第二章 電子商務下資訊流通與資料保護現況
第二節 各國資料保護制度之差異
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
11
護措施。本節以下將先介紹資料保護概念之發展,接著進一步了解這樣的概念在 各 TPP 談判各國法制中實踐之樣態。此外,跨境資料保護為本文之焦點,故以下 也將介紹上述各國對於跨境資料傳輸之管制。
壹、 資料保護理念發展
個人資料保護這個概念,是隱私權概念中的一環,而隱私權在法律上的概念 最先是從美國開始發酵,接著經由案例的累積充實隱私權的實質內涵。隱私權許 多重要的論點最先見於 1890 年 12 月出刊的哈佛法學評論中,由山謬‧華倫
(Samuel D. Warren)和路易斯‧布蘭迪(Louis D. Brandeis)共同執筆「隱私權」
(The Right to Privacy)一文,對後續的實務見解以及學說影響甚鉅。
到了 1960 年代,美國各州已累積有數以百計的案例,但隱私權的明確內容卻 未被界定25。1960 年,威廉‧普洛瑟(William L. Prosser)教授在加州法學評論
(California Law Review)上發表「隱私」一文,從「侵權行為法」的相關案例中,
將涉及隱私權侵害的侵權行為整理出四種:為謀財物或其他利益而利用他人之姓 名或肖像(right of publicity);對他人私密或其他利益為不合理並高度令人厭惡
(intrusion of seclusion)之侵入;不涉公眾正當知之權利而揭露他人私事,使其極 為不快(public disclosure of private facts);或以明知或可得而知之不實陳述使他人 蒙羞(false light in the public eye)26。也就是說,在美國法制屬判例法(common law)
的背景下,隱私權的具體概念內涵係由其民法中「侵權行為法」下的各個判例所 逐漸整理、歸納出來的。而在法律位階上,隱私權在美國原先是屬於侵權行為法 的問題,而後續透過憲法增補條文,才逐漸提升至基本權利的層次;例如以美國
25 簡榮宗,隱私權的歷史,財團法人民間司法改革基金會,2006 年 6 月 25 日,取自:
http://www.jrf.org.tw/newjrf/rte/myform_detail.asp?id=753(最後瀏覽日:2014 年 9 月 29 日)
26 William Lloyd Prosser, W. Page Keeton, Dan B. Dobbs, Robert E. Keeton, David G. Owen, Prosser and Keeton on Torts, 5th ed., 1984, ch.20.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
12
憲法增補條文第十四條所規定的自由及正當法律程序,規範使用避孕藥、墮胎、
個人生活相關資料的管制及重大議題27。
1968 年,受到美國隱私權相關論著及資訊的影響,德國掀起了有關資料保護 議題的浪潮,最早的「資料保護法」便出現於 1970 年德國的黑森邦(German Federal State of Hessen)。在德國法制中,並不存在「隱私權」一詞,而在實證法學以及法 釋義學的討論中,「隱私權」之用語亦未被廣為採納,德國法下隱私權的「概念」
及相關受保護的利益,是用另一種方式存在與呈現28。在德國的基本法中(相當於 憲法層級)的「一般人格權」是與隱私權相對應的概念,但兩者並不完全相同。
一般人格權在概念上包括生命、身體、健康、自由,名譽、隱私等等,加上經由 案例累積,形成相對應的保護範圍。總而言之,美國隱私權的概念,係散佈在一 般人格權中之各處。在時序上,1970 年出現資料保護法後,再來 1976 年德國通過 聯邦個人資料保護法,接著於 1983 由德國聯邦憲法法院在判決中首次提出「資訊 自決權」,資訊自決權自此才成為個人資料保護之憲法基礎29。而繼德國之後,隨 後有瑞典(1973)、葡萄牙(1976)、法國、西班牙與奧地利(1978)等國,制定 資料保護規範或將資料保護納入憲法所保護之權利中30。
在其他國家方面,隱私權以及資料保護之概念受到重視,多是受到歐美的影 響。日本方面,隱私權的概念最先於 1935 年由末延三次博士發表「英美法中的秘 密保護」一文,探討英美案例中隱私權概念之生成,但整體的理論架構之形成,
還是在 1960 年代後。1964 年由東京地方法院針對「宴之後」這本影射政治人物的
27 王澤鑑,「侵權行為法」,元照出版社,2010 年 3 月,頁 160。
28 但為了敘述上的方便性,下文仍以隱私權指稱德國法中的相關概念。
29 邱琳雅,《德國聯邦個人資料保護法》,財金書房,財團法人金融聯合徵信中心,2008 年 10 月,
頁 61。
30 Petra Hoepner, Linda Strick and Martin Löhe, Historical Analysis on European Data Protection Regulations, Fraunhofer Institut FOKUS, 2012, p11.
‧
美國家,是由「人身保護法」(habeas corpus)衍伸出「你應該擁有資料」(habeas data)的概念保護個人資料。整體而言,拉丁美洲國家的憲法係將隱私權納入作為國民
32 Alberto J. Cerda Silva, Personal Data Protection and Online Service in Latin America, Towards an Internet Free of Censorship, Proposal for Latin America, 2011, p.167.
‧
體案例的適用,在各個國家創造出相似卻又獨特的內涵。Robert Alexy 認為,憲法 條文在具體案例的適用上,可能會造成規則在意義上的不確定性與模稜兩可的狀‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
15
國經濟活動之進行,也影響著各國對資料安全之維護,具有更高的重要性。是以 本文以下將概略地介紹各國之資料保護制度,並特別聚焦於跨境資訊流通的相關 規定。此外,礙於篇幅之限制,本文僅就 TPP 談判國之制度介紹之,最後歸納各 國制度間的異同,而在以下的介紹中,由於汶萊無個人資料隱私保護相關規範,
故本文在此不予討論。
一、 美國
美國在聯邦層級,沒有一套整體性、涵括各個領域的個人資料保護法,大多 是以個人資料之類型為區分(sector specific privacy laws),來立法保護個人資訊,
但仍可以公、私部門為分類來了解其法制。公部門方面,以 1974 年隱私法(The Privacy Act of 1974)為代表,係用以管制全國的行政機關;在私部門方面,基於 美國極小化政府介入之管制傳統34,多交由產業界以及市場進行自我管制
(self-regulation),僅在涉及較機密性之資料時,另立法管制之。前述的管制傳統,
是美國社會制度發展的脈絡,即美國的政策制定者一般傾向將規範的走向(rein)
交由市場以及私人部門決定,若管制成效不彰,政府才會逐漸介入並建立規範35。 不過也因為這樣,加上聯邦與州政府之間的事權分配方式,使得美國的隱私權法 制架構較為錯綜複雜。
美國迄今主要隱私權相關法案如下36:
表 2- 3:美國歷年主要隱私權法案
年代 法案名稱 立法意旨
1970 公平信用報告法 徵信業者蒐集、處理個人資料。
34 熊愛卿,《網際網路個人資料保護之研究》,台灣大學法律學研究所博士論文,2000 年 7 月,頁
182。
35 Henry Farrel, Constructing the International Foundations of E-commerce-The EU-U.S. Safe Harbor Arrangements, International Organization 57, Spring 2003, p.288.
36 周慧蓮,《資訊隱私保護爭議之國際化》,月旦法學雜誌,第 104 期,2004 年 1 月,頁 115。
‧
聯邦貿易委員會(Federal Trade Commission,FTC)最為積極進行管制。透過對大、小廠商直接與間接的影響,改善企業自我管制成效不彰的現象,美國與歐盟間的 安全港原則(International Safe Harbor Principles),便是由 FTC 負責執行。
安全港原則,可以被視作美國在其管制方式與電子商務發展之間之妥協。1998 年美國與歐盟通過安全港協議,作為美國企業進入歐盟電子商務市場之前提。歐 盟規定,只有在資料輸出的對象提供相當之保護水準時,才得以將個人資料傳至 境外。而美國的個資保護法相當分散,個別領域立法的方式,難免會有保護上的 缺漏,因此歐盟不認為美國具備適當的保護水準。但是因為歐盟為美國電子商務
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
17
來往的重要夥伴,為了避免個人資訊流通的障礙形成美國企業進入歐洲市場之困 難,美國遂與歐盟簽訂安全港原則。但是,美國仍保留著企業自律的管制方式,
美國企業可以自行選擇是否遵守該原則並擔負相對應的責任;而加入者,等同符 合歐盟所要求之保護水準37。
二、 日本
1980 年 9 月經濟合作暨發展組織理事會公佈 OECD 指導方針,包涵資料保護 的八大原則,予各會員國參考。日本係該原則的簽署國之一,為配合該項指導綱 領之實行,遂於行政管理廳下成立「隱私保護研究會」,並於 1982 年提出「個人 資料處理之隱私保護對策」38。
日本首先針對公部門進行立法,不及於企業與個人,於 1988 年公佈,1989 年 正式實施「行政機關電腦處理個人資料保護法」。之後日本通商產業省於 1989 年 訂定「非公務機關電腦處理個人資料保護綱要」,藉以形塑非公務機關有關消費者 資訊揭露之規範。整體而言,1990 年代之後是日本個人資料保護規範的具體化試 行期,除在 OECD 指導方針的基礎下訂定許多個人資料保護法規外,民間也陸續 出現隱私權標誌認證制度,提升保護強度。
1995 年歐盟公佈資料保護指令(Directive on the Protection of Individual with Regard to the Processing of Personal Data and on the Free Movement of Such Data),要 求各個會員國於 1998 年 10 月 24 日前,將該原則納入內國法中,同時禁止其成員 國將個人資料傳輸至保護水平較低的國家,而此舉也對非歐盟成員國形成壓力。
日本政府便成立了「個人資料保護檢討部會」與「個人資料保護法制化專門委員
37 蕭奕弘,《個人資料保護法之研究》,司法院司法研究年報,第 29 輯,行政類第一篇,2012 年
12 月。
38 郭戎晉,前引論文 33,頁 3。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
18
會」,並於 2001 年 3 月完成「個人資料保護法」草案。
在整合行政機關與民間機構對於個人資料保護之處理,同時納入國際性規範 的目標下,日本國會於 2003 年 5 月連續通過「行政機關個資法」、「獨立行政法人 等個人資訊保護法」、「情報公開、個人資訊保護審查會設置法」、「行政機關保有 個人資訊保護法施行相關法律整備法」以及「個人資訊法」,又稱為日本個資關連 五法39。個資法前三章為公、私部門通用之基本規定,後三章則為私部門之一般法;
公部門則另立行政機關個資法、獨立行政機關等個人資料保護法作為一般法之規 範,但司法機關之個人資料保護法則另行規定40。而針對如醫療、金融、信用及資 訊通信等特殊領域,則以個別法加以規範41。
於日本個人資料保護法案中,不論是行政機關或是民間機構,只要有利用個 人資料者,都受到此法之規範。日本政府制定一般性規範,意即所謂的「基本原 則」,作為各機構之標準,此外,特別是對於使用電腦或資料庫等儲存利用個人資
於日本個人資料保護法案中,不論是行政機關或是民間機構,只要有利用個 人資料者,都受到此法之規範。日本政府制定一般性規範,意即所謂的「基本原 則」,作為各機構之標準,此外,特別是對於使用電腦或資料庫等儲存利用個人資