第五章 雲端運算時代下的資訊隱私權及個人資料保護
第三節 國際間及我國對個人資料保護的立法與措施
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
偵查人員如依法定程序有無發現該證據之必然性。7.證據取得之 違法對被告訴訟上防禦不利益之程度39。
在案例五中,檢察官發函 B 公司,要求 B 公司同意讓警方進 入查看存放在雲端資料庫的資料,因為有檢察官公權力的介入,B 公司難以抵抗或拒絕。本文以為,考量正當法律程序及人民有受 公平審判的權利,並權衡上述七項標準,警方取得 E 教師重製教 科書內容的犯罪事證,依證據排除法則,不具有證據能力。
第三節 國際間及我國對個人資料保護的立法與措施
第一項 國際組織及世界各國對個人資料保護的立法與措施 一、經濟合作發展組織(OECD):
(一)1980 年資料保護原則:
「 經 濟 合 作 發 展 組 織 」 (Organizaion for Economic Cooperation and Development;OECD),於 1974 年即成立一個跨 國流通資料暨隱私權保護專家群,研究有關資料跨國流通的資料 保護問題40。為避免個人資料保護法制標準不一,而過度妨礙個人 資料跨境流通,影響重要經濟活動的發展,OECD 於 1980 年制定「隱 私保護及個人資料跨界流動原則」(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)(下簡稱 1980 年資料保護原則),以技術中立(technological neutrality) 的立場,宣示蒐集及處理個人資料的一般原則,希望會員國建立 符合該指導原則的法制,乃屬於個人資料保護國際性立法的濫觴
41。本指導原則規範對象不限於經自動化處理的個人資料,尚包括 部分以人工處理的個人資料。惟指導原則對於會員國僅具有建議
39 吳巡龍,刑事證據法入門:第三講-證據排除,月旦法學教室第 57 期,2007 年 7 月,頁 64-65。
40 陳榮傳,由法律觀點論資料跨國流通,經社法制論叢第五期,行政院經濟建設委員會,1991 年 1 月,
頁 307。
41 徐新隆,數位時代下資訊隱私權問題之研究-以個人資料保護為中心,國立台北大學碩士論文,2005 年,頁 90。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
性質,是否轉換成國內法,端視會員國本身的意願,不具國際條 約或國際法上的拘束力。本指導原則最重要的意義,係針對個人 資料合理利用及保護,建立了基本法律框架,提供國際規範或各 國立法的重要參考。
1980 年資料保護原則共分 5 章 22 條,主要架構區分為「國內 適用的基本原則」及「國際間適用的基本原則」。在「國內適用 的基本原則」方面,其在第 2 章宣示八大原則,包括:1.限制蒐 集原則(Collection Limitation Principle)。2.資料品質原則 (Data Quality Principle) 。 3. 目 的 特 定 化 原 則 (Purpose Specification Principle)。4.限制利用原則(Use Limitation Principle) 。 5. 安 全 保 護 原 則 (Security Safeguards Principle)。6.公開原則(Openness Principle)。7.個人參與原 則 (Individual Participation Principle) 。 8. 責 任 原 則 (Accountability Principle)42。
本指導原則在第 3 章規範「國際間適用的基本原則」,主要 重申資料自由流通的基本理念,避免藉保護隱私權及個人自由為 名,而制定阻礙個人資料流通的法律與政策43。由此觀之,本指導 原則基於貿易與資訊自由化的角度,鼓勵跨國資料流通,與歐盟 1995 年個人資料保護指令傾向保護個人資料,二者明顯不同。
(二)1999 年電子商務消費者保護指導原則:
為使政府、企業與消費者共同發展及實行線上消費者保護機 制,以掃除網路交易的貿易障礙,1999 年 12 月 9 日,OECD 會議 於 巴 黎 核 准 通 過 「 電 子 商 務 消 費 者 保 護 指 導 原 則 」 (The Guideliness for Consumer Protection in the Context of Electronic Commerce)(下簡稱 1999 年消費者保護指導原則),作 為建立國際間電子商務消費者保護的共同規範,提昇消費者對網
42 See the guidelines,supra note 267,PART 2,7.-13.
43 See the guidelines,supra note 267,PART 3,15.-18.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
際網路使用的信心,加速電子商務發展。本指導原則包括許多傳 統交易型態中已適用的法律保障,鼓勵私人部門創辦包含消費者 代表參與的線上安全活動,並強調政府機關、企業界及消費者共 同合作的需要44。
本指導原則公布後,世界各國也開始著手修訂電子商務或消 費者保護的相關法令,期望能在網路世界中建立良好的商業秩 序。我國行政院也在 2001 年 11 月 5 日通過「電子商務消費者保 護綱領」,綱領前言即提到「電子商務雖提供消費者便利之購物環境,
但也造成新的消費者保護問題,如交易安全、隱私權保護、網路詐欺及 跨國界之消費爭議處理等。又由於電子商務具有全球化、技術密集、快 速變遷及匿名性之特性,以致所衍生之消費者保護議題,遠較其他交易 型態複雜,政府、企業經營者及消費者必須共同合作面對,為提供消費 者與企業經營者與其他交易型態相同之保護,爰訂定本綱領」。
二、歐洲:
(一)歐洲共同體 1980 年個人資料自動化處理保護公約:
歐洲資訊隱私保護的立法基礎,主要源於 1950 年歐洲人權保 護 公 約 第 8 條 (Article 8 of European Convention for the Protection of Human Rights and Fundamental Freedoms;ECHR),
明文釋明人民的私生活及家庭生活應受到尊重,公部門須有法律授 權,或基於國家安全、經濟福祉等公益考量的必要情況下,方得干 涉人民上述權利45。
歐洲共同理事會(Council of Europe)自 1968 年起即關切歐洲 資訊隱私問題,嘗試以略具強制力的國際公約形式,取代不具國際 法上拘束力的 OECD1980 年資料保護原則,以有效解決各國個人資 料保護立法不一致的情形46。歐洲共同理事會於 1980 年頒布「個人
44 同註 41,頁 95-96。
45 周慧蓮,資訊隱私保護爭議之國際化,月旦法學雜誌第 104 期,2004 年 1 月,頁 116。
46 許文義,個人資料保護法論,三民書局,2001 年 1 月,頁 163。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
資料自動化處理保護公約」(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)(下簡稱 1980 年資料處理保護公約)。該公約重申個人資料保 護對個人隱私權的重要性,也強調不得純為保護隱私權而禁止或限 制個人資料的跨國流通,對歐洲各國隱私權保護法制影響甚鉅。
歐洲共同體 1980 年資料處理保護公約,與 OECD1980 年資料保 護原則比較,二者有相同與不同之處。二者相同之處,係前者八個 資料保護基本原則條款,與後者所揭示處理個人資料的八大原則相 同;二者不同之處,係前者個人資料的範圍及於法人資料,後者僅 及於自然人個人資料。其次,前者僅限於個人資料檔案的自動處理 (automatic processing),不及於人工處理的個人資料,範圍較後 者狹隘47。
(二)歐盟 1995 年個人資料保護指令:
為調合歐盟境內個人資料保護的法律措施,使歐盟內的公民能 得到相同保護,歐盟於 1995 年 10 月 24 日通過「歐盟個人資料處 理 及 流 動 保 護 指 令 95/46/EC 」 (European Union`s Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(下簡稱歐盟 1995 年個人資料保護指令),分為 7 章 34 條。
本指令強化 OECD 個人資料保護綱領的八項原則,要求歐盟 15 個會 員國於 1998 年 12 月 24 日前均須依指令完成保護個人資料內國法 的立法,並明定於 3 年後,即 1998 年 10 月 25 日生效施行48。 本指令首先確認了保護自然人基本人權及自由,尤其是關於其
個人資料隱私權保護的立場。本指令所稱「個人資料」(personal data),係指與特定或或可特定的自然人相關的所有資訊,不限種 類及形式;本指令所稱「個人資料處理」(processing of personal
47 同註 41,頁 106。
48 同註 41,頁 109。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
data),不論以自動或非自動的方式處理個人資料運作。由此可知 本指令在適用範圍上十分廣泛,包含所有的個人資料,且不限適用 的對象49。本指令僅於下列二種情形不適用之:1.於共同體法律適 用範圍以外的活動。2.自然人在純粹屬於私人活動領域的資料使用
50。本指令關於如何合法處理個人資料,訂定了數項基本規範,供 各會員國制定或修正內國法時作為依據,但這些指令只是歐盟最低 保護下限,各會員國可以制定更高標準。
本指令就資料跨國流通,規定在第 4 章,並以「個人資料傳遞 至第三國」(TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES) 為章名,雖然只有第 25、26 條,但該規定係就個人資料保護得否 傳輸至第三國,以法律適用的域外效力(extra jurisdictional effect)模式規範,為整個指令最重要的部分51。本指令第 25 條採 互 惠 原 則 , 規 定 第 三 國 若 未 符 合 「 適 當 標 準 」 (adequacy standard),為保護歐盟境內人民個人資料隱私起見,歐盟將採取 必要措施防止其個人資料移轉至該第三國52。由此可知,本指令不 但以立法方式對個人資料提供廣泛的保護,同時還限制個人資料移 轉至第三國。
(三)歐盟 1997 年電信事業個人資料處理及隱私保護指令:
有鑑於新型態電信服務對使用者的個人資料必須特別予以注 意 , 尤 其 是 整 合 服 務 數 位 網 路 (Integrated Services Digital Network ; ISDN) 及 公 眾 數 位 行 動 網 路 (public digital mobile networks),因此歐盟於 1997 年 12 月 15 日制定「1997 年電信事 業個人資料處理及隱私保護指令」(European Union`s Directive 97/66/EC concerning the processing of personal data and the protection of privacy in the telecommunications sector)。
49 資策會科技法律中心,我國法制對網路使用之影響與因應研究,1999 年 5 月,頁 71。
50 See Directive 95/46/EC,supra note 345,Art.3.
51 陳榮傳,再論資料跨國流通,月旦法學雜誌第 78 期,2001 年 11 月,頁 170-171。
52 See Directive 95/46/EC,supra note 345,Art.25.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
本指令是 1995 年個人資料保護指令的補充,規範電信部門的 個人資料傳輸,與電信設備使用人的資訊隱私保護,並特別保護用 戶的合法利益。本指令所稱「用戶」(subscriber),係指與提供電 信服務的業者訂約的自然人或法人;本指令所稱「使用者」(user),
係指為私人或商業目的使用電信服務的使用者而未簽訂契約者53。 (四)歐盟 2002 年電子通信個人資料處理與隱私保護指令:
為因應科技變遷,並為歐盟境內電子通訊確立新的規範框架,
歐盟於 2002 年 7 月廢止 1997 年電信事業個人資料處理及隱私保護 指令,進而由歐洲議會於 2002 年 7 月 12 日通過「電子通信個人資 料處理隱私權保護指令」(Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector)(下簡稱歐盟 2002 年隱 私及電子通訊指令),於 2003 年 10 月底生效,本指令並要求各會 員國應於 2003 年 10 月 31 日前修正內國法因應。
本指令立法目的,在維護會員國電子通信網路環境下與個人有 關資料處理的隱私權等基本權利,並兼顧法人的資料傳輸保護,及 調合各會員國間就前述事項的規範歧異54。本指令秉持科技中立原
本指令立法目的,在維護會員國電子通信網路環境下與個人有 關資料處理的隱私權等基本權利,並兼顧法人的資料傳輸保護,及 調合各會員國間就前述事項的規範歧異54。本指令秉持科技中立原