歐盟與美國資料保護法律規範體系之比較分析

歐盟和美國長期以來對於個人隱私權和資料保護的觀點與立場不同，態度 的歧異也體現在歐美的資料保護規範的各個面向，本節將先詳述歐盟1995 年資 料保護指令、美國資料保護規範具體內容差異，藉以作為後續討論的立論基 礎。

第一目 保護目的與宗旨

一直以來，各方都認為歐盟對於隱私的保護水準較美國高，而其實不僅是 對權利的保護水準有所差異，雙方之間對於「隱私權」的看法亦有根本性的差 異，下述將說明歐盟和美國個別對於隱私權的看法。

1. 歐盟──保護公民一般基本人權

歐洲國家長久以來都十分重視個人隱私的保護，在1981 年，由歐洲國家成 立的「歐洲理事會（Council of Europe）」通過了第一個也是當時唯一一個具有 拘束力的資料保護國際協定─「歐洲理事會關於資料保護的第 108 號公約

（Council of Europe Convention 108）」⁶⁰。該公約的內容是要求各會員國在其國 家法律內納入對資料保護的規範⁶¹。如公約第5 條第 1 項規定資料保護法的基

International Data Flows, 80 IOWA LAW REVIEW, 471 (1995).

60 Convention for the Protection of Individuals with regard to Automatic Data Processing of Personal Data, Council of Europe, Jan. 28, 1981, ETS 108 (1981).

61 Id. art. 3.

本原則，要求自動處理（automatic process）的個人資料應該以公平且合法的方 式取得和處理⁶²。公約主要約束的對象是歐盟會員國，因此並未直接為個人創 設權利，也未適用於任何私部門的實體⁶³。但即便如此，此公約仍被視為歐洲 各國將資料隱私作為基本權利的重要發展歷程⁶⁴。

在歐盟，隱私被視為是個人的「基本權利（fundamental right）」，因此保護 個人資料的隱私也被視為是保護歐盟公民的基本權利。這個概念體現在歐盟不 同的法律條文中，例如「歐洲聯盟基本權利憲章（Charter of Fundamental Rights of the European Union）」第 8 條明文將個人資料的保護認定為個人的基本權 利：人人均有權享有個人資訊之保護；此等資訊應僅得於特定明確的目的，於 資訊所有人同意或其他法律規定的正當依據下，公平地被處理；人人均有權了 解其個人資訊，並有權要求銷毀其個人資訊；應由獨立之主管機關監督這些原 則被確實遵守⁶⁵。同樣地，「歐盟基本權利憲章（ EU Charter of Fundamental Rights）」第 16 條第 1 項也指出：人人均有權保護與其相關的個人資料⁶⁶。由此 可知，個人資料隱私的保護被視為最根本的權利，而保護公民的基本權利係歐 盟法律的一般原則，其他所有規範都必須遵守此原則，若有違反則必須負擔損 害賠償責任⁶⁷。

基於此一觀點，歐盟執委會於1995 通過最具影響力的資料保護指令。歐盟 執委會從1973 年開始針對跨境資料流通進行研究，研究結果顯示歐洲共同體會 員國之間對於資料保護的程度不同，會影響會員國之間跨境資料的自由流通，

因此執委會認為有必要統合各國的標準，不僅得以促進區域內資料自由流通的

62 Id.art. 5.

63 Council of Europe Convention 108, Explanatory Report, para. 38.

64 Christopher Kuner, supra note 56, at 37.

65 Charter of Fundamental Rights of the European Union, Dec. 18, 2000, 2000 O.J. (C 364/1) [hereinafter Charter].

66 Consolidated version of the Treaty on the Functioning of the European Union art. 16(1), May 9, 2008, 2008 O.J. (C 115), providing that: ‘‘Everyone has the right to the protection of personal data concerning them’’ [hereinafter TFEU].

67 Christopher Kuner, supra note 56, at 62.

程度，亦可確保對歐體公民一致的隱私保護水準⁶⁸。根據1995 年指令第 1 條第 1 項，會員國應保護自然人的基本權利和自由，尤其是和個人資料處理有關的 隱私權（right to privacy）⁶⁹。除此之外，1995 年指令第 5 條要求各會員國應該 要進一步精確地定義在何種情況之下，可以合法處理個人資料⁷⁰。任何實體要 將歐盟公民的個人資料傳出歐盟境外時，也必須要確定該資料接受國對於資料 保護的水準係為「充足（adequate）」⁷¹。藉由這些條文的觀察可得知，歐盟對 於歐盟公民的個人資料保護的核心原則是「只有在確定合法、擁有正當的法律 基礎的情況下才得以進行資料的處理」，意即原則上禁止，除非在會員國境內

（因適用歐盟指令的規範）或在有充足保護的國家才得進行。可見在歐盟，「隱 私權」為個人核心且不可被侵犯的重要權利。

2. 美國──保護消費者權益

美國對於隱私保護的意涵與目的與歐盟不同。在美國，隱私保護主要是透 過各州的法律，與針對特定部門的聯邦法律來規範以保護消費者的權益，而美 國憲法中關於資料隱私的保護，僅限於防止政府對於人民隱私的侵害⁷²。不同 於歐盟訂立一套涵蓋所有資料類型一體適用的保護指令，美國僅針對特定的資 料類型，與特定的資料處理活動訂定特別的規範⁷³。整體而言，美國隱私保護 體系的法律可以分為3 種，第一、用來保護較為敏感或風險較高之資料，以資 料的類型作為規範的基礎，例如聯邦針對金融、保險機構資料的保護規範─

「金融服務業現代化法案（Financial Services Modernization Act of 1999），亦稱

68 Christopher Kuner, supra note 56, at 40.

69 Directive 95/46/EC art. 1(1), providing that: ‘Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data’.

70 Directive 95/46/EC art. 5.

71 Directive 95/46/EC art. 25.

72 P^AUL M.SCHWARTZ AND D^ANIEL S^OLOVE, P^RIVACY L^AW FUNDAMENTALS 2-7 (2011).

73 THE PRIVACY,DATA PROTECTION AND CYBERSECURITY LAW REVIEW 365 (Alan Charles Raul et al.

4^th ed. 2017).

（Gramm-Leach-Bliley Act, GLBA）」⁷⁴、針對孩童和學生資料的保護規範─「兒 童網路隱私保護法（Children's Online Privacy Protection Act of. 1998, COPPA）」

75。第二、用來規範特定行為，以確保個人資料隱私不因這些行為而受到侵 害，以特定行為為基礎─例如「1974 聯邦隱私法（the Federal Privacy Act of 1974）」用以規範聯邦政府機構如何蒐集和使用個人紀錄，避免政府以不正當的 手段侵犯人民隱私⁷⁶。加州則要求如果個人的資料被洩漏，或隱私被侵犯，則 企業有義務進行通知⁷⁷。最後則是用於確保消費者資料與權益的保護，若是不 屬於聯邦或州政府特別法規所涵蓋的資料，則適用美國一般的消費者保護法─

「聯邦貿易委員會法（Federal Trade Commission Act, FTC Act）」，此法禁止企業 不公平或是詐欺的商業行為（unfair and deceptive acts and practices）⁷⁸。

由上述可知，美國沒有一部規範個人資料蒐集和使用的一般資料保護法 律，原則上並不禁止企業進行個人資料的處理，除非是特別規範的資料類型與 處理行為。在確保符合對於消費者基本權益的保護，並且不構成不公平與詐欺 的商業行為即可⁷⁹。針對跨境資料的傳輸亦同，美國同樣沒有關於跨國資料傳 輸的法律限制⁸⁰。基於這些觀察可以得知，美國與歐盟的規範邏輯不同，歐盟 規定資料只有在有正當法律基礎時才得以進行處理和傳輸，而美國則是基本上 允許處理和傳輸資料，僅有在特定情況下有所限制。

第二目 規範手段

歐盟採用的是綜合性立法的方式（omnibus approach）訂定資料保護指令，

74 The Financial Services Modernization Act of 1999

75 Alan Charles Raul et al., supra note 73. 聯邦的資料保護規範主要是針對敏感性的資料：個人健

康資料、信用報告、從網路上蒐集之13 歲以下孩童的個人資料、精確的地點資料和可以用來辨

認偷竊和詐欺身分的資料。因規範數量龐大且類別繁雜，無法一一羅列。

76 Jay P. Kesan, supra note 8, at 398.

77 California Civil Code §1798.82.

78 15 U.S.C. §§41-58

79 Alan Charles Raul et al., supra note 73, 377.

80 Id.

該指令所涵蓋的範圍不僅涵蓋歐盟境內所有公民的個人資料，甚至擴及3 個

「歐洲經濟區（ European Economic Area, EEA）」的國家──冰島、挪威和列支 敦斯登⁸¹。在其規範的領域範圍內，會員國必須要訂定國內法以符合指令上的 要求，保護所有類型之EEA 公民的個人資料。因此所有個人資料，無論敏感與 否都受到相同的保護水準，也因此在EEA 境內個人資料得以自由流通⁸²。

美國則是由聯邦與州政府個別針對不同部門訂定特定規範的方式進行資料 的隱私保護立法（sector by sector approach），甚至對於公部門和私部門的規範 也有所差異⁸³。如同上述，美國資料保護法主要分為3 種─針對敏感資料的隱 私要求、針對特定資料處理行為的要求，以及消費者資料的保護規則。基於這 三項目的，聯邦和州政府訂定一系列不同的規範以確保目的的達成，故美國的 資料保護方法又被認為是「拼湊物（patchwork）」。除此之外，美國在個人資料 隱私保護上有許多企業自願遵守的自願性規範（self-regulation），然而因為該些 規範為自願性，與歐盟的強制一體適用的規範仍有極大落差⁸⁴。

第三目 適用範圍

歐盟DPD 的適用範圍廣，包含全部或部分透過自動化方式（automatic means）處理；以及以自動化方法以外的其他方式處理並成為檔案系統（filing system）一部分的個人資料⁸⁵。換句話說，不管個人資料處理的方式是電腦自動 處理，或是持有資料者所為，只要最後歸檔的個人資料，無論種類都涵蓋在指 令規範的範圍內。但根據指令第3 條第 2 項也有明文規定，在下列的情況下，

81 Decision of the EEA Joint Committee No 83/1999 of 25 June 1999 amending Protocol 37 and Annex XI (Telecommunication services) to the EEA Agreement, 2000 O.J. (L296/41).

82 Directive 95/46/EC art. 1.

83 Paul M. Schwartz, The EU-U.S. Privacy Collision: A Turn to Institutions and Procedures, BERKELEY LAW 1974 (May 2013).

84 Edward R. Alo, EU Privacy Protection: A Step Towards Global Privacy, 22 Mich. St. Int'l L.

Rev. 1095 (2013).

85 Directive 95/46/EC art. 3(1).

DPD 並不適用於個人資料的處理：不屬於歐洲共同體法所規範的活動，例如歐 洲聯盟條約（Treaty on European Union）第五、六章中會員國「共同外交及安 全政策」與「司法及內政合作」所涉及的個人資料處理⁸⁶；和公共利益、國 防、國家安全有關，以及會員國內刑法所規定的活動⁸⁷。整體而言，歐盟隱私 指令所涵蓋的內容係除了明文規定的例外，包含所有實體以各種方法蒐集之所 有類型的個人資料。

美國的個人資料保護相關法律所涵蓋的範圍較小，且因為美國法不如歐盟 的指令，係以單一規範一體適用，不同的法律所規範的範圍亦不相同，甚至不 同規範因為目的不同，用以定義涵蓋範圍的標準也不相同。例如美國GLB 法案 規範的即是參與金融活動的金融機構，如銀行、證券公司和保險公司，如果非 金融機構的公司從金融機構取得非公開的個人資料，亦須受到GLB 法案的管轄

美國的個人資料保護相關法律所涵蓋的範圍較小，且因為美國法不如歐盟 的指令，係以單一規範一體適用，不同的法律所規範的範圍亦不相同，甚至不 同規範因為目的不同，用以定義涵蓋範圍的標準也不相同。例如美國GLB 法案 規範的即是參與金融活動的金融機構，如銀行、證券公司和保險公司，如果非 金融機構的公司從金融機構取得非公開的個人資料，亦須受到GLB 法案的管轄