第三章 我國個人資料保護發展歷程
第三節 小結
自我國個人資料保護法條文中,吾人不難發現前章提及之國外各個人資料保 護架構的影子。縱使不全然相同,但如 OECD 保護綱領提出個資保護的八大原則、
歐盟個人資料保護指令或 APEC 隱私保護綱領所提出之限制目的、限制蒐集、限 制利用、當事人資料自主、資料掌控者責任、適當必要安全措施等概念都可在我 國個人資料保護法找到相對應的條文,這除了與各國個人資料保護架構建置的時 間點有關,也展現出國外個人資料保護架構對於我國個資保護法律的制定影響極 深。此外,觀察電腦處理個人資料保護法前後修正條文,保險業早在電腦處理個 人資料保護法時期已受規範,因此對保險業而言我國個人資料保護法的修正係規 範內容上的更動,保險業一直以來都是個資法的適用主體,可知立法者極早肯認
56 參考個人資料保護法部分條文修正草案總說明。資料來源:法務部網站,網址:
http://pipa.moj.gov.tw/cp.asp?xItem=1190&ctNode=430&mp=1。(最後瀏覽日:2018 年 3 月 29 日)
保險業同他等七大行業別有其特殊性,針對個人資料的保護需做特殊規範,下一
https://www.cw.com.tw/article/article.action?id=5046294。(最後瀏覽日:2018 年 3 月 29 日)
58 本比較分析歐盟 GDPR 係參考取自蔡柏毅所著之「歐盟『個人資料保護規則』導讀」一文中整 理出之十五項重點為討論的架構,文章刊登於《金融聯合徵信雜誌》第 30 期,2017 年 6 月,頁 9 至 18。
限制原則、第 18 條和第 27 條完
理利用之行為。
明確、受充分告知之指示行動,
條)、拒絕權(第 21 條)、對於自
目的已無必要、資料之保存違反 GDPR、歐盟法等。亦特別提及已 公開之個人資料之被遺忘權,規 定該已公開之個人資料之控管 者有義務通知該正在進行個人 資料處理之他資料控管者刪除 任何該個人資料之連結、複製或 仿製。惟明定於行使表意自由及 資訊自由者、符合公共利益之職 務執行或委託控管者行使公權 力所必須者等例外情形不適用 刪除權之規定。
4. 「資料可攜權」係資料主體有 權以結構的、廣泛使用的、機器 可辨識的形式接收其提供予控 管者之資料,並有權將之傳送給 其他控管者。
5. 「拒絕權」係資料主體得基於 與其具體情況有關之理由,隨時 拒絕 GDPR 所定關於其個人資料 之處理。控管者不得再處理該個 人資料,除非該控管者證明其處 理有優先於資料主體權利及自 由之法律依據等之理由。
7. 較特殊的是「對於自動決策
及藉大量個人資料所自動化產 生之分析與側寫之相關權利」,
資料主體應有權不受自動化處 理之拘束,除非係該資料主體與 控管者間之契約所必要,或資料 主體已明確同意,惟資料控管者 仍應執行適當措施,以保護資料 主體之權利、自由及正當利益。
「藉大量個人資料所自動化產 生之分析與側寫」(profiling)
行為是 GDPR 明文的新概念,根 據第 4 條第 4 項指對個人資料任 何形式的自動化處理,包括以任 何形式評估個人特徵,特別是使 用個人資料來分析或預測資料 主體的工作表現、經濟狀況、健 康、個人偏好、興趣、可信度或 行為、所在位置或動向等特徵。
六、個人資料 處理之安全性
第 25 條、第 32 條提及建構個人 資料處理的安全性包括但不限 於假名化(pseudonymisation)、 個 人 資 料 處 理 之 最 小 化
(minimising)等,對於當事人 個人資料權利造成風險之可能
GDPR 提及之「假名化」與我國個 人資料保護法所稱之「去識別化」
意義相近。有關去識別化的概念 展現在個資法第 6 條第 1 項第 4 款、第 9 條第 1 項第 4 款、第 16 條第 5 款、第 19 條第 1 項第 4
性與嚴重性,控管者及處理者應
因資料、得用以識別自然人之生
十、個人資料
十三、設置個
鍰之裁處 GDPR 最為人重視的。第 83 條規 定違反 GDPR 有關控管者及處理 者之義務、認證機構之義務或監 管機構之義務者,最高將處以 1000 萬歐元之行政罰鍰;如為企 業,最高處以前一會計年度全球 年營業額之百分之二,以較高者 為準。若違反有關資料處理之基 本原則、個人資料國際傳輸之規 定、侵害本規則所定資料主體之 權利、或違反依照本規則通過之 會員國法律所定之任何義務者,
最高將處以 2000 萬歐元之行政 罰鍰;如為企業,最高處以前一 會計年度全球年營業額之百分 之四,並以較高者為準。
條、第 49 條列舉違反個資法各條 文將裁處的罰鍰金額,分別是新 台幣 5 萬元以上 50 萬元以下、新 台幣 2 萬元以上 20 萬元以下,若 限期改正屆期未改正,得按次處 罰。
又第 25 條規定除上述罰鍰以外,
得並處其他行政罰,包括禁止蒐 集、處理或利用個人資料、命令 刪除經處理之個人資料檔案、沒 入或命銷毀違法蒐集之個人資 料、公布非公務機關之違法情形,
及其姓名或名稱與負責人等。