歐盟在 2016 年 4 月通過「個人資料保護規則(General Data Protection regulation,GDPR)」,取代於 1995 年頒布的個人資料保護指令(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(下稱「95 指令」),試圖以具有直接規範效力的
「規則(regulation)」,整合各會員國間不盡一致的個人資料保護法令,降低企業
179 See http://www.eugdpr.org/ (last visited Jan 31, 2017).
180 然而,GDPR 中仍有開放性的條文,容許各會員國就該規則訂定內國的執行法,因此也使各 國保有差異化的空間。例如德國內政部最近一次公布的 GDPR 執行草案(Bundesdatenschutzgesetz,
BDSG),除了對 GDPR 的適用範圍及執行規範提供了更具體的細節內容,也額外增加了 GDPR 體與資料控制者間存在適當的關係(如:前者為後者的顧客),而基於「直接行銷(direct marketing)」
的目的處理個人資料,通常可被認為是正當利益的實踐。See GDPR (2016/679) recital 47.
184 GDPR (2016/679) Art. 6(1)(f).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第一款 GDPR 與個人資料保護指令的差異
GDPR 第 3 條規定一改過去 95 指令對於地域適用範圍僅有模糊的規範,明 確規定歐盟境內的資料控制者或處理者,不論是否於歐盟境內處理個人資料均適 用該規則;若企業並非位於歐盟境內(Non-Eu businesses),但處理歐盟居民的 個人資料,且其處理資料的行為與提供歐盟居民商品或服務(無論是否需支付費 用),或監控其在歐盟境內的行為相關,則該境外企業也應受到 GDPR 的拘束,
並須於歐盟境內指定代表人(representative)。185此一規定擴張了歐盟個人資料保 護規範的地域適用範圍,以因應網路世界無實體跨境交易的型態。
在同意的要件上,GDPR 也強化了形式的要求,規範企業在獲取資料主體的 同意時,相關說明及同意的聲明必須以清晰、淺白的文字,取代冗長、晦澀的法 律術語;而提供資料主體撤銷同意的方式,必須與其同意當時一樣的容易。186另 值得注意的是,歐盟意識到基於科學研究(scientific research)的目的處理個人 資料,經常面臨在蒐集階段無法完全特定具體目的的情形,因此 GDPR 在立法 理由中特別提到,允許資料主體在符合研究倫理的情況下,得對於特定領域的科 學研究為概括同意。187
關於資料主體的權利,GDPR 新增了安全事故發生時資料控制者的通知義務。
如果資料安全事故的發生很可能對自然人的權利或自由造成危害時,資料控制者 應在發現事故後 72 小時內通報資料監理機關(逾時通報必須同時檢附逾時理由),
並儘速通知資料主體,不能有不必要的拖延。188GDPR 也擴張了資料主體近用資 料的權利,包含資料主體可以向資料控制者確認是否有處理其相關個人資料、處 理的地點及處理的方式,並免費獲取一份電子形式的個人資料複本。189此外,先
185 GDPR (2016/679) Art. 3, Art.27(1).
186 GDPR (2016/679) Art.7.
187 GDPR (2016/679) recital 33.另有關基於「科學研究目的」處理個人資料,GDPR 認為對於該目 的的範圍應採取「廣義」的解釋,舉凡科技發展與演示、基礎研究、應用研究與私人資助的研究 均應包含在內。
188 GDPR (2016/679) Art. 33-34.
189 GDPR (2016/679) Art. 15.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
前備受矚目、引起各界討論的「被遺忘權(Right to be Forgotten)」190、「資料可 攜權(Data Portability)」191等議題,也均被明文納入 GDPR 的規範當中。
最後,GDPR 將違法罰鍰的上限提高至全球年收入 4%或 2 千萬歐元(以金 額較高者為準),並依據行為受責難的程度區分不同的罰鍰額度,例如未取得同 意處理個人資料或違反隱私設計的核心概念,可以處上述最高額的罰鍰;沒有記 錄相關處理個人資料的活動、沒有履行安全事故通知義務或沒有進行影響評估等 等,可處全球年收入 2%的罰鍰。192
第二款 側寫(profiling)
除上述規定外,GDPR 針對「側寫」此一個人資料處理行為,有特別深入地 著墨,甚至認為側寫屬於第 3 條規定的一種監控資料主體行為的個資處理活動,
193對於自然人的權利與自由可能帶來相當程度的風險,導致個人身體、物質與非 物質上的損害。194相較於過去指令著重規範自動化決定作成(automated
decision-making)的結果(其中可能涉及側寫活動),而非側寫行為本身;GDPR 則同時規範側寫行為本身,與利用側寫而作成自動化決定的活動。195
首先,GDPR 於第 4 條第(4)款定義「側寫」指以任何自動化處理個人資料的 方式,評估自然人的特定人格特質(personal aspects),特別是針對自然人的工作 表現、經濟狀況、健康、個人喜好、興趣、可信賴度、行為、位置或行動作分析 或預測。
190 GDPR (2016/679) Art. 17.
191 GDPR (2016/679) Art. 20.
192 GDPR (2016/679) Art. 83.
193 立法理由提到,要判斷特定個資處理行為是否屬於監控資料主體的行為,應該確認該自然人 是否在網路上被持續以包含「側寫」的個資處理技術進行潛在追蹤,特別是以分析或預測該自然 人的個人偏好、行為及態度為目的的情形。GDPR (2016/679) recital 24.
194 GDPR (2016/679) recital 24, 75.
195 Information Commissioner’s Office, Feedback request – profiling and automated decision-making, 7 (Apr 6, 2017), available at:
https://ico.org.uk/media/2013894/ico-feedback-request-profiling-and-automated-decision-making.pdf (last visited Jun 13, 2017).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
如果欲對個人進行側寫,則資料控制者在直接或間接蒐集個人資料時,應至 少告知資料主體有關該自動化處理個資的邏輯、對於資料主體的重要性與預想的 後果等資訊,以確保處理過程的公平與透明(第 13 條第 2 項第 f 款、第 14 條第 2 項第 g 款);資料主體並可以主動向資料控制者作確認,以瞭解相關處理行為 的合法性(第 15 條第 1 項第 h 款)。196
又,若資料控制者是以實現公共利益、行使法定職務,或追求較個資保護更 為優先的正當利益,作為合法事由對個人進行側寫,則資料主體得基於其特殊狀 況隨時為拒絕。一經拒絕,除非資料控制者能闡明側寫是為了追求更迫切、優先 的正當利益,或為了建立、行使、防禦法律上的主張,否則即應立即停止處理相 關個人資料(第 21 條第 1 項)。但如果是以直接行銷(direct marketing)為目的 處理個人資料(包含對個人進行側寫),資料主體享有完全(absolute)拒絕的權 利,不須再與資料控制者的利益相權衡(第 21 條第 2 項及第 3 項)。
再者,如果「僅(solely)」197根據包含側寫在內的自動化處理過程所作成的 決定,將對資料主體產生法律上效果或其他同等重要的影響時,資料主體有權拒 絕受到該決定的拘束,例如線上信用申請的自動拒絕機制,或是非人為的電子招 募活動。除非該決定是締結或履行資料主體與資料控制者間的契約所必要;或是 已經歐盟或會員國法律允許(如為了監控詐欺、逃稅等);或是基於資料主體的 明確同意,198且上述所有例外情形都必須對資料主體的權利、自由及正當利益提 供適當保護措施(第 22 條第 1 項至第 3 項)。
此外,GDPR 第 35 條規定,在使用新的科技進行個人資料處理,且考量處
196 資料主體此一個人資料近用(access)權不影響資料控制者其他涉及營業秘密、智慧財產的權利,
特別是用於自動化處理運算程式的著作權,但資料控制者不能以維護上述權利為由完全拒絕向資 料主體提供任何資訊。See GDPR (2016/679) recital 63.
197 依據英國資訊官辦公室(Information Commissioner’s Office,ICO)的看法,雖然 GDPR 條文規 定使用「僅(solely)」,但只要人為的介入對該決定作成無真正影響,例如側寫或個人資料處理的 結果在成為正式的決定之前未經過人為的評估,則仍然適用本條規定。See Information
Commissioner’s Office, supra note195, at 19.
198 即使在該等情形(基於契約所必要、法律允許、資料主體的同意),資料主體仍得表達其看法,
要求人為的介入以及挑戰該決定。GDPR (2016/679) Art. 22(3).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
理行為的本質、範圍、脈絡及目的可能為多數自然人的權利與自由帶來相當風險 時,資料控制者在處理之前應先進行個人資料保護影響評估(Data protection impact assessment)。而根據自動化處理的側寫,廣泛、系統性的評估多數人人格 特質者,即屬於上述必須於處理前先進行影響評估的法定情形之一。199但立法理 由也特別說明,如果是個別醫師、健康專業人士或律師處理其病人或客戶的個人 資料,則不屬於上述大規模處理個人資料的情形,該資料控制者不負個人資料影 響評估的義務。200
第三款 假名化(pseudonymisation)
另外也值得注意的是,GDPR 明文肯認將個人資料予以「假名化
(pseudonymisation)」,是一種能降低資料主體風險,及幫助資料控制者與處理 者履行其資料保護義務的適當安全措施。201「假名化」是指使個人資料轉化為在 沒有運用其他資料的情形下,即無法連結至特定資料主體的個人資料處理方式;
前提是該其他資料被分別保存,且採取技術或組織上的方式,確保轉化後的個人 資料不能連結至特定已識別或可識別的自然人。202
而必須與假名化作區別的是「匿名化(anonymous)」。相較於假名化,GDPR 並未定義何謂去識別化,其原因可自其立法理由中窺見端倪。立法理由提到,「假 名化」的資料在其他額外資料的運用下(必須考量包含資料控制者或其他人所有 合理、可能,得直接或間接識別特定自然人的方法),即可連結至特定自然人,
因此屬於可識別的個人資料;相反地,無論如何不能與特定已識別或可識別自然 人連結的「匿名化」資料,即無相關個人資料保護原則適用的餘地,基於如統計 或研究等目的處理該等資料並不受到 GDPR 的拘束。203
199 GDPR (2016/679) Art. 35(3)(a).
200 GDPR (2016/679) recital 91.
201 GDPR (2016/679) recital 28.
202 GDPR (2016/679) Art. 4(5).
203 GDPR (2016/679) recital 26; Art.32 (1)(a), 89(1).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二項 電子通訊傳播個人資料及隱私保護指令(Directive 2002/58/EC)
除了一般性的個人資料保護規範,歐盟針對以資通訊為基礎(IT-based)的 電子通訊傳播(electronic communications)服務另有隱私保護的特別規定—「電 子通訊傳播個人資料及隱私保護指令(2002/58/EC,又稱 e-Privacy Directive)」204。 依據 GDPR 第 95 條規定,適用上述規則有關個人資料處理規定(包含資料控制 者的義務及自然人的權利)者,不適用 GDPR;鑒於通訊傳播科技匯流的影響,
資訊與通訊的界線越趨模糊,可能蒐集個人收視行為紀錄者也不再侷限於傳統電
資訊與通訊的界線越趨模糊,可能蒐集個人收視行為紀錄者也不再侷限於傳統電