（第 39 條）

（

（

（三三三三）））） 個人資料若原始在英國境外處理，並在境外使用，即使對該等 資料之控制（即管理個人資料之資訊內容及使用）係來自英國 境內之資料使用者，將不適用國際傳輸個人資料之限制規定。

（第 39 條）

第三項 第三項

第三項第三項 1998 年資料保護法年資料保護法年資料保護法年資料保護法 一一

一一、、、、修法修法修法修法背景背景背景 背景

為保護與處理個人資料當事人之隱私權，並調和各會員國間有關 資料保護之法律規範，以期各國能在合法處理個人資料之情況下，保 護當事人之權利及資料之品質，使各會員國之資料保護法制能維持在 相當程度，以利資料於不同會員國間之傳送與接收，故歐盟委員會於 1995 年 10 月發布歐盟指令（Directive 95/46/EC），要求各會員國最 遲應於 1998 年 10 月將歐盟指令納入國內法實施。

英國為因應歐盟指令之發布於 1998 年 7 月 16 日經立法通過，發 布資料保護法，明定該法自 2000 年 3 月 1 日生效。1998 年資料保護 法之修正雖為遵循歐盟指令，但該法之規範目的，主要仍為確保個人 資訊能被適當使用（資訊隱私），而非為避免或保護對個人所處領域 之隱私權之侵犯⁴⁷。

英國上議院在 2003 年 Wainwright v Home Office 一案，指出英國 普通法雖沒有就侵犯隱私權自由之行為提供任何程度之認定或保

47 Richard Morgan and Ruth Boardman, supra note 27, at 235-238.

護。惟為補救對於隱私權保護之不足，英國法院對於侵犯隱私權之行 為（如侵害秘密或公開誹謗等）承認以侵權行為作為訴訟之依據，並 擴大其適用範圍⁴⁸，例如在 Douglsa v. Hello 一案中，英國法院以違反 信賴保護（Breach of Confidentiality），肯認隱私本身係屬於來自於 個人之自主價值，應受法律之保護⁴⁹。

為維護法律之安定與進步，英國法院採用漸增的方法，擴大對於 隱私之保護，雖有學者批評此種方法，不足全面規範個人隱私之保護 問題，另歐盟委員會司法部門所發布英國落實歐盟指令之研究報告，

亦認為英國對於個人資料之保護，較欠缺憲法上之基礎。然於 1998 年英國已依據歐洲人權公約（Human Rights Convention）發布英國人 權法（Human Rights Act 1998），對於個人隱私權之侵犯已予明文限 制，肯定隱私為一種憲法上的權利與價值⁵⁰。

二 二 二

二、、、、規定內容規定內容規定內容規定內容

1998 年資料保護法，計有 75 條條文，分為六大部分，包括總則

（第 1 條至第 6 條）、資料當事人之權利（第 7 條至第 15 條）、資 料管理者之通知（第 16 條至第 26 條）、豁免條款（第 27 條至第 39 條）、執行（第 40 條至第 50 條）及附則（第 51 條至第 75 條），並 訂有 16 個附錄（schedules）。

為確保資料保護之相關規範能具體落實，英國依據 1998 年資料 保護法第 6 條之授權，設有資訊官之制度（Information Commissioner）

（同 1984 年資料保護法第 3 條第(1)款(a)之規定），並設立專責之資

48 Roger K. Baker, Offshore IT Outsourcing and the 8^th Data Protection Principle—legal and regulatory requirements—with reference to financial service, International Journal of Law and Information Technology Vol. 14 No. 1, 3-5（2005）.

49 王澤鑑，同註 2，頁 35。

50 同前註，頁 36。

料保護法庭（Data Protection Tribunal）。在上開法律制度下，英國個 會」（Information Commissioner’s Office, ICO），以維護公眾之資訊 權、推動公眾團體之資訊公開及個人資料之隱私權，並專責發布處理 個人資料之最佳實務、提供各界有關資料保護之建議及相關指引

（guidance）；維持各組織內資料管理者有關資訊處理程序之登記，

以及協助解決與決定各組織內是否已適當遵循資料保護法，有關個人 資料處理之相關規定⁵²。

1998 年資料保護法第二章明定六項資料當事人（data subjects）

之權利，包括個人資料近用權（Right of access to personal data）、損

51David Bainbridge, Data Protection Law 26, Figure 3.1，2005，轉引自李振瑋、江耀國，英國資料 保護法中資料所有人權利之研究－－兼論我國個資法之相關規範及案例，中原財經法學，頁 39，

2010 年 6 月。

52 An overview of the Data Protection Act 1998, Information Commissioner Office, available at www.ico.gov.uk（last visited November, 2011）。

資訊官 Investigation & enforcement

契約保證 Contractual

guarantees

符合特定條件下，始可傳輸 Conditions for some transfers

資料當事人 Data Subject 告知資料蒐集及尋

求同意 inform, seek consent

請求資料揭露與拒 絕資料處理之權利

Subject access, rights to object

害防止請求權（Right to prevent processing likely to cause damage or distress）、直接行銷拒絕權（Right to prevent processing for purposes of direct marketing）、防止自動化之決定（Rights in relation to automated decision-taking）、損害賠償請求權（Compensation for failure to comply with certain requirements ） 、 資 料 之 更 正 、 封 鎖 、 刪 除 與 銷 毀

（Rectification, blocking, erasure and destruction）。其中最重要者，為 個人資料近用權，即賦予當事人經由書面申請（或電子方式傳輸），

並支付適當費用後，得要求資料管理者提供其是否處理當事人個人資 料之相關資訊，包括處理資料之內容、目的及揭露對象等⁵³。

近期英國資料保護較具代表性之案例為 2003 年英國上訴法院對 Durant v. FSA 一案之判決⁵⁴，原告 Durant 先生為巴克萊銀行（Barclays Bank）之客戶，雙方於 1993 年間因故涉訟，Durant 先生敗訴後，陸 續於 2000 年至 2001 年間主張依據資料保護法第 7 條個人資料近用權 之規定，向英國金融服務總署（Financial Services Authority, 以下簡 稱 FSA⁵⁵）請求其協助取得與上開訴訟案有關之個人資料。上訴法院 判決結果認為，參酌歐盟指令修正之資料保護法，其規範目的在於保 護個人之基本權，特別是與個人隱私權及保護當事人得以確認資料管 理者處理資料之過程，是否有非法侵害其個人隱私，而非幫助當事人 取得資料，並對第三人進行訴訟，亦非所有出現當事人名字之資料，

皆屬資料保護法之個人資料範圍（須該筆資料之揭露將影響個人隱私 或對當事人造成負面效果），本案原告請求之相關資料，不符合資料

53 周慧蓮，同註 39，頁 56。

54 針對該判決英國資訊自由及保護委員會（ICO）於 2006 年 2 月發表該判決對於 1998 年資料保 護法之影響—The “Durant” Case and its impact on the interpretation of the Data Protection Act 1998。

55 FSA 目前為英國金融服務產業之監理機關，網站：http://www.fsa.gov.uk。

保護法所稱「個人資料」，自不得主張依據資料保護法第 7 條之規定，

（三）增訂敏感性之資料類別（sensitive personal data）：新增敏感 性資料之內涵，並明定除符合一定條件外，敏感性資料不得 三人隱私權之保護間取得平衡。See Durant v. Financial Services Authority (Disclosure) [2003]

EWCA Civ 1746, Court of Appeal (Civil Division), 2003-12-08 (Approx. 41 pages), 2-5（2003）.

58 Peter Carey, supra note 21, at 6-7.