第三章 英國銀行國際傳輸保護規範 英國銀行國際傳輸保護規範 英國銀行國際傳輸保護規範 英國銀行國際傳輸保護規範 第一節 第一節第一節第一節
第一節 英國 英國 英國 英國資料保護法 資料保護法 資料保護法 資料保護法
第三章 第三章
第三章 英國銀行國際傳輸保護規範 英國銀行國際傳輸保護規範 英國銀行國際傳輸保護規範 英國銀行國際傳輸保護規範 第一節 第一節
第一節 第一節 英國 英國 英國 英國資料保護法 資料保護法 資料保護法 資料保護法
相對於美國採取分散式之立法形式,英國對於個人資料保護之立法與其 他歐盟會員國相同,採全面適用式之資料保護法制,將對個人資料之保護統 一訂定於單一法律,故英國銀行國際傳輸個人資料所應遵循之規範,以現行 1998 年資料保護法(Data Protection Act, DPA)為主要之法律依據。該法首次 訂定公布於 1984 年,並於 1995 年因應歐盟委員會發布「個人資料隱私權保 護指令」,故於 1998 年修正資料保護法(Data Protection Act 1998),將歐盟 指令納入國內法律,修正後規定於 2000 年 3 月 1 日生效,取代 1984 年資料 保護法。
資料保護法修正後,由於該次修正將個人資料之保護客體,由「電腦處 理之個人資料」擴大為包含「人工資料」,英國政府為避免衝擊過大,故將 1998 年資料保護法分為兩個階段實施,分別於 2001 年 10 月 24 日及 2007 年 10 月 24 日逐步將人工資料納入適用39。本節將就 1984 年及 1998 年英國資料 保護法之立法背景及該法中有關資料管理者將個人資料國際傳輸等相關規範 進行探討。
第一項 第一項
第一項第一項 立法背景立法背景立法背景 立法背景
英國對於個人資料保護之立法需求,係因應 1970 年起電腦及資訊技 術之快速發展,造成對個人隱私之威脅。英國政府鑑於當時現存之法律已 不足以處理企業以電子型態持有及處理與個人資料相關資訊所衍生之問 題,故開始資料保護法之訂定,立法歷程如下:
一、楊格報告書(The Younger Report)
39周慧蓮,英國個人資料保護最新案例發展及其對我國法制之啟示,科技法律透析,頁 55,2005 年 1 月。
1970 年初英國楊格委員會(the Younger Committee on Privacy)
針對電腦及資訊技術發展引發之個人隱私保護議題提出 10 項使用電 腦處理個人資料保護之指導原則40。英國政府為回應楊格報告書所提 議題,前後共計公布二份白皮書(White Papers),首份白皮書主要 檢討公務部門對於個人資料之處理,續後發布之白皮書,英國政府 開始思考是否須對個人隱私訂定更進一步之保護規範,以管理公務 及非公務部門對於個人資料之處理41,並設立寧得普委員會(Lindop Committee)負責研究相關議題42。
二、寧得普報告書(Lindop Report)
寧得普委員會成立後於 1978 年發布報告指出由於「楊格報告書 已就個人隱私之相關議題提出相關建議。本委員會之工作係針對個 人資料保護之問題提出處理意見。事實上,該二領域相有重疊之處,
重疊部分可稱為『資訊隱私』(information privacy),或『資料隱 私』(data privacy)。本報告中使用『資料隱私』,以代表個人控 制與其個人相關資料流通之權利。」該報告中同時建議英國政府應 設立專責之資料保護機關(Data Protection Authority),針對不同產
40 楊格委員會對於隱私保護提出之 10 項指導原則,包括(1)因特定目的取得之資訊,未經適當授
權不得為特定目的外之使用;(2)授權應能限制因特定目的所取得之資訊;(3)資訊之蒐集及持有 必須是適當、相關且不超逾該特定目的之最低需求為限;(4)因統計目的,以電腦系統處理之資 訊系統應有適當之設計及程式,以將處理中之資料與資料庫中之其他資料予以區分;(5)與當事 人間應有適當之約定,持有與當事人相關之資訊時,應能告知當事人;(6)系統中應有一定程度 之安全機制,並事先提供使用者明確詳細之說明,包括如何預防資料被故意的濫用或被錯誤的使 用;(7)應提供監控系統以協助發現任何違反系統安全性之情形;(8)設計資訊系統之期間,不應 將資料儲存於系統中;(9)持有資料之正確性,應有更正錯誤及資訊更新之機制;(10)編碼值判斷 時,應採取適當之保護措施(care should be taken in coding value judgments),楊格報告書提出之 立法建議,在當時最終未被英國政府所採用。See Peter Carey, supra note 21, at 1-8.
41 Val Collins, Privacy in the United Kingdom:a Right conferred by Europe?, International Journal of Law and Information Technology, Vol. 1 No. 3, 293(1993).
42 英國政府發布之白皮書中指出使用電腦處理個人資訊的時代已來臨,並提出電腦處理個人資
料之 5 項特性,包括(1)有助於龐大資料之處理、記錄及保存於系統中;(2)可從各不同資訊點以 簡便及快速之方式取得資料;(3)快速將資料由一個資訊系統傳輸至另一個資訊系統之可能性;(4) 將資料予以合併處理之可能性增加;(5)可將資料儲存、處理及轉換為無法直接閱讀之型態。See Peter Carey, supra note 21, at 1-8.
業特性訂定資料保護之最佳實務守則,但寧得普報告所提建議,英 Automatic Processing of Personal Data),為使英國資料保護之法律能 與國際規範一致,避免英國因個人資料保護程度之不足,被其他國家
二二
二二、、、、1984 年資料保護法國際傳輸年資料保護法國際傳輸年資料保護法國際傳輸之年資料保護法國際傳輸之之之限制限制限制限制規定規定規定規定
1984 年資料保護法有關國際傳輸個人資料之規定,主要訂於第 4 條第 3 項 E 款、第 5 條第 2 項 E 款、第 12 條及第 39 條等條文,在 該等條文規範下,英國資料保護監理機關透過事先登錄之機制,以控 管企業將個人資料進行國際傳輸。
((
((一一一一)))) 事先登錄事先登錄事先登錄(第 5 條第 2 項 E 款) 事先登錄
依據 1984 年資料保護法第 3 條規定為達成該法訂定之目的,英 國應設立資料保護登記處(Data Protection Registrar46),負責落實 該法之執行。英國之資料使用者(Data Users)若擬將資料直接或間 接傳輸至英國以外之國家或地區時,依同法第 4 條第 3 項 E 款規定,
資料使用者應將該國家或地區之名稱及相關說明向登記處登錄。除 已登錄者外,資料使用者不得直接或間接將其持有之個人資料傳輸 至境外或未經登記處核准之國家或地區。
(二) 禁止傳輸之通知禁止傳輸之通知禁止傳輸之通知(禁止傳輸之通知(((Transfer prohibition notices))))(第 12 條)
1984 年資料保護法第 12 條規定,資料保護登記處若發現資料 使用者或已向資料登記處登錄之人,將資料傳輸至非歐洲公約之會 員國,且登記處認定該項傳輸可能違反或將導致違反該法所訂之資 料保護原則,或資料雖係傳輸至歐洲公約之會員國,惟登記處認定 該項傳輸可能將違反該法之資料保護原則,包括資料傳輸之人意圖 將資料再傳輸至其他非歐洲公約之會員國,且再傳輸之行為可能違 反或最終導致違反任一資料保護原則時,登記處得送達「禁止傳輸 之通知」予資料使用者,明定於一定期間之內,完全禁止資料之傳 輸(若登記處認為情況特殊,基於緊急之理由,禁止通知並可於送 達時,立即生效)。
46 資料保護登記處為當時英國專責資料保護之主管機關。
登記處在決定是否發出禁止傳輸通知時,須考慮禁止通知能否 防止對任何人之損害或侵害,並應考量英國與其他國家或地區間,
對於資料自由傳輸之意願。個人資料傳輸若依據法律、法律相關授 權規定或基於任何公約或其他文件,致使英國負有國際傳輸之義務 時,則登記處不得發出禁止傳輸之通知。
(
(
(
(三三三三)))) 個人資料若原始在英國境外處理,並在境外使用,即使對該等 資料之控制(即管理個人資料之資訊內容及使用)係來自英國 境內之資料使用者,將不適用國際傳輸個人資料之限制規定。