歐盟GDPR與台灣個資法之比較分析
GDPR重要規定:
擴大適用地域範圍
相較於個資保護指令以資料管理者在「歐洲經濟區」內設有機構,或利用「設備」蒐集、處理個人資料,才適用於各會員國個資法之規定,GDPR則將適用地域明顯擴大,甚至適用於非設立於歐盟境內的資料管理者。依GDPR第3條第2項規定,本規則適用於非設立於歐盟境內之資料管理者或受託者,對於歐盟境內之資料當事人所為涉及以下行為之個人資料處理:(a)對歐盟境內之資料當事人提供商品或服務,無論資料當事人是否需付款;(b)對資料當事人於歐盟境內行為之監控。
前開條文末段所指之「監控(the monitoring)」,依GDPR立法說明,係指資料管理者以數位資訊處理技術,於網路上對當事人進行追蹤,為潛在之後續使用而將當事人資料建檔,利用技術對當事人進行剖析,以預測其個人喜好、行為或態度。
修正個人資料定義
考量科技發展及生活型態改變,歐盟於GDPR第4條(1)新增「位置資料(location data)」、「線上識別碼(online identifier)」,將之與姓名、身分證統一編號等,例示為可得識別自然人之資訊之一。依現代科技,「位置資料」應可包括透過「全球定位系統GPS」、「基地台位置資訊」及「WiFi無線接收裝置MAC位址」所顯示的個人位置資訊。至於「網路識別碼」,依GDPR立法說明,應指透過裝置、應用程式、工具及通訊協定所賦予的識別碼,例如:網路IP位址(internet protocol addresses)、網路瀏覽記錄識別碼(cookies identifier)等當事人於網路所留下的軌跡(traces),進而識別其身分。
GDPR第4條(5)新增「去連結化(pseudonymisation)」定義,係指處理個人資料之方式,使該個人資料在不使用額外資訊時,無法識別特定當事人,且該額外資料被分別保管,並採技術上及組織上之保護措施,以確保個人資料無法或無可識別出當事人,於GDPR第25條資料保護設計、第32條安全處理規定中,均有提及。至於「去識別化、匿名化(Anonymous Information)」之定義,於GDPR本文並未規定,而係見諸於GDPR立法說明,其認為「去識別化」資料並非已識別或可識別當事人之資訊,而成為「匿名」之個人資料。
「去識別化」資料不屬於隱私資料故不受GDPR保護,而去「連結化」資料仍然是隱私資料,因此需先釐清兩者差別。去識別化是指隱私資料經不可逆方式處理後的匿名資料,而去連結化是指一段隱私資料分開存放。因此,去識別化或去連結化均屬資料分析所採取的資料保護手段,採用何種保護手段,則需依資料分析方法及技術而定。如採用去識別化資料的資料分析結果,自然沒有隱私保護問題;惟如採用去連結化資料的資料分析結果,則仍需評估及追蹤去連結化的有效性及相關隱私保護問題。
當事人同意之明確化
相較於個人資料保護指令對當事人同意之規定,GDPR有更為明確的定義與要求,比較其二者差異,主要增加「同意方式」須以「聲明(by a statement)」或「清楚、積極的行為(by a clear affirmative action)」為之,藉此釐清個人資料保護指令時代,對於「單純不作為」是否符合同意要求的爭議。爰將GDPR第7條當事人同意條件,說明如下:
- 當事人之同意,應由資料管理者「證明(demonstrate)」。
- 以書面為同意時,須與其他事項清楚分離,並以淺白的文字表達,任何違反GDPR規則的聲明,都沒有拘束力。目的在使當事人對同意事項有清楚認識,避免資料管理者以夾帶方式,將使用個人資料之同意,隱藏在其他事項中,使當事人在不注意的情況下同意,於我國類似規定有個資法施行細則第15條,單獨所為之同意,應於適當位置使當事人得以知悉並確認。
- 當事人有權隨時撤回其同意,且撤回同意應與給予同意一樣容易,以確保當事人自主控制資訊之決定權。
- 為解決當事人經常「被迫同意」的問題,當評估同意是否出於自由意願時,考量因素包括契約之履行或服務之提供,是否以當事人須同意非屬履行契約範圍內所必要之資料為條件。GDPR草案原訂有:“Consent shall not provide a legal basis for the processing, where there is a significant imbalance between the position of the data subject and the controller.”即當事人與資料管理者間地位顯不對等時,則當事人之同意不能作為資料處理的合法依據,可見立法者企圖將締約地位不對等的情況納入考量,雖然最終版本並未採納,但其精神已呈現於立法說明中,於地位顯著失衡,或以「強迫同意」方式取得「無關」契約履行之個資時,實質上與強迫同意並無二致,該同意將欠缺有效、合法之基礎,或推定為非出於自由意願。
刪除權(被遺忘權)
以往,個人資料於日常中被搜尋引擎(Google)與社群網站(Facebook)等紀錄於無形,永久保存且無法抹滅的留存於網路上。終於在2014年5月13日,歐洲法院(Court of Justice of the European Union)針對Google Spain SL, Google Inc. v. Agencia Española de Proteccin de Datos(AEPD)案作出判決,首次探討並肯認被遺忘權(right to be forgotten)的存在。
GDPR將刪除權(Right to erasure)與被遺忘權,分別定於GDPR第17條第1、2項,並就行使要件作更精確之闡明,賦予當事人有權要求資料管理者立即刪除其個人資料,以及資料管理者有下列情形之一時,負有刪除之義務,例如:個人資料對於蒐集或處理之目的已無必要;當事人撤回其同意且欠缺其他資料處理之法律依據;當事人對資料處理提出異議;資料被違法的處理等事由。但權利的行使並非沒有限制,在主張被遺忘權時,很可能將與其他利益產生衝突(例如新聞自由、言論自由或公益等),故GDPR第17條第3項定有刪除權與被遺忘權行使的限制事由,於未來實務操作上,法益權衡將會是重大挑戰。
由於被遺忘權之主張,並非「刪除搜尋結果所連結之資訊」,而多係「刪除搜尋結果之連結」,故其適用之判斷與刪除權仍有差異,係為因應網路世代而發展出之新興權利。資料一旦公開,往往即已進入搜尋引擎所連結之廣大資料庫中,而針對應刪除之個人資料,其連結亦應相應脫鉤,才有可能在網路的世界中,尋求被遺忘的可能性。
資料可攜權
GDPR第20條定有資料可攜權Right to data portability,強化當事人對其個人資料之控制權,使其有權要求取得已提供給資料管理者之個人資料,並以通用格式存取,方便當事人將其資料在不同資料管理者間移動,例如Facebook、Twitter、微博或QQ空間等,從某一社群網站遷移到另一社群網站。
拒絕權
GDPR第21條拒絕權Right to object,賦予當事人有權基於其具體情況,隨時對資料管理者表示拒絕(反對)有關個人資料之處理,除非資料管理者能證明處理之正當性,勝過當事人權利與自由,否則應立即停止處理該個人資料。同條文第2項規定,若為直接行銷目的而處理個人資料時,當事人有權隨時拒絕資料之處理,且無例外情形。
拒絕自動化決策(剖析)的權利
隨網路科技發達,一般人的活動區域、生活習慣及行為偏好等,常於無形中被蒐集與建檔,資料管理者以自動化方式處理個人資料的分析與預測,進一步產生決策。對此,GDPR第22條賦予當事人有權不受自動化決策之拘束(not to be subject to a decision based solely on automated processing, including profiling),或至少對自動化決策有部分之人為參與(human intervention)、表達意見(to express his or her point of view)及挑戰該決策(contest the decision)之機會。
申言之,當決策單純由自動化處理產生,且該決策可能造成法律效果或重大影響時,例如網路申請貸款之自動拒絕,或不包括任何人工判斷之電子化招募,則當事人得拒絕受自動化決受所拘束,含拒絕自動化剖析(profiling)即自動化處理個人資料過程中,對個人特徵以任何形式之分析。
資料保護設計
GDPR第25、32條規定,資料管理者應實施適當之科技化且有組織的措施,該措施包括資料去連結化(pseudonymisation)或資料最少蒐集原則(data minimisation)之「資料保護設計(Data protection by design and by default)」,企業於資訊系統建置之初,即應將資料保護設計納入考量,並將保護措施納入資料處理程序。
個資外洩通知義務
GDPR第33條規定,當個人資料外洩時,資料管理者應於知悉事件發生後72小時內通知監督機關,若未能於72小時內通知,應於通知時說明遲誤之理由。另於資料委外處理時,亦規定受託業者在知悉個資外洩時,應即通知資料管理者(即委託者),統一由資料管理者負責通報。惟在通知當事人部分,則無明確規定多久期間內通知當事人。
個人資料保護影響評估
GDPR第35條規定,於蒐集、處理個人資料可能造成當事人權利及自由高度風險時,資料管理者應於資料處理前,事先進行「資料保護影響評估(Data Protection Impact Assessment,DPIA)」,評估業務活動與涉及之個資隱私風險,是否有其必要性與對稱性。DPIA與台灣企業為因應台灣個資法所進行的「隱私權衝擊分析(Privacy Impact Assessment,PIA)」精神雷同,但個資法並未明確定義PIA,而GDPR則明確定義DPIA的內涵和一致性。
資料保護長及獨立監督機關
為確保資料管理者落實法令遵循,GDPR對個人資料保護之監督,設有二種監管模式,其一為課予資料管理者設置資料保護長之義務(Data protection officer,DPO);另一為要求歐盟各會員國建立獨立監督機關。GDPR於第37~39條規定資料保護長之指派義務,資料保護長之職位應能向最高管理階層報告,及資料保護長所擔負之任務等。要求若企業員工超過250人,且核心業務涉及歐盟居民之個資處理,則企業必須設置資料保護長,並依法履行其職務。
GDPR第六章設有獨立監督機關專章,於第51~59條規範其獨立地位、權限及職務,明定各會員國至少應設立一個獨立公務機關,專責本規則之監督事項,以保護當事人有關個人資料處理之權利與自由,及促進歐盟境內個人資料之自由流通。
跨境傳輸
對台灣企業而言,攸關最切者,當屬個人資料跨境傳輸之規定,GDPR被譽為「史上最嚴資料保護法」,對於資料跨境傳輸採「原則禁止、例外允許」之立法模式,僅於歐盟執委會認定該第三國確實具有「充足程度之保護(an adequate level of protection)」,確保資料當事人權利不受跨境傳輸而影響時,始得例外進行跨境傳輸。台灣迄今雖未取得歐盟適足性認定,惟企業仍有其他機制可資因應,以證明其有能力遵守GDPR相關義務,爰將例外得為資料跨境傳輸之三項主要事由,說明如下:
- 取得歐盟適足性認定(adequacy decision):
依GDPR第45條規定,個人資料傳輸至歐盟外之第三國時,僅於歐盟官方認定該第三國於資料保護已達充足水平時,方得為之。台灣日前已由國發會主委率團赴歐,表達我國欲取得GDPR適足性認定的意願,惟台灣個資法與GDPR存有若干明顯差異,例如:獨立監督機關、資料保護長之設置、資料保護影響評估(DPIA)等,恐難於短時間內取得國家適足性認定。
- 具備適當保護措施(appropriate safeguards):
依GDPR第46條規定,第三國於欠缺適足性認定時,資料管理者只能在資料接收方已具備適當保護措施下,方可將個資跨境傳輸至該第三國。企業可自主採行之適當保護措施共有四種,分述如下:
- 有拘束力之企業守則(Binding Corporate Rules):跨國企業得依GDPR第47條訂定有拘束力之企業守則,確保集團內部母子公司間資料傳輸維持充足保護水準,適合跨國企業集團採用。
- 標準資料保護條款(Standard Contractual Clauses):適當保護措施包括簽署標準資料保護條款,依GDPR第46條第2項第c、d款規定,該條款須經歐盟執委會或監督機關所採用。
- 經核准之行為守則(Codes of Conduct):依GDPR第40條規定,歐盟各會員國、監督機關、委員會及執委會應鼓勵資料管理者自主訂定行為守則,以促進GDPR之有效適用,例如關於資料處理之公正及透明、蒐集方式、資料當事人權利之行使、對兒童資訊之保護及其法定代理人同意方式、安全性保護措施…等,並將行為守則草案提交至主管監督機關核准。
- 資料保護認證(Certification):依GDPR第42條規定,歐盟各會員國、監督機關、委員會及執委會應鼓勵建立資料保護認證機制與資料保護標章、標誌,以證明資料管理者遵守GDPR規定。目前會員國已有各自之認證機制,惟歐盟層級之認證則尚未施行。
- 特定例外條款:
於欠缺國家適足性認定(GDPR第45條)及適當保護措施(GDPR第46條)時,GDPR第49條定有特定例外條款,允許資料管理者將個資傳輸至未具適足性及保護措施之第三國,惟應注意本條之適用順序,須先適用GDPR第45、46條後,方得考量第49條之適用可能。依GDPR第49條第1項第a款規定,資料管理者僅得於告知當事人可能之傳輸風險,並取得當事人「明確同意(explicit consent)」下進行傳輸。其他例外允許之情形如:契約上必要、基於公共利益、法律上主張、保護無法表示同意的資料當事人之重要利益…等,分別定於GDPR第49條各款。
大幅提高罰鍰金額
歐盟為彰顯對個資隱私保護之決心,於GDPR新規大幅提高罰鍰金額,依違規情節制定二種程度之罰鍰,最高可處2,000萬歐元(約新台幣7.2億元),或前一會計年度全球年營業額之4%,並以較高者為準。
留言列表