第五章 過往與新興個資議題的可能解方
第二節 英國法之相關規範
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
77
究目的、統計研究目的時,設有明文限制,故我國若參考歐盟之立法模式,
除了可落實事後排除權的保障外,對於健保資料庫此種涉及公益之情形,亦 留有後路防止健保資料庫訴訟案最高行政法院所擔憂之申請退出風潮374。
除此之外,1995 個資保護指令與 GDPR 的自動化處理個資相關條文,
儘管並非針對人工智慧所設計,而僅為較上位之概念,將一切之自動化處理 都納入規範,但也實足以作為我國個資法面對人工智慧議題時的參考藍本。
像是本文第四章所提及之演算法黑盒子、增加再識別風險,比起目前毫無任 何規範的我國個資法,已具有相關條文的歐盟法,無疑較能夠提供保障。賦 予資料主體反對權之設計,將能夠使資料主體在處理人工智慧應用帶來之疑 慮時,至少能透過主張自動化處理個資之反對權,在有任何擔憂時透過主張 不受拘束,而於實際上達成對抗人工智慧自動化處理個資之效果,無須被迫 接受自動化處理之結論。以目前試辦中的全民健康保險資料人工智慧應用服 務試辦為例,因所取用者為電腦斷層(CT)及核磁共振(MRI)影像,在 GDPR 體系下屬於涉及健康之第 9 條第 1 項敏感性個資,除非符合 GDPR 第 9 條第(a)款資料主體同意、第(g)款有歐盟或成員國法律授權,此兩 個要件任一者以上,否則皆不得將自動化處理套用至該敏感個資375。簡言之,
我國若參照 1995 個資保護指令、GDPR,在個資法設立能涵蓋人工智慧應 用之條文,將使得全民健康保險資料人工智慧應用服務,需要取得當事人同 意或具有專門法律授權,方得以進行,而非只由主管機關行政命令即可。本 文認為此項立法將可促進主管機關甚而立法院全盤考量人工智慧應用之議 題,將我國個資法做出最順應時代之改變。
第二節 英國法之相關規範
與歐洲大陸僅有一海峽之隔的英國,過往由於屬於歐盟的一份子,因此歐盟 的法律可以對英國產生拘束力。然而英國在 2016 年 6 月 23 日脫離歐盟公民投票 中,由贊成脫離歐盟方取得多數選票,使得英國啟動脫離歐盟程序376,並於 2020 年 1 月 31 日正式脫離歐盟377。對於脫離歐盟,英國則設有過渡期間措施,在 2020 年 2 月 1 日至 2020 年 12 月 31 日,都處於過渡階段,脫離歐盟而產生的新法規 則在 2021 年 1 月 1 日生效378。
從上述內容可以得知,在英國脫離歐盟後,歐盟的 GDPR 將無法直接對英 國發生效力。對此,英國為確保國內個資保護能與歐盟之 GDPR 接軌,在 2018 年時即批准 2018 年資料保護法案(Data Protection Act 2018,下稱 DPA 2018)作
374 同註 179。
375 Supra note 356.
376 BBC 中文網,https://www.bbc.com/zhongwen/trad/uk-51284860 (最後瀏覽日:05/20/2020)。
377 同上註。
378 英國政府網站(GOV.UK),https://www.gov.uk/transition (最後瀏覽日:05/20/2020)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
78
為脫歐之配套措施之一379。
截至 2020 年脫離歐盟,英國的個資保護法規,已歷經三個版本,分別是:
Data Protection Act 1984(下稱 DPA 1984)、Data Protection Act 1998(下稱 DPA 1998)、Data Protection Act 2018(即 DPA 2018)380。本節將敘述英國之個資保護 法規沿革、其專責單位 Information Commissioner Office(下稱 ICO),以及在脫 離歐盟後將作為適用法之 DPA 2018 內容。
第一項 專責單位:Information Commissioner Office
在 DPA 1984 完成立法後,當時對應產生的主管機關 Data Protection Register,即為 ICO 之前身381 382,最初是個僅擁有 10 名成員的小型政府單 位383。
ICO 的正式出現,則在 DPA 1998 完成修法後384。DPA 1984 時代與 DPA 1998 時代的差異,除了將 Data Protection Register 轉變為現今之 ICO 外,也 將英國之「政府資訊公開法(Freedom of Information Act 2000)」、「隱私與電 子通信規則(Privacy and Electronic Communications Regulations 2003)」、「環 境資訊規則(Environmental Information Regulations 2004)」等有關資訊之法 規一同納入體系進行整合385。
按照 DPA 2018 第 115 條第 1 項,英國 ICO 被定位為「滿足 GDPR 第 51 條所要求『各會員國應設立至少一個獨立公務機關來處理個資保護事宜
386』的專責獨立公務機關387」。並按 DPA 2018 第 115 條第 2 項,英國 ICO 之職權,則比照 GDPR 第 57 條388、第 58 條389辦理390。
第二項 法規沿革
如同我國於 1995 年頒布之「電腦處理個人資料保護法」,英國於 1984 年頒布之 DPA 1984,亦是受「經濟合作暨發展組織」(OECD)所揭示之保
379 同註 17。
380 同註 17,頁 34。
381 同註 17,頁 34。
382 ICO 網站,https://ico.org.uk/about-the-ico/our-information/history-of-the-ico/ (最後瀏覽日:
05/20/2020)。
383 Data Protection Act 1984.
384 同註 17,頁 34。
385 同註 17,頁 34。
386 GDPR Article 51.
387 DPA 2018 Section 115(1).
388 GDPR Article 57.
389 GDPR Article 58.
390 DPA 2018 Section 115(2).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
79
護個人資料八大原則所影響391。
其後,由於因應歐盟之 1995 個資保護指令,英國將 DPA 1984 修改成 DPA 1998392。比起 DPA 1984,DPA 1998 依循透明公開(Transparency)、參 與控制(Control)此兩項原則,再多新增了六項權利,分別是:「揭露請求 權(Right of Access to Personal Data);防止可能會造成損害或不幸之程序
(Prevention of Processing Likely to Cause Damage or Distress);防止直銷之 處理程序(Prevention of Processing for Direct Marketing);防止自動化之決定
(Prevention of Automated Decision-taking);更正、封鎖、刪除或銷毀權
(Rectification, Blocking, Erasure, and Destruction);損害賠償請求權
(Compensation)393」。
「揭露請求權」規範在 DPA 1998 第 7 條394,並由第 8 條395、第 9 條396 加以補充。其規範內涵是指資料主體得依據此權利,向資料控制者(data controller)請求提供個資。該權利也是一切權利之基礎,因資料主體需先獲 得個資,方有辦法行使其他權利,例如:防止可能造成損害或不幸之處理程 序、防止直銷之處理程序、主張更正與刪除個資、要求損害賠償等397。
「防止可能會造成損害或不幸之程序」規範在 DPA 1998 第 10 條398。 其規範內涵係指當資料主體認為其個資於處理程序下,可能將造成損害或引 起不幸時,資料主體有權要求資料控制者,在合理期間內,終止或不進行
(cease or not to begin)處理其個資。資料控制者除非具有:「一、已取得資 料主體對該處理程序表示同意;二、該處理程序屬於履行與資料主體所訂立 之契約所必要者;三、該處理程序係基於法令規定;四、該處理程序屬於保 護資料主體重大權益所必要者;五、該處理程序係由國務大臣(Secretary of State)所決定者」,否則皆需按照資料主體之要求,終止或不進行處理其個 資399。
「防止直銷之處理程序」中所稱之「直銷」,係直接對特定使用者進行 廣告(advertising)或提供試用品、宣傳型錄(marketing material)之行為。
按照 DPA 1998 第 11 條400規定,資料主體得以書面通知,要求資料控制者於
391 黃清德(2011),《科技定位追蹤監視與基本人權保障》,頁 14,臺北:元照出版有限公司。
392 李振瑋、江耀國(2010),〈英國資料保護法中資料所有人權利之研究-兼論我國個資法之相
關規範及案例〉,《中原財經法學》,第 24 期,頁 31-32。
393 同上註,頁 41-48。
394 DPA 1998 Section 7.
395 DPA 1998 Section 8.
396 DPA 1998 Section 9.
397 同註 392,頁 42。
398 DPA 1998 Section 10.
399 同註 392,頁 44。
400 DPA 1998 Section 11.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
80
合理期限內,停止利用其個資進行直銷行為401。
「防止自動化之決定」規範在 DPA 1998 第 12 條402。該條明文指出,
當資料控制者將作出重大影響資料主體權益之決定時,資料主體有權以書面 通知之方式,要求資料控制者不能僅以自動化方式進行決定。且就算未接獲 資料主體反對,資料控制者仍有義務主動告知資料主體,將以自動化之方式 作成決策403。
「更正、封鎖、刪除或銷毀權」規範在 DPA 1998 第 14 條404,賦予資 料主體對於不正確(inaccurate)之個資,得主張將其進行更正、封鎖、刪 除或銷毀。此條文其實於 DPA 1984 時代即已存在,然比起 DPA 1984 時代,
DPA 1998 又再增加了封鎖權,指的是避免第三人接觸到該不正確之個資
405。
「損害賠償請求權」則規範在 DPA 1998 第 13 條406,賦予資料主體在 資料控制者因違反 DPA 1998 之規定,而對資料主體產生損害時,請求損害 賠償之權利。且應負賠償責任之人,除了資料控制者外,也涵蓋了其他參與 資料處理程序之人。惟資料控制者可透過舉證自身已盡相當之注意遵守 DPA 1998,免除損害賠償責任407。
至於 DPA 1998 與英國現行之 DPA 2018 之差異,則於本節第三項詳加 敘述。
第三項 Data Protection Act 2018
DPA 2018 可說是英國版的 GDPR,在 2020 年 12 月 31 日脫歐過渡期結 束後,成為唯一在英國具有法效性之個資法規408。
DPA 2018 的立法技術,多半是採用「準用」GDPR 的模式。在 DPA 2018 第 1 條第 2 項即表明「本法大部份的個人資料處理皆以 GDPR 為標準」409。 DPA 2018 第 5 條第 1 項,亦表明「在第 2 章中出現的字詞,與在 GDPR 中 的用字有相同含義410」。以下將論述 DPA 2018 與 GDPR 之對照結果。
401 同註 392,頁 45。
402 DPA 1998 Section 12.
403 同註 392,頁 46。
404 DPA 1998 Section 14.
405 同註 392,頁 47。
406 DPA 1998 Section 13.
407 同註 392,頁 48。
408 同註 378。
409 DPA 2018 Section 1 (2).
410 DPA 2018 Section 5 (1).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
81
第一款 一般個資處理
DPA 2018 將個資定義為「連接到已被識別或可被識別之尚生存人 之任何資訊」,其規範在 DPA 2018 第 3 條第 2 項411。
DPA 2018 之一般個資處理規範在第 8 條,該條主要比照 GDPR 第 6 條第 1 項412。較為不同的是,DPA 2018 的個資合法運用事由,尚額 外將 GDPR 第 6 條第 1 項第(e)款的「基於公共利益或基於執行官方 或有權要求揭露之第三方之任務所必要者」做出更細部之定義,認為 只有:「(a)司法行政流程、(b)行使上下議院的職權、(c)行使個人 基於法律之職權、(d)行使王室、政府、內閣閣員的職權、(e)支持或 促進民主參與的活動。」才能該當 GDPR 第 6 條第 1 項第(e)款的合 法要件413。
至於 GDPR 所規範之兒童保護,DPA 2018 則在第 9 條將兒童於英 國之定義列為「未滿 13 歲之人」414,與 GDPR 預設之「未滿 16 歲之 人」有所差異415。
DPA 2018 的「公益建檔、科學歷史研究目的、統計目的」則規範 在第 19 條416,比起 GDPR 第 89 條,DPA 2018 尚新增許多要件。例如 在 DPA 2018 第 19 條第 2 項,明文表示若資料處理程序會造成資料主 體重大損失,則將無法被認為符合 GDPR 第 89 條第 1 項要求,並要求 資料控制者應做好安全維護措施417。同條第 3 項亦將針對特定資料主 體所做之統計排除在適用 GDPR 第 89 條第 1 項之列,除非係基於包含 被批准的醫學研究在內之目的418。同條第 4 項則是對「被批准的醫學 研究」的定義,將被批准的醫學研究限縮在經過英國法律、主管機關 允許之範圍內419。但同條第 5 項亦授權主管機關可改變被批准的醫學 研究之定義420。
第二款 敏感性個資處理
DPA 2018 之敏感性個資處理規範位於第 10 條,該條以 GDPR 第 9
411 DPA 2018 Section 3 (2).
412 Supra note 323.
413 DPA 2018 Section 8.
414 DPA 2018 Section 9.
415 Supra note 328.
416 DPA 2018 Section 19.
417 Id.
418 Supra note 416.
419 Supra note 416.
420 Supra note 416.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
82
條為對象比照制定。主要內容是將 GDPR 第 9 條第 2 項第(b)款(有 關就業與社會安全之內容)、第(g)款(有關重大公共利益之內容)、
條為對象比照制定。主要內容是將 GDPR 第 9 條第 2 項第(b)款(有 關就業與社會安全之內容)、第(g)款(有關重大公共利益之內容)、