行為之監控。

前開條文末段所指之「監控(the monitoring)」，依GDPR立法說明，係指資料管理者以數位資訊處理技術，於網路上對當事人進行追蹤，為潛在之後續使用而將當事人資料建檔，利用技術對當事人進行剖析，以預測其個人喜好、行為或態度。

修正個人資料定義

考量科技發展及生活型態改變，歐盟於GDPR第4條(1)新增「位置資料（location data）」、「線上識別碼（online identifier）」，將之與姓名、身分證統一編號等，例示為可得識別自然人之資訊之一。依現代科技，「位置資料」應可包括透過「全球定位系統GPS」、「基地台位置資訊」及「WiFi無線接收裝置MAC位址」所顯示的個人位置資訊。至於「網路識別碼」，依GDPR立法說明，應指透過裝置、應用程式、工具及通訊協定所賦予的識別碼，例如：網路IP位址（internet protocol addresses）、網路瀏覽記錄識別碼（cookies identifier）等當事人於網路所留下的軌跡（traces），進而識別其身分。

GDPR第4條(5)新增「去連結化（pseudonymisation）」定義，係指處理個人資料之方式，使該個人資料在不使用額外資訊時，無法識別特定當事人，且該額外資料被分別保管，並採技術上及組織上之保護措施，以確保個人資料無法或無可識別出當事人，於GDPR第25條資料保護設計、第32條安全處理規定中，均有提及。至於「去識別化、匿名化（Anonymous Information）」之定義，於GDPR本文並未規定，而係見諸於GDPR立法說明，其認為「去識別化」資料並非已識別或可識別當事人之資訊，而成為「匿名」之個人資料。

「去識別化」資料不屬於隱私資料故不受GDPR保護，而去「連結化」資料仍然是隱私資料，因此需先釐清兩者差別。去識別化是指隱私資料經不可逆方式處理後的匿名資料，而去連結化是指一段隱私資料分開存放。因此，去識別化或去連結化均屬資料分析所採取的資料保護手段，採用何種保護手段，則需依資料分析方法及技術而定。如採用去識別化資料的資料分析結果，自然沒有隱私保護問題；惟如採用去連結化資料的資料分析結果，則仍需評估及追蹤去連結化的有效性及相關隱私保護問題。

當事人同意之明確化

相較於個人資料保護指令對當事人同意之規定，GDPR有更為明確的定義與要求，比較其二者差異，主要增加「同意方式」須以「聲明（by a statement）」或「清楚、積極的行為（by a clear affirmative action）」為之，藉此釐清個人資料保護指令時代，對於「單純不作為」是否符合同意要求的爭議。爰將GDPR第7條當事人同意條件，說明如下：

當事人之同意，應由資料管理者「證明（demonstrate）」。
以書面為同意時，須與其他事項清楚分離，並以淺白的文字表達，任何違反GDPR規則的聲明，都沒有拘束力。目的在使當事人對同意事項有清楚認識，避免資料管理者以夾帶方式，將使用個人資料之同意，隱藏在其他事項中，使當事人在不注意的情況下同意，於我國類似規定有個資法施行細則第15條，單獨所為之同意，應於適當位置使當事人得以知悉並確認。
當事人有權隨時撤回其同意，且撤回同意應與給予同意一樣容易，以確保當事人自主控制資訊之決定權。
為解決當事人經常「被迫同意」的問題，當評估同意是否出於自由意願時，考量因素包括契約之履行或服務之提供，是否以當事人須同意非屬履行契約範圍內所必要之資料為條件。GDPR草案原訂有：“Consent shall not provide a legal basis for the processing, where there is a significant imbalance between the position of the data subject and the controller.”即當事人與資料管理者間地位顯不對等時，則當事人之同意不能作為資料處理的合法依據，可見立法者企圖將締約地位不對等的情況納入考量，雖然最終版本並未採納，但其精神已呈現於立法說明中，於地位顯著失衡，或以「強迫同意」方式取得「無關」契約履行之個資時，實質上與強迫同意並無二致，該同意將欠缺有效、合法之基礎，或推定為非出於自由意願。

刪除權(被遺忘權)

以往，個人資料於日常中被搜尋引擎(Google)與社群網站(Facebook)等紀錄於無形，永久保存且無法抹滅的留存於網路上。終於在2014年5月13日，歐洲法院（Court of Justice of the European Union）針對Google Spain SL, Google Inc. v. Agencia Española de Proteccin de Datos(AEPD)案作出判決，首次探討並肯認被遺忘權（right to be forgotten）的存在。

GDPR將刪除權(Right to erasure)與被遺忘權，分別定於GDPR第17條第1、2項，並就行使要件作更精確之闡明，賦予當事人有權要求資料管理者立即刪除其個人資料，以及資料管理者有下列情形之一時，負有刪除之義務，例如：個人資料對於蒐集或處理之目的已無必要；當事人撤回其同意且欠缺其他資料處理之法律依據；當事人對資料處理提出異議；資料被違法的處理等事由。但權利的行使並非沒有限制，在主張被遺忘權時，很可能將與其他利益產生衝突（例如新聞自由、言論自由或公益等），故GDPR第17條第3項定有刪除權與被遺忘權行使的限制事由，於未來實務操作上，法益權衡將會是重大挑戰。

由於被遺忘權之主張，並非「刪除搜尋結果所連結之資訊」，而多係「刪除搜尋結果之連結」，故其適用之判斷與刪除權仍有差異，係為因應網路世代而發展出之新興權利。資料一旦公開，往往即已進入搜尋引擎所連結之廣大資料庫中，而針對應刪除之個人資料，其連結亦應相應脫鉤，才有可能在網路的世界中，尋求被遺忘的可能性。

資料可攜權

GDPR第20條定有資料可攜權Right to data portability，強化當事人對其個人資料之控制權，使其有權要求取得已提供給資料管理者之個人資料，並以通用格式存取，方便當事人將其資料在不同資料管理者間移動，例如Facebook、Twitter、微博或QQ空間等，從某一社群網站遷移到另一社群網站。

拒絕權

GDPR第21條拒絕權Right to object，賦予當事人有權基於其具體情況，隨時對資料管理者表示拒絕（反對）有關個人資料之處理，除非資料管理者能證明處理之正當性，勝過當事人權利與自由，否則應立即停止處理該個人資料。同條文第2項規定，若為直接行銷目的而處理個人資料時，當事人有權隨時拒絕資料之處理，且無例外情形。

拒絕自動化決策(剖析)的權利

隨網路科技發達，一般人的活動區域、生活習慣及行為偏好等，常於無形中被蒐集與建檔，資料管理者以自動化方式處理個人資料的分析與預測，進一步產生決策。對此，GDPR第22條賦予當事人有權不受自動化決策之拘束（not to be subject to a decision based solely on automated processing, including profiling），或至少對自動化決策有部分之人為參與（human intervention）、表達意見（to express his or her point of view）及挑戰該決策（contest the decision）之機會。

申言之，當決策單純由自動化處理產生，且該決策可能造成法律效果或重大影響時，例如網路申請貸款之自動拒絕，或不包括任何人工判斷之電子化招募，則當事人得拒絕受自動化決受所拘束，含拒絕自動化剖析（profiling）即自動化處理個人資料過程中，對個人特徵以任何形式之分析。

資料保護設計

GDPR第25、32條規定，資料管理者應實施適當之科技化且有組織的措施，該措施包括資料去連結化（pseudonymisation）或資料最少蒐集原則（data minimisation）之「資料保護設計（Data protection by design and by default）」，企業於資訊系統建置之初，即應將資料保護設計納入考量，並將保護措施納入資料處理程序。

個資外洩通知義務

GDPR第33條規定，當個人資料外洩時，資料管理者應於知悉事件發生後72小時內通知監督機關，若未能於72小時內通知，應於通知時說明遲誤之理由。另於資料委外處理時，亦規定受託業者在知悉個資外洩時，應即通知資料管理者（即委託者），統一由資料管理者負責通報。惟在通知當事人部分，則無明確規定多久期間內通知當事人。

個人資料保護影響評估

GDPR第35條規定，於蒐集、處理個人資料可能造成當事人權利及自由高度風險時，資料管理者應於資料處理前，事先進行「資料保護影響評估（Data Protection Impact Assessment，DPIA）」，評估業務活動與涉及之個資隱私風險，是否有其必要性與對稱性。DPIA與台灣企業為因應台灣個資法所進行的「隱私權衝擊分析（Privacy Impact Assessment，PIA）」精神雷同，但個資法並未明確定義PIA，而GDPR則明確定義DPIA的內涵和一致性。

資料保護長及獨立監督機關

為確保資料管理者落實法令遵循，GDPR對個人資料保護之監督，設有二種監管模式，其一為課予資料管理者設置資料保護長之義務(Data protection officer，DPO)；另一為要求歐盟各會員國建立獨立監督機關。GDPR於第37~39條規定資料保護長之指派義務，資料保護長之職位應能向最高管理階層報告，及資料保護長所擔負之任務等。要求若企業員工超過250人，且核心業務涉及歐盟居民之個資處理，則企業必須設置資料保護長，並依法履行其職務。

GDPR第六章設有獨立監督機關專章，於第51~59條規範其獨立地位、權限及職務，明定各會員國至少應設立一個獨立公務機關，專責本規則之監督事項，以保護當事人有關個人資料處理之權利與自由，及促進歐盟境內個人資料之自由流通。

跨境傳輸

對台灣企業而言，攸關最切者，當屬個人資料跨境傳輸之規定，GDPR被譽為「史上最嚴資料保護法」，對於資料跨境傳輸採「原則禁止、例外允許」之立法模式，僅於歐盟執委會認定該第三國確實具有「充足程度之保護（an adequate level of protection）」，確保資料當事人權利不受跨境傳輸而影響時，始得例外進行跨境傳輸。台灣迄今雖未取得歐盟適足性認定，惟企業仍有其他機制可資因應，以證明其有能力遵守GDPR相關義務，爰將例外得為資料跨境傳輸之三項主要事由，說明如下：

取得歐盟適足性認定（adequacy decision）：

依GDPR第45條規定，個人資料傳輸至歐盟外之第三國時，僅於歐盟官方認定該第三國於資料保護已達充足水平時，方得為之。台灣日前已由國發會主委率團赴歐，表達我國欲取得GDPR適足性認定的意願，惟台灣個資法與GDPR存有若干明顯差異，例如：獨立監督機關、資料保護長之設置、資料保護影響評估（DPIA）等，恐難於短時間內取得國家適足性認定。

具備適當保護措施（appropriate safeguards）：

依GDPR第46條規定，第三國於欠缺適足性認定時，資料管理者只能在資料接收方已具備適當保護措施下，方可將個資跨境傳輸至該第三國。企業可自主採行之適當保護措施共有四種，分述如下：

有拘束力之企業守則（Binding Corporate Rules）：跨國企業得依GDPR第47條訂定有拘束力之企業守則，確保集團內部母子公司間資料傳輸維持充足保護水準，適合跨國企業集團採用。
標準資料保護條款（Standard Contractual Clauses）：適當保護措施包括簽署標準資料保護條款，依GDPR第46條第2項第c、d款規定，該條款須經歐盟執委會或監督機關所採用。
經核准之行為守則（Codes of Conduct）：依GDPR第40條規定，歐盟各會員國、監督機關、委員會及執委會應鼓勵資料管理者自主訂定行為守則，以促進GDPR之有效適用，例如關於資料處理之公正及透明、蒐集方式、資料當事人權利之行使、對兒童資訊之保護及其法定代理人同意方式、安全性保護措施…等，並將行為守則草案提交至主管監督機關核准。
資料保護認證（Certification）：依GDPR第42條規定，歐盟各會員國、監督機關、委員會及執委會應鼓勵建立資料保護認證機制與資料保護標章、標誌，以證明資料管理者遵守GDPR規定。目前會員國已有各自之認證機制，惟歐盟層級之認證則尚未施行。

特定例外條款：

於欠缺國家適足性認定（GDPR第45條）及適當保護措施（GDPR第46條）時，GDPR第49條定有特定例外條款，允許資料管理者將個資傳輸至未具適足性及保護措施之第三國，惟應注意本條之適用順序，須先適用GDPR第45、46條後，方得考量第49條之適用可能。依GDPR第49條第1項第a款規定，資料管理者僅得於告知當事人可能之傳輸風險，並取得當事人「明確同意（explicit consent）」下進行傳輸。其他例外允許之情形如：契約上必要、基於公共利益、法律上主張、保護無法表示同意的資料當事人之重要利益…等，分別定於GDPR第49條各款。