General Data Protection Regulation as of 25 May 2018, COM(2018) 43 final,
https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2018/01/data-protection-communication-com.2018.43.3_en.pdf (last visited July 6, 2019).
27
1. 於歐盟數位單一市場建立一致性之法制架構,使該規則 得以一體適用;
2. 使歐盟企業能於一個公平競爭之環境營運;
3. 建立一部「設計及預設即著手保護隱私」(data protection by design and default)的個人資料保護法規;
4. 強化當事人之權利,並賦予當事人更多對於其自身資料 之控制權利;
5. 對於資料外洩有更嚴格之保護措施;
6. 給予個資保護主管機關直接裁處罰鍰之權力;
7. 該法規之效力有衍生領域外之域外效力。
(四) 產業討論
PIMS 服務產業
PIMS 的商業模式也有許多討論。根據歐盟 2016 年公布的 調查報告66,初步從事 PIMS 服務的有 6 個公司計畫,包括 Mydex、 Meeco、digi.me、Coelition、MyWave、 Forgerock、
MyWave 以及 Synergetics。67 主要商業模式
2016 歐盟產業意見調查報告發現,PIMS 服務提供商 之間存在許多不同的商業模式。兩個主要的新興模式是:68
A. 免費增值模式(The freemium model):這些平台 提供免費的基本服務,允許用戶付費升級,例如 基本服務可能只允許用戶註冊一個社交媒體帳 戶,用戶必須付費才能註冊更多。這些免費增值 服務還可能要求組織在用戶同意的情況下使用個 人資料。許多 PIMS 服務提供商也為希望以收費 方式使用個人資料的組織或業者提供分析服務。
B. 合作模式(The co-operative model):這些平台向
66 EUROPEAN COMMISSION, An emerging offer of "personal information management services" - Current state of service offers and challenges, https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40118 (last visited July 8, 2019).
67 EUROPEAN COMMISSION, An emerging offer of "personal information management services" - Current state of service offers and challenges, p5, https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40118 (last visited July 8, 2019).
68 EU Commission publishes findings on personal information management services(2016/12/6), White & Black Limited, https://www.wablegal.com/eu-commission-publishes-findings-personal-information-management-services/ (last visited Jul.8, 2019).
28
成員收取費用以加入合作團體並獲得合作團體的 份額作為回報。然後,組織將收取近用個人資料 的費用,並且與會員共享利潤。
商業化挑戰
不過 PIMS 服務若要成功商業化,仍需面對幾點挑 戰:69
A. 網路多半為個人提供「免費」服務的文化,使得 多數人不太可能同意付錢給 PIMS 服務提供商;
B. 難以獲得資料持有組織的支持,尤其因為該些組 織投入長期投入大量資源來達到蒐集使用者資料 的能力,因此對這些已經持有使用者資料的組織 來說沒有需要再擴大對這些資料的利用。
PIMS 產業目前還無法估計
2016 歐盟產業意見調查報告在結論中指出,PIMS 產 業仍處於早期階段,70許多參與者的規模相對較小,難以獲 得資金支持。即便如此,無法忽略的是電信業者確實開始 測試 PIMS 服務,這是未來可以關注的焦點。71
促進網路及數位經濟發展之資訊及資料自由流通
歐盟在推動數位單一市場並提出 PIMS 概念時,目的即是希 望促進創新及促成技術與服務之應用,此是基於促進網路及數 位經濟發展之資訊及資料自由流通,且歐盟推動的 PIMS 是以可 完全符合 GDPR 為目標,或是說,歐盟認為 PIMS 可以在實際 層面更有效地落實 GDPR。72
促進創新及促成技術與服務之應用
69 EUROPEAN COMMISSION, An emerging offer of "personal information management services" - Current state of service offers and challenges, p7, https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40118 (last visited July 8, 2019).
70 EUROPEAN COMMISSION, An emerging offer of "personal information management services" - Current state of service offers and challenges, p18, https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40118 (last visited July 8, 2019).
71 EUROPEAN COMMISSION, An emerging offer of "personal information management services" - Current state of service offers and challenges, p18, https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40118 (last visited July 8, 2019).
72 Executive Summary of the Opinion of the European Data Protection Supervisor on Personal Information Management Systems(2016), OFFICIAL JOURNAL OF THE EUROPEAN UNION,
https://edps.europa.eu/sites/edp/files/publication/17-01-11_pims_ex_summ_en_0.pdf (last visited July 6, 2019).
29
目前確實有業者利用 PIMS 服務,將自身服務進行轉型與創 新。如 Dappre 公司73利用 Qiy 基金會提供的 PIMS 服務,將原 有商務名片概念數位轉型,個人可以透過 Dappre 公司的應用程 式,連結其他朋友或商業夥伴。
Qiy 基金會是一個獨立的信託組織。該基金會以人為中心的 個人資料管理和處理方法建構解決方案、原則和模式。Qiy 基金 會設計的方式是讓人們可以成為數位網路的一部分,擁有自己 的條款和條件來交換資料。經該基金會認證的組織或業者可以 建立自己的基礎設施,作為實現對個人資全的安全保護。目前 利用 Qiy 基金會方案的除前述的 Dappre 公司外,還有荷蘭的 Boxtel 市,以及線上保險經紀公司 Verzeker uzelf,利用 Qiy 基 金會方案與客戶建立信任關係。74
日本
日本政府認為,在資料與隱私保護的同時,仍要促進資料流通,
建構讓各種資料流通、利用的環境,方能實現第四次工業革命與社會 5.0 的願景。75為此,日本政府希望建構一個能夠使個人能夠參與,進 而促進資料流通與利用的機制,76稱為「資料信託機制」(情報信託機 能)。雖然日本名稱上未使用「My Data」,惟其原則與精神與芬蘭為首 推動的 My Data 類似77。
(一) 資料信託機制介紹 概述
「資料信託」(情報信託)機制。其中的提供資料信託的關 鍵角色便是「資料銀行」(資料銀行)。78「資料信託」整體如下
73 https://dappre.com/.
74 Executive Summary of the Opinion of the European Data Protection Supervisor on Personal Information Management Systems(2016), OFFICIAL JOURNAL OF THE EUROPEAN UNION, p6,
https://edps.europa.eu/sites/edp/files/publication/17-01-11_pims_ex_summ_en_0.pdf (last visited July 6, 2019).
75 内閣官房 IT 総合戦略室,〈AI、IoT 時代におけるデータ活用ワーキンググループ 中間とりまとめの 概要〉,2017/3,頁 3~4,https://www.kantei.go.jp/jp/singi/it2/senmon_bunka/data_ryutsuseibi/dai2/siryou1.pdf
(最後瀏覽日:2019/7/4)。
76内閣官房 IT 総合戦略室,〈AI、IoT 時代におけるデータ活用ワーキンググループ 中間とりまとめの概
要〉,2017/3,頁 5,https://www.kantei.go.jp/jp/singi/it2/senmon_bunka/data_ryutsuseibi/dai2/siryou1.pdf (最 後瀏覽日:2019/7/4)。
77 〈注目される「情報銀行」。個人が保有するパーソナルデータと、その適正な管理&流通時代の幕開
け〉,マイデータバンク MEY,https://www.meyportal.com/about/atcl00003 (最後瀏覽日:2019/7/4)。
78 情報信託機能の認定スキームの在り方に関する検討会,「情報信託機能の認定に係る指針 ver1.0」,
2018/6,頁 1,https://www.meti.go.jp/press/2018/06/20180626002/20180626002-2.pdf (最後瀏覽日:
2019/7/4)。
30
圖表示。
圖片來源:資料信託機能認定機制認定機制檢討會 圖 15 日本資料銀行意象圖
資料銀行(情報銀行)係基於與資料當事人間的委託契 約,透過個人資料保存(personal data store, PDS)系統管理個人 資料,根據資料當事人指示或事前指定的條件,於判斷合理性 後向第三方業者提供資料。79
前述個人資料保存(personal data store, PDS)系統,是指可 讓資料當事人基於自己的意思,保存跟管理自己的資料(包含 可以聚集其他業者手中的),並且可向第三方業者提供自己資料 的系統。PDS 系統可以是分散型,也可能是集中型。PDS、資 料銀行不是相互排斥的,並且很可能是同一個業者具有多種功 能。80
79 情報信託機能の認定スキームの在り方に関する検討会,「情報信託機能の認定に係る指針 ver1.0」,
2018/6,頁 4,https://www.meti.go.jp/press/2018/06/20180626002/20180626002-2.pdf (最後瀏覽日:
2019/7/4)。
80 情報信託機能の認定スキームの在り方に関する検討会,「情報信託機能の認定に係る指針 ver1.0」,
2018/6,頁 6,https://www.meti.go.jp/press/2018/06/20180626002/20180626002-2.pdf (最後瀏覽日:
2019/7/4)。
31
圖片來源:資料信託機能認定機制認定機制檢討會 圖 16 分散型 PDS 意象圖
32
圖片來源:資料信託機能認定機制認定機制檢討會 圖 17 集中型 PDS 意象圖
在以資料銀行為核心的資料信託機制中,未來勢必會出現 各種跨產業的資料流動與利用,為了有效推動該機制,機制中 有幾項重點必須要深入探討,包括資料銀行的資格與業務內 容、資料銀行與當事人之間的委託契約等。基於此等想法,
2017 年 11 月開始,經濟產業省與總務省共同組成「資料信託機 能認定機制認定機制檢討會」(情報信託機能の認定スキームの 在り方に関する検討会),並於 2018 年 6 月推出「資料信託機 能認定指引 ver1.0」(情報信託機能の認定に係る指引 ver1.0)。
資料信託機能認定指引 ver1.0
日本政府推出「資料信託機能認定指引 ver1.0」(情報信託 機能の認定に係る指引 ver1.0),惟業者獲得認定是選擇性的,
並非一定要獲得認定才能從事該項業務。但日本政府仍然希望 藉由認定的方式,提供相關利害關係人,包括業者以及資料當 事人等,一些可資遵循的框架。81
認定的標的
首先在認定的標的方面,主要可能涉及二種服務內 容。一是基於資料當事人同意的範圍內以及其指示,並依 照資料當事人之委託,判斷索取資料的第三方業者的條款 合理性,之後才協助提供資料。另一種則是單純由資料當 事人自行判斷是否願意提供給第三方。
認定標準
在認定標準上並未劃分等級。主要是判斷若業者能符 合一定水準,並符合特定要求,並可獲得認定,代表是能 讓消費者安心的服務水準。因此認定的要求上,主要從消 費者角度出發,確保服務可靠性,以易於理解的方式向消 費者提供說明與服務,並滿足特定的組織要求。至於提供
81 情報信託機能の認定スキームの在り方に関する検討会,「情報信託機能の認定に係る指針 ver1.0」,
2018/6,頁 5,https://www.meti.go.jp/press/2018/06/20180626002/20180626002-2.pdf (最後瀏覽日:
2019/7/4)。
33
服務的模式或是手法,並不是認定標準關切的重點。82 資料銀行與資料當事人之間的契約
資料銀行與資料當事人之間的契約,認定標準中也提 供了定型化契約範本(モデル約款)。定型化契約範本目的 在於具體化業者與消費者的權利與義務,尤其可讓消費者 對於使用服務有一定的安全感。
確保個人對於自身資料的控制權
此認定標準的重點是要確保個人對於自身資料的控制 權。資料銀行是指同意向第三方提供個人資料,以加強有 效的個人參與(可控性)和促進個人資料傳播和利用的業 者。 個人資料提供給第三方,必須是在資料當事人委託範 圍內,委託給可被信賴的對象。83
認定機制運作框架
想要開展資料銀行業務的經營者向認定機構84提出申 請,在認定委員會審議有關業務人員的審查報告後,作出 是否認定的決定。認定機構作為第三方組織,應建立由專 家、消費者、安全專家等組成的監查諮問委員會,以提供 關於認證公平性等方面的建議。
82 情報信託機能の認定スキームの在り方に関する検討会,「情報信託機能の認定に係る指針 ver1.0」,
2018/6,頁 6,https://www.meti.go.jp/press/2018/06/20180626002/20180626002-2.pdf (最後瀏覽日:
2019/7/4)。
83情報信託機能の認定スキームの在り方に関する検討会,「情報信託機能の認定に係る指針 ver1.0」,
2018/6,頁 5,https://www.meti.go.jp/press/2018/06/20180626002/20180626002-2.pdf (最後瀏覽日:
2019/7/4)。
83 情報信託機能の認定スキームの在り方に関する検討会,「情報信託機能の認定に係る指針 ver1.0」,
2018/6,頁 7,https://www.meti.go.jp/press/2018/06/20180626002/20180626002-2.pdf (最後瀏覽日:
2019/7/4)。
84 目前日本資料信託機能認定機構由日本 IT 團體聯盟(日本 IT 団体連盟)組成「情報銀行推進委員会」
擔任。