資料保護規範（GDPR）體系介紹

2012 年歐盟執委會宣布要重新審視歐盟境內之資料保護法案，並提出全新 的資料保護規則（GDPR），以確保得以在充分保護個人資料隱私的情況下促進 資料的自由流通，GDPR 於 2016 年通過，並於 2018 年 5 月 25 日生效¹¹²。此規 則為歐盟促進單一數位市場策略的一部份¹¹³，旨在使歐盟法規更符合現代數位 時代的需求，並且調和各會員國之國內法規，避免法規落差造成的爭議與對雲 端產業發展的阻礙¹¹⁴。本節將簡述GDPR 規範與 1995 年指令的差異，以了解 在新規範下雲端服務業者可能需要負擔哪些義務。

第一目 擴大適用範圍

GDPR 規範所適用的資料處理行為與 1995 年指令相同，不論是電腦自動處

110 Id.

111 Id.

112 GDPR Portal: Site Overview, EUGDPRINFORMATION P^ORTAL, https://www.eugdpr.org/ (last visited June. 1, 2018)

113 「單一數位市場策略（Digital Single Market）」由歐盟執委會於 2015 年提出，旨在促進歐盟

會員國間數位市場的整合與法規環境的調和。改善個人資料與隱私保護規範亦於2015 年納入該

策略。European Commission, Right environment for digital networks and services, May 16, 2017, https://ec.europa.eu/digital-single-market/en/environment-digital-single-market.

114 European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm.

理，或是持有資料者所為，只要最後歸檔的個人資料，無論種類都涵蓋在指令 規範的範圍內¹¹⁵。然而GDPR 擴大領域適用的範圍（territorial scope），先前根 據指令，領域的適用範圍主要是以資料控制者的「設立處（establishment）」為 標準¹¹⁶，但GDPR 將規範適用的範圍擴大到所有處理位於歐盟境內資料主體個 人資料的公司，不論公司的位置以及其設立的地點¹¹⁷。根據GDPR 第 3 條的規 範，下列情況的資料控制者或處理者屬於規則的適用範圍：歐盟境內的控制者 與處理者，不論該資料處理的行為是否發生於歐盟境內¹¹⁸；資料控制者與處理 者設立於歐盟境外，但處理位在歐盟境內資料主體之個人資料，而這些處理活 動和提供貨品和服務給歐盟公民相關，或者是對其與監督歐盟境內公民之行為 相關¹¹⁹。

由此可知，GDPR 的適用範圍較指令大，適用於指令的企業必然與歐盟有 一定程度的連結，特別是以設立點為基準，然而GDPR 係要求所有處理歐盟境 內公民資料的企業，無論其與歐盟是否有一定程度的連結，都必須要符合對於 個人資料隱私的規範。這對於原本非指令適用範圍的企業而言將形成額外的法 規遵循成本。

第二目 增加資料主體之實體權利

GDPR 中不僅加強現有指令中資料主體的權利，同時也賦予資料主體新的 權利，以確保在現今數位科技的發展下，資料主體的個人資料隱私得以受到完 善的保護。首先，GDPR 擴大原本透明化原則下資料主體應被告知的資訊內 容，包含：其個人資料將被儲存的時間¹²⁰；資料主體得以要求刪除、修正、限

115 GDPR art. 2.1

116 Directive 95/46/EC art. 4.

117 GDPR Key Changes,EUGDPRINFORMATION PORTAL, https://www.eugdpr.org/key-changes.html (last visited June. 1, 2018).

118 GDPR art. 3.1.

119 GDPR art. 3.2.

120 GDPR art. 15.1(d).

制處理範圍的權利¹²¹；資料主體得以向DPA 提起控訴的權利等¹²²，藉以加強資 料主體對其個人資料的控制。

另外，GDPR 擴大資料主體要求刪除、限制和拒絕資料處理的權利。就刪

除權（Right to erasure）的部分，GDPR 進一步將歐盟境內討論已久的「被遺忘

權（Right to be forgotten）」納入條文之中，被遺忘權的主要內涵係資料主體在 條文規範的情況下，得以要求資料控制者刪除其個人資料，不得有不合理的延 體有「限制資料處理的權利（ Right to restrict processing）」，包含：對資料的精 確度有質疑時¹²⁶；資料的處理不合法¹²⁷；或是對於原本蒐集資料的目的而言，

125 Opinion of Advocate-General Jääskinen, delivered on 25 June 2013, Case C-131/12, ¶¶ 51-65.

126 GDPR art. 18.1(a).

127 GDPR art. 18.1(b).

128 GDPR art. 18.1(c).

除了擴大既有指令規範的權利外，GDPR 亦賦予資料主體新的權利。最主 要的是新增資料可攜帶權（Right of data portability），根據規則，資料主體必須 得以在不同的資料控制者之間轉移其個人資料，亦即可以沒有障礙的自由更換 進行資料處理的控制者¹²⁹。此權利隱含各資料控制者必須要確保資料的格式必 須要得以互通（interoperability）¹³⁰。

第三目 增加資料控制者與處理者之義務

在新的GDPR 中，對於資料控制者與處理者的定義與指令相同，控制者得 以決定資料處理的方式與目的，處理者則是為控制者進行資料處理，且其處理 活動不得超過控制者的指示範圍¹³¹。在DPD 中，僅對資料控制者規範直接的履 行義務，處理者和次級處理者即使違反指令規定，仍由控制者負責，處理者和 次級處理者的懲罰和義務則是由與控制者之間的契約決定。然而，新的GDPR 規範，不僅加強對資料控制者的義務要求，同時亦對處理者與次級處理者課以 直接的義務要求¹³²。此一部分的改變，對於業者而言影響最大。下述將分別說 明控制者與處理者於GDPR 下的義務。

1. 資料控制者的義務

（1） 資料保護設計（Data protection by design and by default）：

資料控制者必須在提供所有服務或新產品時，於計畫階段和執行階段 都將關於個人資料處理的資料保護和適當防衛措施納入考量¹³³。同時也必 須要遵守人資料蒐集最小化原則（data minimization），僅在絕對必要的範

129 GDPR art. 20.

130 Guidelines on the right to data portability, Dec.13, 2016, WP 242 rev., 16/EN, at 13.

131 GDPR art. 2(d), 2(e).

132 GDPR art. 3(1).

133 GDPR art. 25.

圍內進行資料處理¹³⁴。此義務隱含資料保護的措施不應該是「額外」的措

135 GDPR Key Changes,EUGDPRINFORMATION PORTAL, https://www.eugdpr.org/key-changes.html (last visited June. 1, 2018).

136 Directive 95/46/EC art. 2(d).

137 GDPR art. 26.

138 Directive 95/46/EC art. 23(2).

139 Detlev Gabel &Tim Hickman, Chapter 10: Obligations of controllers – Unlocking the EU General Data Protection Regulation, WHITE&CASE (Sept. 13, 2017),

https://www.whitecase.com/publications/article/chapter-10-obligations-controllers-unlocking-eu-general-data-protection.

140 GDPR art. 26(3).

141 Directive 95/46/EC art. 4(2).

142 GDPR art. 27.

（4） 指定資料處理者：

指令中要求資料控制者僅得指定符合指令規範的處理者為其進行資料 處理，且處理活動只限在控制者的指令範圍內¹⁴³。在GDPR 中不僅有和指 令相同的要求，甚至進一步要求資料控制者在選擇處理者時，只能從符合 下列義務的處理者中選擇：必須要履行保密的義務；遵守和指定次級處理 者有關的規則；採行相關措施協助控制者保護資料主體的權利；協助資料 控制者在必要情況下取得DPA 的許可；在與資料控制者的契約關係結束後 必須退回或刪除個人資料；提供控制者所有證明其符合GDPR 規範的必要 資料¹⁴⁴。新的規範中針對資料控制者和資料處理者之間簽訂的契約內容設 立許多強制性的要求，使得原本不需要履行義務的資料處理者反而必須要 遵循嚴格的契約義務，才能獲得與控制者簽約的機會。嚴格的要求可能會 導致境外的處理者不願意採行相關措施，反而導致控制者在尋找處理者時 更為困難¹⁴⁵。

（5） 資料外洩的通知（Reporting data breaches）：

指令中對此沒有特定的要求，僅部分會員國的國內法有相關規定。但 GDPR 中則明確要求控制者原則上必須要在意識到資料外洩的 72 小時內通 報DPA，除非資料外洩的狀況不可能對資料主體造成任何傷害¹⁴⁶。此外，

如果資料外洩的結果對資料主體造成風險，資料控制者也必須要通知受影 響的資料主體¹⁴⁷。根據第三章美國與歐盟資料保護規範的比較中可得知，

資料外洩的通知義務原本較受美國法律體系的關注，歐盟的指令中沒有特 別的規範。但GDPR 將此義務明文化後，也更進一步完善歐盟資料保護體

143 Directive 95/46/EC art. 17(2) &17(3).

144 GDPR art. 28.3

145 Detlev Gabel, supra note 139.

146 GDPR art. 33.

147 GDPR art. 34.

系。

2. 資料處理者的義務

（1） 指定處理者：

如前面資料控制者的義務所述，資料控制者在選擇將部分處理工作外 包給資料處理者時，必須要考量比指令規範更多的要件，而資料處理者要 符合的規範也增加。此外，GDPR 並不包含任何過渡的條款，故既存的外 包契約也可能需要重新協商以符合規範要求¹⁴⁸。此外，如果資料處理者對 於資料的處理超出原本控制者的指示，且自行決定資料處理的目的和方 式，則其必須以資料控制者的身分被GDPR 規範¹⁴⁹。

（2） 指定次級處理者：

在原本指令的規範體系中，原則上次級處理者同樣只有在符合資料控 制者的外包指示時，才得以進行資料處理。但原本的指令並沒有明文規範 指定次級處理者需符合的要求¹⁵⁰。然而，在GDPR 中明確訂納入選擇次級 處理者的規範。首先，在指定次級處理者前必須要先取得控制者的書面同 意¹⁵¹；而次級處理者必須要確保對個人資料的處理符合資料控制者和處理 者之間契約的內容¹⁵²。GDPR 將原本歐盟體系在處理涉及外包服務給次級 處理者的作法明文化，要求次級處理者必須要負擔和處理者相同的資料隱 私保護義務，以避免在資料處理程序中因為涉及不同處理者而對資料主體

148 Detlev Gabel &Tim Hickman, Chapter 11: Obligations of processors – Unlocking the EU General Data Protection Regulation, W^HITE&C^ASE (Jul. 22, 2016),

https://www.whitecase.com/publications/article/chapter-11-obligations-processors-unlocking-eu-general-data-protection.

149 GDPR art. 30(2).

150 Directive 95/46/EC art.16.

151 GDPR art. 28(2).

152 GDPR art. 28(4).

的隱私造成風險。

除了上述的新義務外，GDPR 也將許多原本指令中僅要求控制者的規範擴 展到處理者，包含：保存資料處理紀錄的義務¹⁵³；與DPA 合作的義務¹⁵⁴；採取 採行適當的系統性及技術性安全措施，以保護個人資料在處理過程中可能造成 的風險¹⁵⁵；資料外洩後的通報義務¹⁵⁶。同時也因為資料主體在GDPR 下必須直 接負擔規範義務，故資料主體得以直接對資料處理者提起控訴¹⁵⁷。

第四目 加強法律執行與制裁

在法規的執行上，GDPR 有兩項重要的改革。首先，雖然各會員國仍需指 定一或多個資料保護主管機關（DPA）以執行規則中的要求以及保護個人的權 益，但由各國主管機關所共同組成以協調各會員國規範的 WP29 將由「歐盟資 料保護委員會（European Data Protection Board, EDPB）」取代¹⁵⁸。EDPB 仍會 提供建議以及法律的解釋。另外，為了確保企業遵守資料保護規範，GDPR 也

在法規的執行上，GDPR 有兩項重要的改革。首先，雖然各會員國仍需指 定一或多個資料保護主管機關（DPA）以執行規則中的要求以及保護個人的權 益，但由各國主管機關所共同組成以協調各會員國規範的 WP29 將由「歐盟資 料保護委員會（European Data Protection Board, EDPB）」取代¹⁵⁸。EDPB 仍會 提供建議以及法律的解釋。另外，為了確保企業遵守資料保護規範，GDPR 也