第四章 德國社會福利資料傳遞之限制規範
第一節 歐盟個人資料保護規定
第一項 1995 年個人資料保護指令(RL 95/46/EG, 1995)
1992 年的歐洲共同體條約第 100a 條(即馬斯垂克條約)為規定歐洲理事會經 一定程序並向經濟社會委員會諮詢後,得採行一定措施使各會員國內國之法律與 行政命令符合共同市場建置之目的。在該條約規定之基礎下,歐洲議會與理事會 於1995 年發布「自然人資料保護與資料自由流通指令」(Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr,以下簡稱「資料保護指令」) 。該指令共七章、三十四個條文,
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
其中包含前言要點72 條。該指令主要係著眼於兩個面向,一方面為因應資料處 理技術的發展,個人資料在不同產業或社會領域中被處理使用的情形益趨普遍,
對於當事人基本權保護,特別是人格自由之發展,在歐盟境內不分國境皆應受到 重視;另一方面社會歐洲內部市場整合後,各國之間人員、貨物、勞務與資金的 自由流通成為重要目標,個人資料從一國到他國之傳遞流通情形,無論在公權力 或私經濟領域皆大量增加,有加以規範之必要214。該指令所建立之原則為歐盟往 後處理相關問題的基本原則,所訂應達成之目標,對各會員國具有拘束力,各會 員國在一定期限內有將其轉化(Umsetzen)為內國法之義務215。各國立法者於指令 之框架下雖享有一定之形成空間,得自行訂定資料處理之合法要件,惟不得低於 該指令所建立之保護標準216。此外,該指令亦常被其他國家或區域組織仿傚,成 為國際間關於個人資料保護立法之重要準則217。以下即歸納與本文相關之重要原 則並簡要述之:
(一)蒐集、處理與利用例外許可原則
指令前言要點第30 條指出,資料之蒐集、處理218與利用應符合一定之合法 要件始得為之,亦即非基於當事人之同意、為履行對當事人有拘束力之契約內容 或法律明定者不得為之。其中法律明定之原因可能包含「為履行法定義務」、「履 行公任務」、「實現國家高權」或「維護他人利益」而有必要等情形,並且相對 於資料當事人之權利保障而言係具有優勢性(überwiegend)之利益。反映在具體條 文中,指令第7 條即規定,個人資料蒐集、處理(Verarbeitung)與利用之要件應限 定在上述幾種情形。
214 參照指令前言要點第 2、3、4、5 條。
215 陳麗娟,歐洲聯盟法精義,新學林,2006 年 2 月,頁 89-90。
216 參照指令前言要點第 9、10 條。
217 呂雅惠,企業內電子郵件監控與隱私權保護爭議之探討,政治大學法律在職專班碩士論文,
2008 年,頁 118。
218 應注意者,歐盟指令中規定之「處理」(Verarbeitung),其內涵較德國法為廣,對應在德國法 上所指涉者為所有對資料所為之「行為」(Umgang),其下可包含蒐集(Erhebung)、處理(Verarbeitung) 與利用(Nutzung)三種型態。本文為求用語之一致性,在此係採德國法之定義,特此說明。
Vgl.Gola/Schomerus, Bundesdatenschutzgesetz Kommentar §1, 8.Aufl., 2005, Rn.22.
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(二)目的拘束原則
指令第6 條第 1 項第 2 款規定,蒐集必須明定有合理且合法的目的,並且 不得以與此確定目的相違的方式進一步處理使用。惟應注意者為,倘國家採行適 當的措施,則基於歷史、統計與學術目的進一步處理利用,原則上不認為與先前 蒐集的目的相違背。本條規定之「適當措施」,依前言要點第29 條,應該排除 系爭資料為國家對個別當事人做成之其他措施或決定所用。同項第3 款則強調目 的拘束原則之重要性,蒐集及進一步之處理利用皆應在符合特定目的之下始得為 之。
(三)敏感資料特別保護原則
指令第 8 條第 1 項規定,有關種族來源、政治取向、宗教或哲學信仰、工 會會員身分、健康或性生活等敏感性資料原則上禁止處理。惟同條第2 項亦規定 許多例外情形,包括當事人明示同意、為履行勞動法領域權利義務且採行適當措 施、為維護當事人或第三人如生命法益之重要利益、特種非營利組織法定目的之 內部活動使用、系爭資料明顯已公開或為法庭上攻擊防禦方法行使之必要等情 形,不過為免掛一漏萬,同條第4 項給予各國較大立法形成空間,允許各國基於 重要公共利益維護之理由,以立法或行政決定的方式排除第1 項規定之適用。特 別在醫療照護領域,同條第3 項規定,基於健康照護、醫療診斷、健康預防、手 術或健康管理上有必要之資料處理,倘經手之醫護人員依內國法負有保密義務 者,不受同條第1 項之限制。指令前言要點第 34 條亦指出,特別在公共醫療領 域或社會疾病保險系統中,為確保給付程序之品質及經濟性,可採行適當措施,
例外不受特種資料原則禁止處理之限制。
(四)當事人程序保障原則
指令第10 條第 1 項規定,向當事人本人所為之蒐集,除當事人已知者外,
應向其告知以下事項:(1)職司蒐集之機關及其代表人身份。(2)資料處理之目的。
(3)進一步資訊,包含資料接受者或其類別、提供資訊之請求為自願或義務性質,
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
以及拒絕提供之可能後果、諮詢權與更正權之存在。諮詢權與更正權的給予得以 確保資料符合誠信原則之處理。第11 條第 1 項則規定非向當事人本人所為之蒐 集,職司蒐集之機關或其代表人應於第一次儲存時,以及有意向第三人傳遞時,
於第一次傳遞時向當事人告知上述事項。惟同條第 2 項規定例外毋須告知之情 形,亦即基於統計、歷史或學術研究之目的,而向當事人蒐集不可能、需耗費過 鉅或傳遞為法律所明定時,內國採行一定措施即可免除告知義務。
第二項 2012 年一般資料保護規則(Datenschutz-Grundverordnung) 上述指令係歐盟關於個人資料保護之核心規範,於2008 年時曾增補關於警 察與司法機關於刑事案件中合作之個人資料保護事項。其後著眼於資料處理技術 發展,造成公私部門交換與蒐集個人資料之範圍大幅擴張,又個人因網路之使用 (如線上購物)所提供之個人資料有外洩之高度危險,歐盟執委會(Europäische Kommision) 於 2012 年 曾 提 出 資 料 保 護 框 架 規 定 的 修 改 建 議 (Vorschlag für Verordnung des europäischen Parlamentes und des Rates)。該建議雖不區分適用主 體為公務或非公務機關,惟綜觀其內容,主要在統合目前各會員國關於私部門部 分個資法制,俾因應歐盟內部共同市場下衍生的資料保護問題,公部門部分基於 對各國主權之尊重,仍給予各國立法者較大裁量空間。
基於歐盟基本權憲章(EG-Grundrechtcharta)第 8 條將個人資料保護作為基本 權保障之一環219;歐盟勞動公約(Vertrag über die Arbeitsweise der Europäischen Union)第 16 條第 1 項與第 2 項分別規定,任何人都享有關於個人資料保護之基 本權利,並賦予歐盟議會與理事會就資料保護事項發布規定之特別權限220,執委 會目前建議之具體做法係改變以往以指令(Richtlinie)形式而授予各國較大權限
219 歐盟基本權憲章第 8 條第 1 項規定:「任何人有權請求與其切身相關之資料受到保護。」第 2 項規定:「此類資料應在具特定目的下,基於當事人之同意或法律之依據而被蒐集、處理或利用。
任何人有權接近與自己有關資料並有權予以認可。」第3 項規定:「為確保符合規定,應由一個 獨立機關介入審查。」
220 歐盟勞動公約第 16 條第 1 項規定:「任何人有權請求與其相關之資料受到保護。」第 2 項規 定:「歐盟議會與理事會得有權依法定的程序,制定個人資料保護規範以規制歐盟各機關與各會 員國落入歐盟法適用範圍的活動。」
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
之規範方式,而改以直接拘束各會員國之完整、全面之規則(Verordnung)形式221規 護工作小組(Article 29 Working Party)的意見,在資料蒐集者是政府機關的情形,
由於政府機關具一定的權威,人民的決定原本就容易受到影響,特別是政府機關 行資料保護影響評估程序(Data Protection Impact Assessment),例如透過自動化資 料處理程序,廣泛且系統化地對當事人進行分析與預測,尤其是以當事人之經濟
221 依據歐盟勞動公約(Vertrag über die Arbeitsweise der Europäischen Union)第 288 條第 2 項,規則 (Verordnung)對各會員國有直接拘束力,不須經內國立法轉換,而與指令(Richtlinie)有所區別。
222 Vgl.Europäische Kommision, Vorschlag für VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES - zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(Datenschutz - Grundverordnung), 2012/0011(COD), p2-4.
223 德國亦有學者指出,公部門之資料保護法制在各國發展較為健全且多半規定於多部專業法律 中,公務機關之相關責任容易確立且資料處理之目的亦能藉由機關本身任務加以限制;相對而 言,私部門之法制並不具此項條件,又因應資訊能力之提升與歐盟內部經濟整合之需求,有提高 對私部門管制密度之必要。歐盟指令之規定未如德國法區分兩者而為不同規定,似有改進之空 間。Vgl.Rogall-Grothe, Ein neues Datenschutzrecht für Europa, ZRP 2012, 193(194).
224 Article 29 Data Prot. Working Party, Opinion 15/2011 on the Definition of Consent at 15-16, No.01197/11/EN, WP 187(July 13, 2011). 另參劉定基,析論個人資料保護法上「當事人同意」的 概念,月旦法學雜誌第218 期,2013 年 7 月,頁 155-156。
情況、所處位置、健康、嗜好、信用與行為作為對象,或據以作成之措施對當事 人之法律權益有重大影響時,應被認為對當事人之自由權利造成特別之侵害風險 (同條第 2 項 a 款參照)。評估之內容至少應包含對即將實行之資料處理程序之描 述、對於資料當事人自由權利侵害風險之評估描述,以及所欲採行而得降低風 險、確保資料保護之安全措施描述,據以充分考量當事人之權利與正當利益(同 條第 3 項參照)。然而應特別注意者為,當責任機關為公務機關且該進行該資料 程序為其履行法定義務所必要時,除非各國立法認為有必要,否則得不踐行上述 影響評估程序(同條第 4 項參照)。
第二節 德國聯邦個人資料保護法
第一項 概說 第一款 架構
聯邦個人資料保護法225 (Bundesdatenschutzgesetz,BDSG)之立法目的,第 1 條規定係「為了保護當事人之人格權因資料之蒐集、處理與利用而受到損害」,
並未如多數各邦個人資料保護法般,以前述聯邦憲法法院發展出之資訊自決權概
並未如多數各邦個人資料保護法般,以前述聯邦憲法法院發展出之資訊自決權概