國外個人資料保護架構

國外個人資料保護架構十分多元，為銜接後續討論，此節列出與我國個資法

7 該句全文：“We are too prone to make technological instruments the scapegoats for the sins of those who wield them. The products of modern science are not in themselves good or bad; it is the way they are used that determines their value.”

8 古清華，個人資料保護相關議題探討，資訊法務透析，第 5 卷第 6 期，1993 年 6 月，頁 24-25。

立法相關之國外個人資料保護架構，有利協助解決我國各項個人資料保護法適用 之問題。我國電腦處理個人資料保護法立法之初係參照 OECD 所揭示的八大原則 來訂立，修正草案亦參考了他國的立法，例如：德國、奧地利、荷蘭、丹麥、西 班牙、日本、澳洲及紐西蘭，這期間還適逢 APEC 亞太經濟合作會議欲研擬 APEC 隱私保護綱領⁹，以上皆為影響我國個人資料保護架構設計之規範，因此進入本研 究核心問題前，先討論及分析上述規範之重點。以下就 OECD 隱私保護原則、歐 盟隱私保護規範、APEC 的個資保護制度做說明，另因美國隱私保護制度有其特 殊性值得討論，故亦納入本節之中。

第一項 OECD 隱私保護及個人資料之跨國傳輸指導原則

在全球化的時代，經濟合作暨發展組織（Organization for Economic Co-operation and Development，縮寫 OECD）研究社會、經濟、環境等各項議題並 尋求解決方案。由於數據自動處理及傳輸技術的進步，資料流動範圍不僅限於一 國境內，已開始跨越國界，因此與個人相關的數據資料隱私保護更成為不容小覷 之議題。此外，各國立法間的差異亦造成個人相關之數據資料於傳遞上的障礙，

可能使得國家商業經濟如銀行、保險等事業發展產生不利影響。有鑑於上述情形，

1980 年 OECD 建立「保護隱私和個人資料跨國流通指導原則」，即 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，

建立統一指導方針，以達保護人權及避免國際數據傳輸發生障礙。然隨著科技的 進步，資料傳遞之風險不同以往，2013 年 OECD 對於 1980 年頒布之指引進行修 正，以風險管理（Risk management）和全球資料流通的互動性（Improved interoperability）為修正的兩大核心，納入國家隱私策略（National privacy strategies）、隱私管理程序（Privacy management programs）、資安威脅通報

9 劉佐國，個人資料保護法釋義與實務：如何面臨個資保護的新時代，碁峰資訊出版社，第二版，

2015 年 10 月，頁 3-5。

（Data security breach notification）等新概念¹⁰。

OECD 個資隱私保護綱領作為對隱私保護的基本原則的共識，得為國家現有 法律修正的參考，尚未有相關法律的國家則可以做為立法的基礎。OECD 保護綱 領提出個資保護的八大原則¹¹，包括：

一、限制蒐集原則（Collection Limitation Principle）

個人資料的蒐集應限制在合法且公平的手段，並應以適當之方式取得當事人 的同意。

二、資料內容正確原則（Data Quality Principle）

個人資料內容必須與使用的目的有關並具備必要性，且必須確保個人資料內 容的正確、完整、隨時更新。

三、利用目的明確原則（Purpose Specification Principle）

個人資料的蒐集目的在蒐集時即需明確表明，後續使用也必須在目的範圍內，

若蒐集目的有任何變更應指明變更後的目的。

四、限制利用原則（Use Limitation Principle）

個人資料不可做違反特定目的允許之揭露、公開或其他使用，除非已獲得當 事人同意或受法律允許。

五、安全保護原則（Security Safeguards Principle）

應有合理適當之安全措施保護個人資料，以降低個人資料發生遺失、不當存 取、毀損、使用、修改或揭露之風險。

10 OECD Privacy Guidelines (2013), available at: http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm (last visited Mar. 29, 2018)

11 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, available at:

http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsof personaldata.htm (last visited Mar. 29, 2018)

六、公開原則（Openness Principle）

對於個人資料的發展、實務與政策應依公開原則為之；此外，關於個人資料 的性質、特定目的和個資控管者的身分及聯絡方式同樣應公開，保持當事人知悉 管道的暢通。

七、個人參加原則（Individual Participation Principle）

個人資料當事人應擁有下列各項權利，包括有權向資料控管者確認是否持有 與其有關的個人資料、合理的時間和費用的前提下，有權向資料控管者查詢與其 有關的個人資料、前兩項權利若遭拒絕，得提出異議要求資料控管者說明、若該 異議成立，有權要求將其個人資料刪除、修正、補充或變更。

八、責任原則（Accountability Principle）

個資控管者應負責並確保以上各項隱私保護原則之落實。

綜觀 OECD 保護綱領的內容，資訊自決權表現於限制利用原則以及個人參加 原則；關於敏感性個資，並無特別將其區分出來，但在綱領之解釋性備忘錄中

（Explanatory Memorandum）對於原則的說明提及「蒐集的資料會因該資料後續 處理的方式、資料性質及將被使用的環境等因素影響其敏感之程度」。然而是否 可列舉特定類型、類別的資料謂其係本質上具敏感性之資料，進而限制甚至禁止 該等資料的蒐集行為，不同國家持有不同看法，如歐洲有立法例採取肯定見解，

將種族、宗教信仰、犯罪紀錄等視為具敏感性之個人資料。相反地，美國的隱私 立法例認為沒有數據本質上就是敏感的，然而會因所處背景和用途變得具敏感性。

OECD 雖曾嘗試列舉敏感性標準，如歧視風險（Risk of discrimination），最終 仍認為缺少足以被認為是敏感性資料的普遍定義，此標準也因各成員國的傳統和 國情而有差異，因此本個資保護綱領中的限制蒐集原則僅作最基本的聲明，即收 集個人資料應有限制。

第二項 歐盟個人資料保護架構

有鑑於資料處理技術進步快速，1981 年歐洲理事會（Council of Europe）

制定「保護自動化處理個人資料公約」（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data），在 自動化處理技術範圍內，對個人資料的定義、個人資料保護和跨國資料傳輸等作 加一致，1995 年歐洲議會暨歐聯理事會（The European Parliament and of the Council）通過「歐盟個人資料保護指令」（The European Union Data Protection Directive: EU Directive 95/46/EC），共 34 條。該指令對歐盟的會員國均產生 拘束力，但不能直接約束企業或公民，會員國應以指令內容為依據，考量自身國 情制定國內個人資料保護的相關法令。「歐盟個人資料保護指令」對於個人資料 之保護範圍包括自動化處理及非以自動化方式處理之個人資料¹³，關於特別資料

12 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Article 6 – Special categories of data :

Personal data revealing racial origin, political opinions or religious or other beliefs, as well as personal data concerning health or sexual life, may not be processed automatically unless domestic law provides appropriate safeguards. The same shall apply to personal data relating to criminal convictions. available at: https://rm.coe.int/1680078b37 (last visited Mar. 29, 2018)

13 EU Directive 95/46/EC Article 3–Scope :

1. This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.

2. This Directive shall not apply to the processing of personal data:

- in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,

類別的規定在第 8 條，及敏感資料之處理，會員國應禁止種族血緣、政治意向、

宗教或哲學信仰、商會會員、健康或性生活等有關資料，除非當事人明示同意、

資料管理人依法職掌、當事人實質或依法不能為同意之表示而為當事人之重大利 益所需、非營利團體基於法定活動限於其會員或經常聯繫者且訂有適當安全維護 措施、係已顯然公開之資料或為行使法律上主張者。

然而如前所述，「歐盟個人資料保護指令」在各會員國落實的程度仍因各國 內法而異，進一步增加跨國企業之營業成本，不利資料流通，歐盟因此期許能建 置一套統一之規範。此外，自 1995 年至今，科技環境和資料運用技術大有不同，

有必要對舊行指令進行修正。順應這樣的呼聲，歐盟在 2016 年 4 月通過「通用 資料保護法案」（General Data Protection Regulation，簡稱 GDPR），取代「歐 盟個人資料保護指令」，並於 2018 年 5 月 25 日正式生效¹⁴。相較於「歐盟個人資 料保護指令」，即 95/46/EC 指令，GDPR 最大之異處在於不再透過各歐盟會員國 制定國內法，而直接將 GDPR 適用至各國，以形成強力且一致的法律規範，歐盟 國與國之間不再有隱私規範上的歧異。GDPR 共 11 章 99 條，與先前的 95/46/EC 指令相比，其關鍵變化如下¹⁵：

一、適用之地域範圍擴大

一旦處理歐盟內主體之個人資料，無論該公司是否設置於境內或處理的設備、

行為是否發生於歐盟境內，均須統一受 GDPR 規範之拘束。向歐盟公民提供商品 或服務，及對於歐盟域內發生的行為進行監控觀測等，不論是否涉及金錢交易，

均在 GDPR 規範範圍內。此時，GDPR 適用範圍非常明確，以達消除各國法規歧異 之目的。

- by a natural person in the course of a purely personal or household activity.

14 GDPR Timeline of Events, available at: https://www.eugdpr.org/gdpr-timeline.html (last visited Mar.

29, 2018)

15 GDPR Key Changes, available at: https://www.eugdpr.org/key-changes.html (last visited Mar. 29, 2018)

二、明訂高額罰則

根據 GDPR，違反 GDPR 的規範可能會受到高達全球年營業額的 4%或 2000 萬 歐元的罰款，金額以較高者為準，這樣明確的罰則規範在 95/46/EC 指令中是沒 有的。

三、當事人同意

當事人同意的要件規定比過去明確且強度增加，根據 GDPR，取得當事人同 意的文書不得使用複雜的法律規定或用語，必須簡單明瞭、易於理解。又當事人 對個資處理之同意必須清楚明確、易於理解，且須與對於其他事項的同意相區別，

撤回同意的方式亦同。

四、設置資料保護官

GDPR 要求核心活動需要進行大規模的定期和系統性監測、特殊類別資料，

或 與 刑 事 犯 罪 有 關 的 資 料 控 管 者 、 處 理 者 必 須 設 置 資 料 保 護 官 ， 即 Data Protection Officer（DPO），以確保有效遵循法律規定。DPO 除了須依法行使職 權，例如直接向最高管理階層報告等外，也有一定之法律責任，例如不可擔任可 能形成利益衝突的其他職務等。

五、資料當事人之權利

（一）強制通報義務（Breach Notification）

（一）強制通報義務（Breach Notification）