歐洲議會及歐盟理事會於 2016 年 4 月 27 日通過歐盟規則第 2016/679 號「歐 盟資料保護一般規則(General Data Protection Regulation, 下稱 GDPR)」,自 2018 年 5 月 25 日開始施行,取代 1995 年制定之「資料保護指令(Data Protection Directive)」,藉以提升及確保對於歐盟境內資料當事人權利保護之一致性(特別是 網路活動),並排除個人資料在歐盟境內流通之障礙。
GDPR 本文共 99 條,在體例上分為 8 章。第 1 章為「總則」(第 1~4 條),內 容包括:主旨與立法目的、實體及領土適用範圍、與名詞定義。第 2 章為「原則」
(第 5~11 條),內容包括:個人資料處理原則、處理的合法性、同意條件、兒童 同意之條件、特殊類型個資、涉及前科及犯罪個資、不須識別處理個資。170
第 3 章為「資料主體之權利」(第 12~22 條),為本規則與本節介紹的重點。
第 3 章又分為 3 節。第 1 節「透明度及管道」僅有第 12 條一個條文:資料主體為 行使其權利之透明資訊、溝通及管道。第 2 節為「個人資料之資訊與接近使用」
(第 13~15 條),內容包括:蒐集資料主體之個人資料時所提供之資訊、尚未自資 料主體取得個人資料時所應提供之資訊、資料主體之接近使用權。第 3 節為「更正 及刪除」(第 16~20 條),內容包括:更正權、刪除權(「被遺忘權」)、限制處理權、
前 3 條之通知義務、資料可攜性權利。第 4 節為「拒絕權及個人化之自動決策」
(第 21~22 條),內容包括:拒絕權、個人化之自動決策,包括建檔。第 5 節為
「限制」僅有第 23 條一個條文:限制。
第 4 章為「控管者及處理者」(第 24~43 條)、第 5 章為「個人資料移轉至第
170 中華民國國家發展委員會,《歐盟個人資料保護規則本文部分》,載於:
https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMTY 5MS9iNGZiZTA0OS1jYWQ1LTQ3MGEtYjhlMy00ZGU0NjhmOWIxMGMucGRm&n=5q2Q55uf5YCL5L q66LOH5paZ5L%2bd6K236KaP5YmH5pys5paH6YOo5YiGLnBkZg%3d%3d&icon=..pdf(最後瀏覽日:
01/30/2018)。
doi:10.6342/NTU201804062
139
三國或國際組織」(第 44~50 條)、第 6 章為「獨立監察機關」(第 1 節第 51~54 條;第 2 節第 55~59 條)、第 7 章為「合作與一致性」(第 1 節第 60~62 條;第 2 節第 63~67 條;第 3 節第 68~76 條)、第 8 章為「救濟、義務及處罰」(第 77~
84 條)、第 9 章為「特殊處理情況之規範」(第 85~91 條)、第 10 章為「授權法及 施行法」(第 92~99 條)。
從平臺經濟發展的角度觀察,歐盟 GDPR 因應新興科技發展趨勢設計,諸如 個人資料處理之合法性、特殊類型之個人資料處理(特種個資)、被遺忘權、資料 可攜的權利等,值得我國借鏡並介紹如下:
一、第 6 條個人資料處理之合法性
1.合法之處理應至少符合下列要件之一:
(a)資料主體同意為一個或多個特定目的處理其個人資料;
(b)處理係為向身為契約當事人之資料主體履行契約所必須者,或在締約前,
應資料主體之要求,所必須採取之步驟;
(c)處理係控管者為遵守法律義務所必須者;
(d)處理係為保護資料主體或他人重大利益所必須者;
(e)處理係為符合公共利益執行職務或委託控管者行使公權力所必須者;
(f)處理係控管者或第三者為追求正當利益之目的所必須者,但該資料保護之 資料主體之利益或基本權與自由優先於該等利益,特別是該資料主體為兒 童時,不適用之;
第 1 款第 f 點不適用於公務機關執行其任務時所為之處理。
2.會員國得維持或採用更具體之規範,使其與本規則所定本條第 1 項第 c 點及 第 e 點之適用相符,為處理及用以確保處理合法性與公正性之其他措施,包 括為第九章所規定之其他特定處理情形,訂定更具體化之特定規範。
3.第 1 項第 c 點及第 e 點所定處理之依據應為:
(a)歐盟法;或
doi:10.6342/NTU201804062
140
(b)控管者受拘束之會員國法律。
處理之目的應在該法律依據上被確立,或如第 1 項第 e 點所定之處理,
應為符合公共利益執行職務或委託控管者行使公權力所必須者。該法律依據 可能包含與本規則規定適用相符之具體規範,包括但不限於:規範控管者之 個人資料處理合法性的一般條款;處理所涉及之個人資料之類型;相關資料 主體;得向其揭露個人資料之主體及其目的;目的限制;儲存期間;及處理 方式與處理程序,包括例如第九章所規定之其他特定處理情形,用以確保處 理合法性與公正性之其他措施。歐盟法或會員國法律應符合公共利益之目標,
並應與所追求之正當目標相適當。
4.如處理係出於蒐集個人資料目的以外之目的且非基於資料主體同意,或非依 據歐盟法或會員國法律在民主社會中為確保第 23 條第 1 項所定目的構成必 要且適當方法所為時,控管者為確保處理之目的與原先蒐集個人資料之目的 相互兼容應考慮包括但不限於下列事項:
(a)蒐集個人資料之目的與所欲進階處理目的間之任何連結性;
(b)蒐集個人資料之背景,尤其是資料主體與控管者間之關係;
(c)個人資料之本身性質,尤其是依據第 9 條特殊類型之個人資料處理,或依 據第 10 條涉及前科及犯罪有關之個人資料處理;
(d)所欲進階處理對於資料主體造成之可能後果;
(e)適當保護措施之存在,可能包括加密或假名化。
二、第 9 條特殊類型之個人資料處理(特種個資)
1.揭露種族或人種、政治意見、宗教或哲學信仰或貿易聯盟會員之個人資料、
以及基因資料、用以識別自然人之生物特徵識別資料、與健康相關或與自然 人之性生活或性傾向有關個人資料之處理,應予禁止。
2.有下列情形之一者,不適用第 1 項規定:
(a)除歐盟法或會員國法律規定資料主體不得排除第 1 項所定之禁止外,資料
doi:10.6342/NTU201804062
141
主體已明確同意為一個或多個特定目的處理上開個人資料;
(b)為履行義務及行使控管者特定權利之目的,或資料主體在歐盟法或會員國 法或依據會員國法律所定適當保障資料主體之基本權及利益之團體協約所 授權之勞動法及社會安全及社會保護法領域而有必要之處理;
(c)資料主體在身體上或法律上不能給予同意,而為保護資料主體或他人之重 大利益所必要之處理;
(d)基金會、協會或任何其他非營利組織,基於政治、哲學、宗教或工會之目 的,就其合法活動過程中所為之處理已做適當保護措施,且該處理僅涉及 該組織之成員或其過去成員,或與該組織目的有關而定期接觸該組織之人,
且該等資料未經資料主體之同意不會對外揭露者;
(e)資料主體明顯已自行公開之個人資料之處理;
(f)為建構、行使或防禦法律上之請求或法院執行其司法權而有必要之處理;
(g)尊重資料保護之實質權利,並提供適當及具體之保護措施,以保護資料主 體之基本權及利益,而基於歐盟法或會員國法律且與所追求目的合比例性 之重大公共利益之理由所必要之處理;
(h)依據歐盟法或會員國法律或基於與健康專業人員所定且受第 3 項要件及保 護措施所拘束之契約,且為預防或職業醫學之目的、為評估僱員之工作能 力、醫療診斷、為提供健康或社會照護或治療或為健康管理或社會照護系 統及服務而有必要之處理;
(i)處理係基於公共衛生領域之公共利益,例如為防止對於健康之跨境嚴重威 脅或為確保醫療保健及醫療產品或醫療設備品質之高標準與安全性而有必 要者,並依據歐盟法或會員國法律規定採取適當及具體安全措施保護資料 主體之權利和自由,尤其是職業秘密;
(j)尊重資料保護之實質權利,並提供適當及具體之保護措施,以保護資料主體 之基本權及利益,基於歐盟法或會員國法律所定第 89 條第 1 項規定且與所 追求目的合比例性者,為追求公共利益、科學或歷史研究目的或統計目的
doi:10.6342/NTU201804062
142
而有必要之處理;
3.當資料係由基於歐盟法或會員國法或國內主管機構所訂定之規則受職業秘 密之義務所拘束之專業人員或其他人處理或由其負責處理時,為第 2 項第 h 點所定目的,得處理第 1 項所定之個人資料;
4.會員國得維持或採用進一步規定,包括但不限於關於基因資料、生物特徵識 別資訊或與健康相關資訊之個人資料處理。
三、第 17 條刪除權(「被遺忘權」)
1.有下列情事者,資料主體應有權使控管者刪除其個人資料,不得無故拖延,
且控管者應有義務刪除該個人資料,不得無故拖延:
(a)個人資料對於蒐集或處理目的不再需要者;
(b)處理係依據第 6 條第 1 項第 a 點或第 9 條第 2 項第 a 點者,資料主體撤回 其同意,且該處理已無其他法律依據者;
(c)資料主體依第 21 條第 1 項規定對處理提出異議,且該處理無其他優先適用 之法律依據者,或資料主體依第 21 條第 2 項規定對處理提出異議者;
(d)該個人資料遭違法處理者;
(e)控管者依其受拘束之歐盟法或會員國法律有義務應刪除個人資料者;
(f)個人資料係依據第 8 條第 1 項所定為提供資訊社會服務所蒐集者。
2.如控管者已將該個人資料公開,且其有義務依據第 1 項規定刪除該個人資料 者,考量現有科技及執行成本,該控管者應採取合理步驟,包括科技方式,
通知正在處理該個人資料之控管者,資料主體已提出刪去任何該個人資料之 連結或複製或仿製之請求。
3.於下列情形者,不適用第 1 項及第 2 項規定:
(a)為行使表意自由及資訊權者;
(b)依據控管者所應遵守之歐盟法或會員國法,遵守其法律義務、或符合公共 利益之職務執行、或委託控管者行使公權力所必須者;
doi:10.6342/NTU201804062
143
(c)基於公共衛生領域上之公共利益,且符合第 9 條第 2 項第 h 點及第 i 點及 第 9 條第 3 項規定者;
(d)為實現公共利益、科學或歷史研究目的或統計目的,且符合第 89 條第 1 項
(d)為實現公共利益、科學或歷史研究目的或統計目的,且符合第 89 條第 1 項