國際標準化組織(International Organization for Standardization, ISO)於 2011 年 12 月發行了一份個人資料保護框架之標準,編號爲「ISO/IEC 29100:2011」。
按文獻隱私框架的基本要素大致上可以區分爲主體(人)面向、客體(資料)
面向與行爲面向,主體面向即是在這個框架內參與之角色爲何,以及資料如何在這 些主體間流動。客體面向之重點在判斷何者爲此一標準要保護之「資料」。行爲面 向即針對要保護之資料所應採取之保護要求,及因應要求所訂定之政策與實施之 控制。基於框架性質之槪念,此份標準之目標僅在協助設計、建置並維運資通訊系 統,進行個人資料之應用與保護。189
一、主體面向
參與之相關角色
在資料蒐集、處理及利用的過程當中,參與的角色在此標準中區分爲資料當事 人、資料管理者、資料處理者以及第三方。資料當事人即爲各該資料所指涉之本人,
以下就其他三者簡單說明。
187 張乃文(2008),〈談美國對於網站平臺提供者揭露用戶資料規範及程序〉,《科技法律透析》,20 卷 11 期,頁 20-21。
188 ISO, ISO/IEC 29100:2011(en) Information technology-Security techniques-Privacy framework, at https://www.iso.org/obp/ui/#iso:std:iso-iec:29100:ed-1:v1:en (last visited 03/22/2018)。
189 蘇柏毓(2012),〈國際個資標準參考──隱私保護框架 ISO29100〉,《科技法律透析 24 卷 11 期》,頁 7。
doi:10.6342/NTU201804062
164
1. 資料管理者(controller)
決定資料利用目的與處理方式者,負有遵守隱私框架原則之義務,如小心確認 其是否蒐集敏感性資料,並採取合理適當的隱私安全控制。
2. 資料處理者(processor)
受資料管理者之委託,並受其指示而實際處理資料之人,在處理過程中,確認 應遵守之隱私控制要求,並實際執行之。
3. 第三方(third party)
從資料管理者或處理者接收資料之第三方角色,但並非爲了管理者或處理者 目的進行資料之處理、利用,因此從其可自行決定利用目的之角度來看,亦可認爲 其屬於資料管理者。190
(二)資料傳輸流向
資料原則上就是在上述各個角色間,因應蒐集、處理與利用之需求,進行傳輸 之流程,大略可以分爲以下幾種情況:
1.資料當事人提供給資料管理者,如當事人向管理者註册服務帳號。
2.資料管理者提供給資料處理者,委託其代爲處理。
3.資料當事人於上述委託處理之情形,提供給資料處理者。
4.資料管理者提供給資料當事人,如當事人査詢其個人資料時。
5.資料處理者提供給資料當事人,如受資料管理者指示提供時。
6.資料處理者提供給資料管理者,如將受委託處理之結果回報給管理者。
7.資料管理者提供給第三方,如在相關合作契約內有約定之情況。
8.資料處理者提供給第三方,如受資料管理者指示提供時。
二、客體面向
在建立個人資料保護管理程序前,重要的先決條件就是決定何者是需要納入
190 蘇柏毓,前揭註 189,頁 8。
doi:10.6342/NTU201804062
165
保護範圍內之「個人資料」,標準針對以下幾種判斷要素或類型來分辨何謂個人資 料:
(一)識別符碼(identifiers)
某些可直接與特定人連結之代碼,如社會安全號碼、護照號碼、帳戶號碼,或 者可聯繫特定人之代碼,如精確之位置資訊、電話號碼等。
(二)其他可識別之特徵或可連結至當事人之資料
某些特徵資訊未必直接可連結至當事人,但是加以組合後,在特定範圍內仍可 使該當事人被凸顯及識別,如在特定公司內的「45 歲」、「女性」、「律師」,即很有 可能加以找尋出該特定人,因此該相關資訊均在特定領域內可被認爲是個人資料。
(三)假名之資料(Pseudonymous data)
在某些情況下,爲了要保護當事人不受辨識,則會採用使之假名化之方式,採 用代號與資料庫連結之方式,避免可識別之當事人資料直接暴露在外。假名化仍保 有與可識別資料回復連結之可能性,因此仍有成爲個人資料之可能性,但若成爲匿 名化(anonymization)之資料,即不復辨認而非個人資料。
(四)後設資料(Metadata)
後設資料乃作爲說明資料狀況之用,該後設資料中可能亦包含個人資料,如資 料之製作人爲何,或由誰修改資料之紀錄。
(五)被動蒐集之資料
某些資料並非由資料管理者或處理者主動蒐集,而是在資通訊系統蒐集其他 資料之過程中由當事人所主動提供。
(六)敏感性資料
某些資料因性質較爲特殊敏感,任意使用會對當事人造成重大之傷害,因此可 能需要以特殊的預防或控制機制進行管控,如原則禁止蒐集之規定或特定加密之 處理機制。191
191 蘇柏毓,前揭註 189,頁 9。
doi:10.6342/NTU201804062
166
三、行爲面向
(一)隱私安全要求
保護個人資料之理由衆多,包括保護當事人隱私權、遵守法令要求、落實公司 責任、加強消費者信賴等。因此在蒐集、處理、利用個人資料之過程中,如何規劃 相關隱私安全要求,也必須考量各種面向。在設計資通訊系統以執行或與個人資料 有關之新業務或重大業務變更前,應先考量隱私相關問題,通常會以風險管理之方 式爲之。大致順序爲掌握組織環境、風險之評鑑、風險之因應、與利害關係人之溝 通與諮商、因應程序之監控與改善,其產出可用隱私衝擊評估爲之。
考量隱私安全要求之第一個面向爲法令遵守,應遵守包括國際與國内法、行政 命令、法院判決及組織與行業間之協議,要達成此一任務應配合事先與法律專家之 合作與討論。
第二個面向爲契約義務,資料處理過程中之相關角色,對於資料處理之方式可 能有不同之協議或特定要求,有時甚至是公司爲維持商譽所採之政策,故隱私安全 要求必須針對各該協議或政策爲之。
第三個面向爲業務類型,當所營運之業務種類不同時,其隱私安全要求即有所 不同,可依據行業相關準則或最佳實務作法進行規劃,但基本之安全要求則不因業 務需求不同而有所差異。
第四個面向爲其他需求,特別像是當事人的隱私需求偏好,如是否將資料匿名 化或是否選擇提供資料用於後續行銷,應該都在系統設計時加以考慮,並利用互動 式工具讓當事人更方便做出選擇。
(二)隱私政策
隱私管理之首要工作爲建立隱私政策,此一政策應符合單位利用資料之目的,
作爲管理之框架,並包含滿足隱私安全要求與持續改善之承諾。此外,單位內部必 須對此政策達成共識,並使利害關係人便於取得政策。單位應將此一政策文件化,
特別是若有將政策具體化之控制機制時更應明確規定。
doi:10.6342/NTU201804062
167
附帶一提,「隱私政策」一詞,通常於單位對內或對外之政策均可適用,對內 之隱私政策即指於進行隱私管理時所訂定之目標、規則、義務、限制或控制。而對 外之隱私政策則指關於隱私管理相關執行事項之資訊吿知,或相關聯絡方式等,而 此份標準中所指之隱私政策則爲對內意義。
(三)隱私控制措施
經過隱私衝擊評估確定隱私安全要求後,應進一步訂定並執行相關隱私控制 措施,而此種措施最好能在系統設計時便納入考量,避免後續調整系統所增加不必 要的成本。不同的個人資料處理程序可依其面臨風險之差異,而採用不同等級之控 制措施。192
四、IS029100 之隱私原則
標準中參考世界各國及相關國際組織目前已採用的隱私保護原則,針對建置 資通訊系統所需,訂定相關原則,作爲隱私政策或隱私控制措施之參考。此等原則 可作爲監督隱私管理機制是否妥善運作之基礎標準。以下介紹各項原則之內涵與 符合各原則之要件。
(一)同意與自主
除當事人無法自由選擇是否同意或法律規定無須當事人同意,應提供當事人 選擇是否同意提供個人資料之機會,此同意應爲明確之同意,且應事先吿知相關資 訊、得行使之權利以及得保留同意之自由。另外,除法律另有規定外,應以「選擇 加入」(opt-in)之方式蒐集敏感性資料。而當事人撤回其同意時,除另有法律要求 外,應停止利用相關個人資料。
除了基本的同意權外,如當事人有其他隱私偏好,或法律有其他規定,亦應加 以考慮。
(二)利用目的之合法與闡明該目的
192 蘇柏毓,前揭註 189,頁 10-11。
doi:10.6342/NTU201804062
168
應確保利用目的符合相關法令,並於蒐集或利用於其他新目的時,選擇可清楚 通知之語言通知資料當事人該目的爲何。若資料爲敏感性資料時,應充分說明其目 的,並確保其目的合乎法令要求或經主管機關授權爲之。
(三)蒐集限制
蒐集個人資料必須符合法令規定,並限於利用目的之必要範圍內。無論在數量 或種類方面,單位均應謹愼確定所蒐集之資料的確有助於目的之達成,並應紀錄資 料之種類與其蒐集之正當性。
某些法令可能允許在經過當事人同意時,得蒐集額外之資料,但應確保已給予 當事人足夠之選擇自由。
(四)資料最小化
除了在蒐集行爲以特定目的加以限制外,資料最小化原則更要求在處理過程 中各方面的最小化,如可接觸資料之人數限制,僅有在執行法定職務時才可接觸資 料,並降低處理過程中識別當事人之可能性,而在特定目的消失時應刪除資料或作 適當之處理。
(五)利用、保存與揭露之限制
無論是資料之利用、保存和揭露,均應於具體、明確且合法之特定目的必要範 圍內爲之,於特定目的消失時,應以安全之方式加以刪除或匿名化,但於法律另有 規定應繼續保存時,則應加以封存(locking)避免再利用。當資料有跨國傳輸之情 形,並應遵守各國之相關要求。
無論是資料之利用、保存和揭露,均應於具體、明確且合法之特定目的必要範 圍內爲之,於特定目的消失時,應以安全之方式加以刪除或匿名化,但於法律另有 規定應繼續保存時,則應加以封存(locking)避免再利用。當資料有跨國傳輸之情 形,並應遵守各國之相關要求。