從歐盟一般資料保護規則及電子隱私規則草案探討我國個人資料保護法之修正 - 政大學術集成

全文

(1)國⽴政治⼤學科技管理與智慧財產研究所碩⼠學位論⽂. 政治大從歐盟⼀般資料保護規則及電⼦隱私規則立 ‧. ‧ 國. 學. 草案探討我國個⼈資料保護法之修正. io. sit. y. Nat. er. n. 指導教授：馮震宇博⼠ a. iv l C n hengchi U 研究⽣：賴奕霖. 中華民國 109 年 4 ⽉. DOI:10.6814/NCCU202000503.

(2) ⽬次第一章緒論 ................................................................................................................... 1 第一節研究動機與目的 ............................................................................................. 1 第一項研究範圍 .................................................................................................... 6 第二項研究方法 .................................................................................................... 6 第三項研究限制 .................................................................................................... 7 第二章隱私權於網路環境之重要性 ............................................................................... 8 第一節. 隱私權......................................................................................................... 8. 第一項基本定義 .................................................................................................... 8. 政治大第二節各國隱私法制............................................................................................ 20 立第一項英國 ......................................................................................................... 20 第二項國際條約規範 ........................................................................................... 10. ‧ 國. 學. 第二項美國 ......................................................................................................... 26 第三項日本 ......................................................................................................... 31. ‧. 第四項其他國家 .................................................................................................. 35. y. Nat. 第三章歐盟一般資料保護規則 .................................................................................... 36. 第二節. 歐盟資料保護指令簡介 ............................................................................. 41. er. sit. 歐盟個人資料保護制度沿革...................................................................... 36. io. 第一節. al. n. iv n C 第二項資料處理原則 ........................................................................................... 42 hengchi U 第一項名詞定義 .................................................................................................. 41. 第三節. 歐盟一般資料保護規則 ............................................................................. 47. 第一項前言 ......................................................................................................... 47 第二項歐盟一般資料保護規則重點架構分析 ...................................................... 49 第四章影響與因應 ...................................................................................................... 98 第一節歐盟資料保護指令與歐盟一般資料保護規則之比較 .................................... 98 第二節歐盟一般資料保護規則生效後對企業之影響 ............................................. 102 第一項概述 ....................................................................................................... 102 第二項重要法院判決及處分 .............................................................................. 109 第三項適足性認定 ............................................................................................ 118 第三節簡述歐盟一般資料保護規則對各國法制影響 ............................................. 120. i. DOI:10.6814/NCCU202000503.

(3) 第五章電子隱私規則草案 ......................................................................................... 134 第一節緒論 ........................................................................................................... 134 第二節電子隱私規則草案概析 .............................................................................. 139 第六章我國個人資料保護法介紹與修訂方向 ............................................................ 158 第一節. 修法沿革 ................................................................................................. 158. 第二節. 個人資料保護法簡介............................................................................... 161. 第一項立法目的 ................................................................................................ 161 第二項個人資料保護範圍 ................................................................................. 162 第三項資料主體的權利 ..................................................................................... 167 第四項個人資料蒐集、處理、利用之要件 ........................................................ 169 第五項罰則 ....................................................................................................... 176 第三節. 個人資料保護法的缺失 ........................................................................... 181. 第四節. 個人資料保護法修法方向 ....................................................................... 203. 立. 政治大. 第七章結論與建議 .................................................................................................... 213. ‧ 國. 學. 第一節結論 ........................................................................................................... 213 第二節建議 ........................................................................................................... 220. ‧. 參考文獻 ..................................................................................................................... 225. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. ii. DOI:10.6814/NCCU202000503.

(4) 表次表 1 資料控制者應告知事項比較表......................................................................... 62 表 2 GDPR 資料主體權利統整 ................................................................................. 74 表 3 GDPR 資料控制者義務統整 ............................................................................. 87 表 4 CCPA 與 GDPR 比較表 ................................................................................... 127 表 5 個人資料保護法第 47 條至第 50 條整理分析............................................... 178 表 6 我國個人資料保護法與歐盟 GDPR、ePR 之比較表 ................................... 193. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. iii. DOI:10.6814/NCCU202000503.

(5) 圖次圖 1 2018 年 2 月歐盟地區企業符合 GDPR 規範比例圖 ..................................... 103 圖 2 各國企業符合 GDPR 規範之企業比例 .......................................................... 105 圖 3 累計裁罰金額（單位：歐元）....................................................................... 107 圖 4 累計裁罰個案總數........................................................................................... 108. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. iv. DOI:10.6814/NCCU202000503.

(6) 謝詞時光⾶逝，轉眼間碩⼠即將畢業。回⾸在科技管理與智慧財產研究所學習的兩年中，過程並不輕鬆，但也因為如此⽽收穫滿滿。這篇論⽂的誕⽣要感謝的⼈有很多，最要感謝的是我的家⼈，謝謝你們經濟上與精神上的⽀持，讓我在寫論⽂時能夠無後顧之憂的全⼒衝刺，不必為了經濟問題⽽暫停論⽂寫作，在遇到論⽂壓⼒時還能夠⿎勵我，讓我放鬆⼼情在⾃⼰的書房⼀字⼀句的慢慢寫。如今論. 治政⽂寫作已經告⼀段落，衷⼼的感謝家⼈的⽀持與陪伴。大立 ‧ 國. 學. 另外要特別感謝我的指導教授馮震宇⽼師在論⽂寫作上給予的指導與幫助，. ‧. 讓我更加瞭解論⽂的內容寫作⽅向與其中不⾜之處，清楚⾃⼰寫作的盲點與論述. io. sit. y. Nat. 的瑕疵後，在論⽂修改的過程中⼤幅減少了⾃⼰摸索的時間，才能夠在⾃⼰設定. n. al. er. 的時間內寫出⼀篇結構較為完整的論⽂。研究所時期我⾮常喜歡馮⽼師的授課⽅. Ch. engchi. i Un. v. 式與內容，內容豐富但課堂氣氛輕鬆，這樣的學習氛圍讓我的學習效率提升了許多。還有陳秉訓⽼師、鄭婉瓊⽼師、宋皇志⽼師、鄭⾄甫⽼師以及其他在課堂上講授課程的實務專家給予的諄諄教誨與啟發，讓我在論⽂寫作之虞能夠汲取與我的論⽂相關的專業知識，讓我的論⽂寫作更完整，在這邊誠摯地表達我的謝意，謝謝所有⽼師們的付出，⾟苦了！. v. DOI:10.6814/NCCU202000503.

(7) 另外，智財組的各位好夥伴：如茵、林旻、⼠賢、嘉⽂、之函、建霖、舒婷、寬⼼、薇瑄、秀惠、曉萱，謝謝你們在兩年的學習中給我的⿎勵，永遠記得晚上 12 點在 913 掙扎地完成報告那份回憶，雖然畢業後⼤家⾒⾯的機會少了很多，但我想⼀年⼀次的聖誕節交換禮物還是值得期待的，再次感謝這兩年來的⽀持與陪伴。還要感謝曾經⼀起學習的學⾧姐與學弟妹們，雖然相處的時間不⾧，但很幸運的我在研究所時期遇⾒了你們，也⼀起成⾧。. 治政最後，要感謝我的⼥朋友⼦寧，謝謝你在我研究所第⼆年進⼊我的⽣命，謝大立 ‧ 國. 學. 謝你寫論⽂寫到快崩潰的時候陪我⼀起吃吃喝喝宣洩壓⼒，陪我到處⾛⾛看遍各. ‧. 地的美景，偶爾還要聽我懷疑⼈⽣的抱怨，雖然在論⽂寫作時我們常因為上課地. io. sit. y. Nat. 點不同⽽聚少離多，但也因為如此我們更加珍惜彼此在⾝邊的時間。論⽂的寫作. n. al. er. 過程中，你是不可或缺的⼀環，謝謝你的⽀持與⿎勵，也祝福你在⼤學畢業後能. Ch. engchi. 夠⼀帆⾵順找到你喜愛的⼯作。. i Un. v. 研究所的⽣涯即將結束，這也代表著我的律師⽣涯即將展開，希望⾃⼰能夠保持初衷，運⽤所學為這個社會做出些許的貢獻，⽅能不負家⼈與⽼師的期待。. 奕霖 2020/6/10 於政⼤圖書館. vi. DOI:10.6814/NCCU202000503.

(8) 摘要為了因應資訊時代的來臨，防範資料主體因為資訊科技快速發展導致個⼈資料被濫⽤，進⼀步提升資料主體資料⾃主權與控制權，使之更為完善，歐盟在 2016 年通過歐盟⼀般資料保護規則，取代 1995 年個⼈資料保護指令。為了積極因應歐盟⼀般資料保護規則於 2018 年 5 ⽉⽣效後帶來的衝擊，及全⾯提升個⼈資料保護的國際趨勢，許多國家紛紛修訂國內的個⼈資料保護相關法令。在歐盟. 治政⼀般資料保護規則施⾏後不久，歐盟⼜再提出電⼦隱私規則草案，對於電⼦傳輸、大立 ‧ 國. 學. 通訊的個⼈資料提供更完整的保護。對於臺灣⽽⾔，在⾯臨國際上個⼈資料保護. ‧. 全⾯提升的趨勢，應重新檢視國內個⼈資料保護法並適當地予以修訂。. io. sit. y. Nat. 本論⽂在第⼆章⾸先探討英國、美國、⽇本國內個⼈資料保護相關法規的修. n. al. er. 訂，藉由⽐較法的⽅式，探討外國法令的修正⽅向與具體上對於臺灣的啟⽰。接. Ch. engchi. i Un. v. 著在第三章針對歐盟⼀般資料保護規則主要內容予以介紹與分析，並⽐較歐盟個⼈資料保護指令與歐盟⼀般資料保護規則，了解兩部法規前後主要的差異，以提供我國個⼈資料保護法具體的修正⽅向。第四章以法國國家資訊⾃由委員會對於 Google 的裁罰，說明 GDPR 對於企業可能造成的衝擊。第五章將簡要介紹電⼦隱私規則草案，說明該法規之⽴法⽬的、主要內容以及相關處罰之規定，隨後於第六章檢視我國個⼈資料保護法既有的缺失，並建議若要取得歐盟⼀般資料保護. vii. DOI:10.6814/NCCU202000503.

(9) 規則適⾜性認定，我國個⼈資料保護法應修正之⽅向。本論⽂建議，若想達成獲得歐盟個資保護「適⾜性認定」的⽬標，臺灣除了針對 GDPR 相關規定的重點和特⾊予以徹底掌握之外，應該理解各國如何因應歐盟 GDPR 所帶來的衝擊，觀察其對於國際規範趨勢的影響後，以提供資料主體與企業更佳的保護，並對於臺灣既有的個⼈資料保護法制與實務進⼀步重新思考。. 政治大. 關鍵字：歐盟⼀般資料保護規則、電⼦隱私規則草案、個⼈資料保護法、適⾜性. 立. 認定。. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. viii. DOI:10.6814/NCCU202000503.

(10) Abstract In order to cope with the coming of information age, prevent data subjects from personal data abusing due to the rapid development of of technology, and further improve the autonomy and control of data subjects, the European Union (EU) adopted the General Data Protection Regulation (GDPR) in 2016, replacing Data Protection Directive (Directive 95/46/EC). In response to the impact of GDPR came into force in May 2018, many countries have revised their domestic personal data protection regulation or rules. Shortly after GDPR came into force, the EU introduced another personal data protection bill – e-Privacy Regulation to provide a more complete protection for electronically transmitted personal data. In responding to the global trend of enhancing personal data protection comprehensively, Taiwan should review and revise its Personal Data Protection Act thoroughly.. 政治大 the US, and Japan. By means 立 of comparative law, this thesis explained the amendment The thesis first discussed the personal data protection regulation revised in the Britain,. of laws in those foreign countries and how could the amendment enlighten Taiwan. In. ‧ 國. 學. Chapter three, the thesis will introduce and analyze the main content of GDPR, and compare Directive 95/46/EC and GDPR to provide a more specific direction for. ‧. amendment of Personal Data Protection Act in the future. To illustrate the impact of. y. Nat. GDPR on enterprises, the thesis takes the event of The Commission nationale de. sit. l'informatique et des libertés (CNIL) fining Google for example. Then in chapter five,. er. io. the thesis will briefly introduce the e-Privacy Regulation bill, including the purose of. al. n. iv n C will examine the existing shortcomings h e n ofg Personal h i UProtection Act of Taiwan, and how c Personal Data Protection Act of Taiwan should be amended to obtain an adequacy. the bill, the main content and the penalties of violating the regulation. At last, the thesis. decision after GDPR entered into force. This thesis suggested that in order to get the adequacy decision, Taiwan shall familiarize with GDPR’s features and main issues, understand how other countries respond to the subsequent impact, observe its influence on international regulatory trend and amend the Personal Data Protection Act so that the Act could not only offer data subjects but the enterprises in Taiwan a better protection but help Taiwan to consider its current legislation and practice once again. Keyword: General Data Protection Regulation, e-Privacy Regulation Draft, Personal Data Protection Act, Adequacy Decision. ix. DOI:10.6814/NCCU202000503.

(11) 第⼀章緒論第⼀節研究動機與⽬的 2019 年，智慧型電⼦終端產品及網路已普及於⼤多數國家，無論在⼤眾運輸⼯具上，個⼈住宅或是校園中，⼈們早已無法將⽣活與這些電⼦產品分離。正因為⼈們對於網路的依賴性越來越⾼，個⼈資料的重要性也逐漸受到重視。隨著電商平台的興起以及通訊科技的進步，個⼈使⽤電⼦終端產品如：⼿機、電腦、. 治政平板頻率⼤幅增加，網⾴瀏覽紀錄、購物喜好及記錄、位置資訊、通訊紀錄、⼿大立 ‧ 國. 學. 機軟體 app 等數據資料均隨著記憶裝置的巨量化、低成本化⽽被廣泛的蒐集、儲. ‧. 存，並加以處理與分析1，這些經過處理、分析的⼤數據（big data）具有極⼤的. io. sit. y. Nat. 經濟價值，許多企業利⽤⼤數據⾏銷及產品開發之⼿段。舉例⽽⾔，企業藉由蒐. n. al. er. 集個⼈使⽤網站或是 app 時所留下的網⾴紀錄資料掌握了潛在顧客的消費傾向、. Ch. engchi. i Un. v. 個⼈⽣活狀態資料或是其他個⼈資訊後，便可以依個⼈喜好、需求投放相對應的廣告（如：投放嬰兒奶粉廣告給新⼿⽗母；在臉書上投放新⾞或⼆⼿⾞廠商資訊給曾經輸⼊相關關鍵字的臉書⽤⼾），達到有效⾏銷之⽬的；此外，企業也可以利⽤蒐集顧客產品偏好、使⽤習慣等個⼈對於產品的回饋資料檢討現有產品的不⾜，並進⾏產品改良或是開發。然⽽，許多屬於個⼈隱私的資料蒐集通常未經過 1. 范姜真媺，大數據時代下個人資料範圍之再檢討－以日本為借鏡，東吳法律學報，29 卷 2 期，頁 3-4（2017 年）。. 1. DOI:10.6814/NCCU202000503.

(12) 當事⼈的同意，或是未充分告知資料的處理、利⽤、及銷毀⽅式，如：信⽤卡消費、個⼈位置資料、電商平台購物內容及收件位置等資料可能會透過網路病毒或是惡意程式攻擊蒐集，⽽不當蒐集往往會侵害個⼈的隱私權，若未能妥善⽴法加以管制，恐怕會使被濫⽤2。 2010 年，我國「個⼈資料保護法」修正通過，修正後法規保護的客體不再以「經電腦處理的個⼈資料」為限，⽽擴及⾄具個⼈識別性的資料3。本次修正的. 治政個⼈資料保護法（下稱個資法）多數條⽂參考歐盟⼀九九五年個⼈資料保護指令大立 ‧ 國. 學. (95/46/EC)4。. ‧. 歐盟⼀九九五年個⼈資料保護指令(95/46/EC)在制定之時⼿機、個⼈電腦等. io. sit. y. Nat. 電⼦終端產品尚未普及，電商平台、社群網站、搜尋引擎等個⼈資料巨獸也尚未. n. al. er. 出現，但時⾄今⽇，這些科技產物對我們⽽⾔早已成了⽣活中不可或缺的⼀環。. Ch. engchi. i Un. v. 在時空背景截然不同的前提下，我國個⼈資料法於 2010 年之修訂以歐盟⼀九九五年個⼈資料保護指令(95/46/EC)為重要參考依據是否適當，⾮無討論空間。歐 2. 陳瑞霖，賽門鐵克 2019《網路安全威脅報告》揭示表單劫持成駭客愛用手法，加密勒索事件. 減少但企業比重增加，科技新報，2019 年 3 月 12 日，https://technews.tw/2019/03/12/symantecistr-report-says-form-hijacking-is-a-favorite-for-hackers-and-ransomware-attacks-is-decreang-butattck-on-enterprize-percent-is-higher/（最後瀏覽日：2019 年 4 月 8 日）。 3 4. 參照法務部，電腦處理個人資料保護法修正條文對照表，修法說明，2010 年 5 月 26 日。 Directive 95/46/EC of 24 October 1995 on the protection of individuals with regard to the processing. of personal data and on the free movement of such data, available at http://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=celex:31995L0046.. 2. DOI:10.6814/NCCU202000503.

(13) 盟為了因應科技發展對個⼈隱私造成的衝擊，在 2012 年 1 ⽉提出「⼀般資料保護規則（General Data Protection Regulation，簡稱 GDPR）」之草案，該草案於 2016 年 4 ⽉完成⽴法，並於 2018 年 5 ⽉ 25 ⽇實施，取代了⼀九九五年個⼈資料保護指令(95/46/EC)。GDPR 規範客體除了傳統的個⼈資料（如：個⼈姓名、護照號碼、銀⾏帳⼾）之外，還包含個⼈⽐較隱私的資料（如：宗教信仰、性向等）5。另外，GDPR 適⽤的對象並不限於在歐洲的網站，只要向歐洲⼈民提供服務（包. 治政含實物銷售或服務）或是監測歐盟境內網路資料（如：cookies、網路位址等）即大立 ‧ 國. 6. 學. 受該法規規範，就臺灣產業⽽⾔，網路銷售產業、⾦融業及航空運輸業影響最深. ‧. 。在 GDPR 施⾏後，許多國家紛紛開始修訂其國內法規，以保護國內企業，避. io. sit. y. Nat. 免企業為了遵守法令⽽限制資料傳輸，或是因為違反 GDPR 遭受巨額罰款。. n. al. er. 在 GDPR 實施後九個⽉，歐盟⼜提出了更新、更嚴格的「電⼦隱私規則」（e-. Ch. engchi. i Un. v. Privacy Regulation）草案，以網路通訊與軟體設備為主要規範對象7。電⼦通訊規則相較於 GDPR ⽽⾔係屬電⼦通訊（Electronic Communication）之特別法，依照特別法優先普通法適⽤之原則，未來在電⼦通訊領域將優先適⽤電⼦隱私規則8。 5. 高敬原，沒有人是局外人！史上最嚴個資法衝擊全球，帶你搞懂什麼是 GDPR，數位時代， 2018 年 5 月 25 日，https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulationeu-。 6 同前註。 7 See Voss, W. Gregory, First the GDPR, Now the Proposed ePrivacy Regulation, 21 J. INTERNET L. 3 (2017). Available at SSRN: https://ssrn.com/abstract=3008765 8 馮震宇，GDPR 加碼 ePR，物聯網產業恐斷線，能力雜誌，頁 110（2018 年）。. 3. DOI:10.6814/NCCU202000503.

(14) 電⼦隱私規則草案保護範圍包含與法⼈相關的個⼈資訊與數據，恐將為電商平台、社群網站等帶來更艱鉅的資訊隱私挑戰9。國際上⽇本、美國、英國等國家也都修訂國內隱私相關法令以因應科技發展對隱私的衝擊。⽇本在 2015 年 3 ⽉向國會提出「有關個⼈情報保護法及⾏政程序中為識別特定個⼈之編號利⽤等法部分修正案」（個⼈情報の保護に関する法律及び⾏政⼿續における特定の個⼈を識別するための番号の利⽤等に関する. 治政法律の⼀部を改正する法律），並於 9 ⽉經國會通過大立. 10. ；美國加州為了因應歐盟. ‧ 國. 學. 制定的 GDPR，在 2018 年 6 ⽉通過了加州消費者保護隱私法 11 （California. ‧. Consumer Privacy Act of 2018），在同年 9 ⽉也通過了「資訊隱私法12」，兩部法案. 以更完善、全⾯地保護國民的資料⾃主權。. n. al. Ch. engchi. er. io. sit. y. Nat. 均於 2020 年 1 ⽉施⾏；英國為了因應 GDPR 的施⾏，修訂舊有的數據保護法案. i Un. v. 正如上述的國際發展趨勢，我國個資法在 2010 年修法中做為重要參考依據之⼀九九五年個⼈資料保護指令(95/46/EC)已修正，⽽在電⼦商務、資訊科技蓬勃發展的同時，國際上對於個⼈資料保護之範圍已明顯有擴⼤的趨勢，尤其在 GDPR 施⾏後，各國公私部⾨無不積極檢討內部個⼈資料保護的機制。相較之下， 9. 同前註。. 10. 日本個人資訊保護委員會官方網站，https://www.ppc.go.jp/legal/laws/（最後瀏覽日：2019 年 4. 月 8 日）。 11 12. AB-375 Privacy: personal information: businesses SB-327 Information privacy: connected devices. 4. DOI:10.6814/NCCU202000503.

(15) 我國個⼈資料保護法似未能跟隨國際趨勢，對於 GDPR 中被遺忘權、刪除請求權、個⼈資料蒐集同意與撤回權、資料可攜權、企業內部須設置資料保護⾧等規定應如何因應？相較於⽇本、韓國等國家，我國個資法應如何修訂⽅能因應對於個⼈資料保護越發重視的國際潮流，以取得歐盟個⼈資料保護的「適⾜性認定」？本⽂以為，我國個⼈資料保護法實有必要重新審視，以了解現⾏個資法不⾜之處。為此，本⽂認為實有必要深⼊研究歐盟 GDPR 及電⼦隱私規則草案兩部法規，. 治政探討兩部法案對於個⼈資料之定義、保護範圍、跨國傳遞個⼈資料之保護規範、大立 ‧ 國. 學. 個⼈資料監督保護、當事⼈權利等相關規範，希望能以這兩部法案作為我國個資. ‧. 法在未來修訂之借鏡。. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. 5. DOI:10.6814/NCCU202000503.

(16) 第⼆節研究範圍、⽅法與限制第⼀項研究範圍本⽂探討範圍包含英國數據保護法案（Data Protection Act 2018）、美國加州消費者隱私法（The California Consumer Privacy Act）、⽇本個⼈資料保護相關法規（個⼈情報の保護に関する法律）、歐盟⼀般資料保護規則、以及歐盟電⼦隱私規則（e-Privacy Regulation）草案，並以較⼤的篇幅深⼊探究歐盟⼀般資料保. 治政護規則（GDPR）以及歐盟電⼦隱私規則草案，深⼊剖析兩部法案的內容以及歐大立 ‧ 國. 學. 盟⼀般資料保護規則實施後對企業造成的衝擊。此外，本⽂亦將針對我國個⼈資. ‧. 料保護法簡要介紹，並以⽐較法研究的⽅式，於⽂末提出我國個資法不⾜之處，. sit. n. al. er. io. 第⼆項研究⽅法. y. Nat. 並提出修法建議。. Ch. engchi. i Un. v. 本研究透過回顧國內有關個⼈資料保護法，⽇本個⼈資料保護相關法規（個⼈情報の保護に関する法律）修訂，以及國內外關於「歐盟⼀九九五個資指令」、「歐盟個⼈資料保護規則（GDPR）」、「電⼦隱私規則（e-Privacy Regulation）草案」之專家學者之專書、學術論⽂，政府公告，網路⽂獻等，充分了解國外個⼈資料保護相關法規之內涵後，藉由⽐較法的⽅式觀察我國個⼈資料保護相關規範中不⾜之處，探討我國法規修改⽅向，並於結論提出建議。. 6. DOI:10.6814/NCCU202000503.

(17) 第三項研究限制由於各國個⼈資料法規繁雜，本研究之主題相當廣泛。礙於篇幅之限制，本研究僅簡要探討美國加州消費者隱私法（The California Consumer Privacy Act）及⽇本個⼈資料保護法（個⼈情報の保護に関する法律），並將研究著重於「歐盟⼀般資料保護規則」、「歐盟電⼦隱私規則草案」。⼜，法規之修訂與時俱進，電⼦隱私規則⽬前只是草案，尚未完成⽴法程序，因此本研究在介紹電⼦隱私規則. 治政草案之章節係以現⾏草案規定之內容撰寫，若將來草案通過內容有所修訂，即不大立 ‧. ‧ 國. 學. 在本研究之範圍。. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. 7. DOI:10.6814/NCCU202000503.

(18) 第⼆章隱私權於網路環境之重要性第⼀節. 隱私權. 第⼀項基本定義何謂隱私權？傳統上隱私權之意義在於個⼈避免私⼈⽣活遭⼤眾傳播媒體以任何⽅式揭露，也就是強調個⼈不受⼲擾獨處之權利（the right to be let alone），樣態包含私⼈⽣活領域的隱密性，私事不被恣意公開，攸關個⼈形象之事實維護，以及姓名權與肖像權. 治政。隨著科技之發展與演進，隱私權之意義除了私密領域的大立. 13. ‧ 國. 學. 控制權外，尚發展⾄個⼈資料⾃主控制權。美國學者 Alan F. Westin 早在 1960 年. ‧. 代就提出：「隱私權乃是個⼈或是團體得決定於何時，以何種⽅式，提供何種資. io. sit. y. Nat. 料給他⼈之權利14」，這樣的隱私權概念正是資訊社會中最為⼈強調的「資訊隱私. n. al. er. 權」。無獨有偶，Paul M. Schwartz 教授提出「隱私控制（privacy-control）」的概. Ch. engchi. i Un. v. 念。Paul M. Schwartz 教授認為，在網路時代，個⼈擁有資訊控制、使⽤的最終決定權，得防⽌資料被他⼈恣意使⽤15。受美國影響，⽇本學界通說認為，在網路分散化後，個⼈有權利控制其隱私資訊，包含資料的取得、使⽤、收集、保存、揭露，以及不被任意公開給第三⼈等16。 13. 范姜真媺，個人資料自主權之保護與個人資料之合理利用，法學叢刊，57 卷 1 期，頁 73 （2012 年）。 14 ALAN F. WESTIN, PRIVACY AND FREEDOM 200 (1968). 15 Paul M. Schwartz, Internet Privacy and the State, 32 Conn. L. Rev. 815, 820 (1999). 16 阪本昌成，表現権理論，頁 50（2011 年），轉引自范姜真媺（註 13），頁 74。. 8. DOI:10.6814/NCCU202000503.

(19) 在我國實務上，依司法院釋字第 603 號解釋理由書之解釋：「隱私權乃保障個⼈⽣活私密領域免於他⼈侵擾及個⼈資料之⾃主控制，為不可或缺之基本權利之⼀；⽽所謂資訊隱私權，乃個⼈決定是否揭露其個⼈資料，在何種範圍、何種地⽅，以何種⽅式，向何⼈揭露資料，並保障個⼈對其資料之使⽤有知悉與控制權及資料記載錯誤之更正權利17」。我國⼤法官將隱私權提升為憲法保護之基本權利之⼀（受憲法第 22 條概括基本權保障），復根據司法院釋字第 603 號解釋，. 治政⼤法官將隱私權區分為⼆，其⼀為傳統意義上的私⽣活免於他⼈侵擾之權利大立. 18. ；. ‧. ‧ 國. 學. 其⼆為個⼈的資訊控制權，隱私權乃是指個⼈對於其個⼈資料的掌控權。. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. 17. 參照司法院釋字第 603 解釋理由書。大法官在司法院釋字第 689 號解釋重申此意旨：「蓋個人之私人生活及社會活動，隨時受他人持續注視、監看、監聽或公開揭露，其言行舉止及人際互動即難自由從事，致影響其人格之自由發展。尤以現今資訊科技高度發展及相關設備之方便取得，個人之私人活動受注視、監看、監聽或公開揭露等侵擾之可能大為增加，個人之私人活動及隱私受保護之需要，亦隨之提升。是個人縱於公共場域中，亦應享有依社會通念得不受他人持續注視、監看、監聽、接近等侵擾之私人活動領域及個人資料自主，而受法律所保護。惟在公共場域中個人所得主張不受此等侵擾之自由，以得合理期待於他人者為限，亦即不僅其不受侵擾之期待已表現於外，且該期待須依社會通念認為合理者。」簡言之，個人的隱私權除了有合理期待於他人者外，受憲法保障而不得被任意侵害。 18. 9. DOI:10.6814/NCCU202000503.

(20) 第⼆項國際條約規範告知後同意為國際上重要的隱私保護規則，關於個⼈資料保護重要的國際條約例舉如下：第⼀款世界⼈權宣⾔與兩公約聯合國⼤會在 1948 年 12 ⽉ 10 ⽇通過世界⼈權宣⾔（The Universal Declaration of Human Rights19），為落實世界⼈權宣⾔，聯合國在 1966 年 12 ⽉ 16. 治政⽇經由⼤會第⼆⼆００號決議通過「公民與政治權利國際公約」（International 大立 ‧ 國. 學. Covenant on Civil and Political Rights ）及「經濟社會⽂化權利國際公約」. ‧. （International Covenant on Economic, Social and Cultural Rights），。世界⼈權宣. io. sit. y. Nat. ⾔與兩公約被合稱為「國際⼈權憲章」（International Bill of Human Rights），是國. n. al. er. 際上最重要之⼈權法案，亦為國際⼈權保障體系最根本之法源20。. Ch. engchi. i Un. v. 與公民與政治權利國際公約均不乏個⼈資料保護之規定，其中世界⼈權宣⾔第 12 條規定：「任何⼈的私⽣活、家庭、住宅和通信不得任意⼲涉，其榮譽和名譽不得加以攻擊。⼈⼈有權享受法律保護，以免受這種⼲涉或攻擊」；公民與政治權利國際公約第 17 條21則規定：「⼀、任何⼈之私⽣活、家庭、住宅或通信， 19. See the contents of The Universal Declaration of Human Rights, available at https://www.un.org/en/universal-declaration-human-rights/ (last visited May 13, 2019). 20 參照黃清德，科技定位追蹤監視與基本人權保障，頁 11 （2011 年）。 21 See the contents of International Covenant on Civil and Political Rights Article 17, available at https://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx (last visited May 13, 2019).. 10. DOI:10.6814/NCCU202000503.

(21) 不得無理或⾮法侵擾，其名譽及信⽤，亦不得⾮法破壞。⼆、對於此種侵擾或破壞，⼈⼈有受法律保護之權利。」均得看出國際上對於隱私權早已有保護的意識，⽽這也是個⼈資料保護概念的雛形。. 第⼆款電腦化個⼈資料檔案規範指引聯合國在 1990 年 12 ⽉ 14 ⽇通過「電腦化個⼈資料檔案規範指引」（Guidelines. 政治大. for the Regulation of Computerized Personal Data Files），該指引關於個⼈資料保護. 立. 之最低原則如下22：. ‧ 國. 學. (⼀) 合法公平原則（Principle of lawfulness and fairness）：不得以違法或有失公平. ‧. 之⽅式蒐集個⼈資料，且該資料之使⽤不得違反蒐集之⽬的或牴觸聯合國之. n. al. er. io. sit. y. Nat. 法令。. i Un. v. (⼆) 準確性原則（Principle of accuracy）：資料控制者應隨時更新個⼈資料，以確. Ch. engchi. 保資料之正確性。 (三) ⽬的明確原則（Principle of the purpose-specification）：資料蒐集時其⽬的應明確，且該⽬的應合法；資料之使⽤應與蒐集之⽬的相符，且資料之保存不應超過資料達成蒐集⽬的之期限。. 22. See the contents of Guidelines for the Regulation of Computerized Personal Data Files, available at https://www.refworld.org/docid/3ddcafaac.html (last visited May 5, 2019).. 11. DOI:10.6814/NCCU202000503.

(22) (四) 利害關係⼈近⽤原則（Principle of interested-person access）：利害關係⼈有權知悉資料如何被使⽤，且有權在資料與真實不符時請求資料控制者刪除或更正。 (五) 不歧視原則（Principle of non-discrimination）：資料接近或使⽤若會引起宗教、種族、性向、政治傾向等歧視者，應予禁⽌。此外，會員國應確保個⼈資料之蒐集個⼈資料之蒐集符合上述各原則，並提. 治政供資料主體在資料控制者違反上述原則時救濟之措施。大立 ‧ 國. 學. 第三款隱私權保護與跨境個⼈資料傳輸指引. ‧. 經濟合作暨發展組織（ Organization for Economic Co-operation and. sit. y. Nat. n. al. er. io. Development, OECD）於 1980 年提出隱私權保護與跨境個⼈資料傳輸指引（OECD. i Un. v. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data23），. Ch. engchi. 該指引揭露了⼋⼤原則24： (⼀) 限制蒐集原則（Collection Limitation Principle）：個⼈資料之蒐集⽅法應合法、正當且有限制，並應適當地取得資料主體之同意或告知資料主體25。 23. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data , available at https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowso fpersonaldata.htm (last visited May 4, 2019). 24 中文翻譯參照翁清坤，論個人資料保護標準之全球化，東吳法律學報，22 卷 1 期，頁 13 （2010 年）。 25 There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.. 12. DOI:10.6814/NCCU202000503.

(23) (⼆) 資料品質原則（Data Quality Principle）：個⼈資料在特定⽬的之利⽤範圍內應該盡可能的保持完整、正確、並更新。 (三) ⽬的明確原則（Purpose Specification Principle）：個⼈資料蒐集⽬的應明確，且資料蒐集之⽬的須於事前告知，其後利⽤個⼈資料時不得與最初之蒐集個⼈資料之⽬的有衝突，且若⽬的有變更，應加以明確化。 (四) 利⽤限制原則（Use Limitation Principle）：除資料主體同意或是法律授權外，. 治政個⼈資料之使⽤、揭露、或其他之利⽤須與蒐集之⽬的相符。大立 ‧ 國. 學. (五) 防護原則（Security Safeguards Principle）：為避免資料遺失、被無權近⽤、. ‧. 毀損、揭露、或竄改之⾵險，應採取合理保護措施。. io. sit. y. Nat. (六) 公開原則（Openness Principle）：關於個⼈資料之蒐集、處理及相關政策之. n. al. er. 制定應明確且公開。公開之內容應包括個⼈資料之性質、使⽤⽬的、及資. Ch. 料控制者之通常位置。. engchi. i Un. v. (七) 個⼈參與原則（Individual Participation Principle）：個⼈資料之主體應有下列之權利：(a) 從資料控制者（controller）取得或確認資料與其是否與其相關； (b)以適當、合理之價格取得其個⼈資料；(c) 若資料控制者拒絕前兩項要求，資料主體得要求資料控制者提出具體理由；(d) 質疑資料之正確性，若與事實不符並可以要求刪除或更正。. 13. DOI:10.6814/NCCU202000503.

(24) (⼋) 責任原則（Accountability Principle）：資料控制者有義務遵守上開原則26。此外，為確保個⼈資料流通，OECD 會員國間間不得制定超出隱私權保護與跨境個⼈資料傳輸指引限制之國內法令，且應確保個⼈資料之流通與權利保障與指引內容相符。⽽鑑於個⼈資料在國際間交流⽇漸頻繁，個⼈資料遭受不法侵害的⾵險亦隨之提升，會員國之國內政府機關對於跨國資料侵害之管轄、調查均具有極⾼的挑戰性，此乃由於事前防治與事後修補權⼒不⾜，法律框架不⼀致以及. 治政執⾏之障礙（practical obstacles）。因此，OECD大遂於 2007 年通過「跨境執⾏隱立 ‧ 國. 學. 私保護政策合作建議（The Recommendation on Cross-border Co-operation in the. ‧. Enforcement of Laws Protecting Privacy），下稱『建議』」，建議會員國在跨境保護. io. sit. y. Nat. 個⼈資料⽅⾯採取下列措施：. n. al. er. 1. 改善國內法規，以利國內主管機關與國外機關合作執⾏相關保護法規。. Ch. engchi. i Un. v. 2. 提供有利於跨國執⾏合作隱私保護機構之權⼒。 3. 提升國內跨境合作之能⼒，包含資料交流以及提供必要之協助。 4. 協同利害關係⼈執⾏相關個⼈資料保護法令或與國外機關合作。. 26. A data controller should be accountable for complying with measures which give effect to the principles stated above.. 14. DOI:10.6814/NCCU202000503.

(25) 第四款個⼈資料⾃動化處理之個⼈保護公約歐洲理事會（Council of Europe, CoE）在 1981 年制定了「個⼈資料⾃動化處理之個⼈保護公約（the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Convention 108）」，並於 1999 年、2001 年修訂。該公約之內容與前述聯合國之電腦化個⼈資料檔案規範指引、經濟合作暨發展組織之隱私權保護與跨境個⼈資料傳輸指引內容相仿。依該公約之規定，個. 治政⼈資料蒐集⼿段應公正、合法、並符合資料蒐集時向資訊主體所揭露之⽬的；資大立 ‧ 國. 學. 料與真實不符時應隨時更新以維持其正確性；資料蒐集之⽬的達成時應刪除該個. ‧. ⼈資料；應採取完善的保護措施以保管個⼈資料，避免資料遭不當刪除、利⽤、. io. sit. y. Nat. 變更、毀損或揭露；個⼈資料主體有權接近使⽤⾃⼰的資料，同時有權控制；締. n. al. er. 約國不得禁⽌跨境資料傳輸等27。. Ch. engchi. i Un. v. 第五款資料保護指令歐洲聯盟（European Union）於 1995 年制定「涉及個⼈資料處理與⾃由流動之個⼈保護指令（Directive 95/46/EC of The European Parliament and of The Council. 27. See the contents of Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Article 4-17, available at https://www.coe.int/en/web/conventions/fulllist/-/conventions/rms/0900001680078b37 (last visited May 6, 2019).. 15. DOI:10.6814/NCCU202000503.

(26) of 24 October 1995），下稱該指令28」，該指令對於會員國雖有強制⼒，惟並無法在會員國境內⾃動執⾏，仍需仰賴各會員國之國會⽴法，惟各國國會得調整相關之⾏政程序與處罰效果，⾮謂需與該指令完全⼀致29。該指令適⽤之主體包含⾃然⼈、法⼈與政府部⾨，相關規範⾏為包含資料之蒐集、利⽤、揭露、儲存等⾏為30，可說是歐盟個⼈資料保護⼀個⾥程碑。. 第六款 APEC 隱私保護綱領. 立. 政治大. ‧ 國. 學. 2004 年 11 ⽉，為了提供更佳的個⼈資料保護⽅式，限制個⼈資料控制者（personal. ‧. information controller）蒐集、持有、利⽤、分享、編輯、移轉或揭露個⼈資料。. io. sit. y. Nat. 亞太經合會（Asia-Pacific Economic Cooperation，下稱 APEC）制定了「隱私保護. n. al. er. 綱領（APEC Privacy Framework31）」。隱私保護綱領乃參考 OECD 在 1980 年制. Ch. engchi. i Un. v. 定的隱私權保護與跨境個⼈資料傳輸指引（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）。與歐盟資料保護規則（95/46/EC）不同，隱私保護綱領對於會員國間並無強制性的拘束⼒，然⽽，隱私保護綱領在推動會. 28. 為使內容完備，在此僅簡要介紹歐盟資料保護指令，詳細之指令內容將於第三章中完整介紹。 29 Viviane Reding, The European data protection framework for the twenty-first century, 2 INT. DATA PRIV. LAW 119, 120-121 (2012). 30 See the contents of Directive 95/46/EC, available at https://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=CELEX%3A31995L0046 (last visited May 6, 2019). 31 Available at https://www.apec.org/Publications/2005/12/APEC-Privacy-Framework (last visited May 8, 2019).. 16. DOI:10.6814/NCCU202000503.

(27) 員國保護隱私⽅⾯扮演重要的⾓⾊，其提供了重要的⽅針以確保會員國間資料⾃由流通。 2015 年，隨著 OECD 之隱私權保護與跨境個⼈資料傳輸指引修訂，隱私保護綱領也隨之修正，以符合修定後 OECD 隱私權保護與跨境個⼈資料傳輸指引的核⼼32。隱私保護綱領提供了個⼈資料蒐集、利⽤、更正、分享等⾏為的九個原則，分述如下：. 政治大. 立. ‧ 國. 學. 1. 預防損害：預防個⼈資料遭到濫⽤進⽽導致個⼈權益受損乃是隱私保護. ‧. 綱領之⽬的之⼀，為此，個⼈資料之蒐集或使⽤應有⾵險評估機制，有. io. sit. y. Nat. 損害發⽣時，應有適當的補償機制以預防損害擴⼤33。. n. al. er. 2. 告知：為了使個⼈資料主體理解何種資料被蒐集，資料如何被利⽤，個. Ch. engchi. i Un. v. ⼈資料控制者應告知下列事項：(a)個⼈資料遭蒐集之事實聲明；(b)個⼈資料蒐集之⽬的；(c)個⼈資料揭露之對象（包含⾃然⼈及法⼈）；(d)格⼈資料控制者之⾝份、所在地、聯繫⽅式；(e)當事⼈得限制利⽤、揭露其個⼈資料之選則與⽅法，以及得接近其個⼈資料。告知的時間應該在蒐. 32. Available at https://www.apec.org/Publications/2017/08/APEC-Privacy-Framework-(2015) (last visited May 8, 2019). 33 See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles I.. 17. DOI:10.6814/NCCU202000503.

(28) 集資料之時，或盡快在事後補⾏告知34。 3. 蒐集限制：個⼈資料之蒐集限於與蒐集⽬的相關，其⼿段須合法且公平，並於適當之時告知相關資料主體或取得其同意35。 4. 個⼈資料之利⽤：此原則限制個⼈資料之使⽤。個⼈資料之使⽤應限於與蒐集之⽬的，或與蒐集之⽬的相關，但下列情形不在此限：(a)經資料主體同意；(b)提供資料主體所要求之產品或服務所必要者；(c)經法律授權。. 政治大. 36. 立. ‧ 國. 學. 5. 選擇：為確保資料主體控制其資料使⽤、移轉有選擇的權利，個⼈資料. ‧. 控制者應適當提供資料主體得就其個⼈資料之蒐集、利⽤和揭露⾏使選. io. sit. y. Nat. 擇的機制，且該機制須為資料主體可負擔、易理解、可接近使⽤之⽅法。. n. al. er. 但蒐集的資料是可公開取得者不在此限37。. Ch. engchi. i Un. v. 6. 個⼈資料之完整性：為符合利⽤⽬的，個⼈資料應正確、完整並隨時更新38。 7. 安全維護機制：個⼈資料控制者應妥適地維護個⼈資料，避免遺失或未經授權使⽤、毀損、揭露、修改或不當使⽤。上述之安全維護機制應視 34 35 36 37 38. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles II. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles III. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles IV. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles V. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles VI.. 18. DOI:10.6814/NCCU202000503.

(29) 個⼈資料⾯臨之侵害有相對應之措施，並應隨時調整39。 8. 接近與更正：資料主體應有權確認資料控制者是否取得其個⼈資料及取得之個⼈資料內容，並有權更正、補充或刪除40。 9. 責任：資料控制者應遵守上開各原則。當個⼈資料在國內或國際間傳輸時，資料控制者應取得資料主體的同意，並應盡善良管理⼈注意義務確保資料接收⼈或接收組織遵守上開原則41。. 治政從上述幾個國際條約及法規可知，隱私權保護在國際上逐漸受到重視，且保大立 ‧ 國. 學. 護越來越全⾯，不同公約對於隱私權保護也從原則性的規範逐漸具體化，有鑒於. ‧. 資訊全球化與資訊社會已逐漸形成，國際上眾多的國際條與與國際法創設了許多. io. sit. y. Nat. 資料處裡原則保護個⼈隱私，以及限制個⼈資料處理。縱然許多國際條約僅為訓. n. al. er. ⽰規定，無實質拘束⼒，但每⼀部國際條約都是個⼈資料保護不可或缺的基⽯，. Ch. engchi. 對於個⼈資料保護國際法制之健全不可或缺。. i Un. v. 39 40 41. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles VII. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles VIII. See APEC Privacy Framework 2015/Part III. APEC Information Privacy Principles/ Principles IX.. 19. DOI:10.6814/NCCU202000503.

(30) 第⼆節. 各國隱私法制42. 第⼀項英國 1998 年，英國為了配合歐盟 95/46/EC 資料保護指令，國會通過了數據保護法案（Data Protection Act 1998），並於 2000 年⽣效43。2017 年，受到歐盟⼀般資料保護規則（General Data Protection Regulation，下稱 GDPR）影響，英國公布修正後的數據保護草案（Data Protection Bill，下稱該草案），該草案並於 2018 年 5. 治政⽉ 25 通過。該法案除了增訂許多新規範以因應數位時代下對於資料保護漸趨嚴大立 ‧ 國. 學. 格的趨勢外，也參考歐盟 GDPR、「法律執⾏指令（Law Enforcement Directive），. io. sit. y. Nat. 之法案44。. ‧. 下稱 LED」中許多關於跨境資料傳輸之規定，以制訂⼀部更完整保護個⼈資料. n. al. er. 由於英國已經脫歐，2018 年⽣效的 GDPR 將直接適⽤於英國。根據 2018 年. Ch. engchi. i Un. v. ⽣效的歐盟退出法案（European Union (Withdrawal) Act 2018）第 3 條45規定，在英國脫歐後，GDPR 將會成會內國法並繼續適⽤於英國。為避免 GDPR 適⽤後與國內現⾏法制有落差，英國勢必要在 GDPR 賦予各國的修法權限內，修訂國內 42. 由於篇幅有限，此節僅探討英國、美國與日本之隱私法制，歐盟之隱私法制將於第三章及第四章探討，在此不重複贅述，至於其他國家之隱私法制不在本論文之探討範圍。 43 李振瑋，英國資料保護法中資料所有人的權利－以揭露請求權為中心，元智大學資訊社會學研究所碩士論文，頁 14（2008 年）。 44 江庭瑀編譯，簡介英國新資料保護法草案，經貿法訊，221 期，頁 11（2017 年）。 45 European Union (Withdrawal) Act 2018 art. 3(1) (“Direct EU legislation, so far as operative immediately before exit day, forms part of domestic law on and after exit day.). 20. DOI:10.6814/NCCU202000503.

(31) 的法規以填補新舊法之差異，並檢視國內的⽴法是否符合 GDPR 就個⼈資料處理事項之規定46。以下將簡要介紹數據保護法案（下稱該法案）： 1. 第⼀部分：前⾔第⼀部分主要在定義相關的名詞47。為了因應 GDPR，該法案對於相關名詞定義有⼤幅的調整，多數名詞定義均與 GDPR 相同。在個⼈資料⽅⾯，只要能夠. 治政特定個⼈⾝份的資料均屬於個⼈資料，例如：網⾴瀏覽紀錄、網⾴ Cookies 等均大立義為資料的擁有者等等，相關名詞定義均有所更改48。. io. sit. y. Nat. 2. 第⼆部分：⼀般資料加⼯. ‧. ‧ 國. 學. 屬之。此外，資料加⼯的定義為任何對於個⼈資料的加⼯⾏為，資料控制者之定. n. al. er. 第⼆部分⽴法⽬的主要有⼆，其⼀為在 GDPR 對於會員國之修法權限內，. Ch. engchi. i Un. v. 透過修法及補充解釋的⼿段來補充 GDPR 規範；其⼆為針對 GDPR 為規範之部分增訂相關規範49。. 46. Francis Aldhouse, The UK Government publishes the Data Protection Bill, BIRD & BIRD LLP (Sep. 20, 2017), https://www.twobirds.com/en/news/articles/2017/uk/uk-government-publishes-dataprotection-bill. 47 Cynthia O’Donoghue & John O'Brien, Data Protection Act 2018 comes into force, REED & SMITH LLP (June 15, 2018), https://www.technologylawdispatch.com/2018/06/privacy-data-protection/dataprotection-act-2018-comes-into-force/. 48 See the contents of Data Protection Act 2018/ Part 1/ Art. 3. 49 See Information Commissioner’s Office (ICO), An overview of the Data Protection Act 2018 12, available at https://ico.org.uk/media/2614158/ico-introduction-to-the-data-protection-bill.pdf (last visited May 15, 2019).. 21. DOI:10.6814/NCCU202000503.

(32) 此部分主要分成三個章節，第⼀部分主要是名詞定義，界定出⼀個規範適⽤的範圍；第⼆章⼤多規定均與 GDPR 相仿，僅有部分規定內容與 GDPR 內容有些許差異，如：資訊控制者50、公共權⼒與公眾機構51、與刑事定罪和犯罪或相關安全措施有關的個⼈數據等。第三章主要針對 GDPR 無法規範到的部分，包含部分在英國的資料加⼯⾏為。常⾒的樣態主要有幾種：(1)在歐盟法律管轄範圍之外；(2) 在 GDPR 管轄範圍之外52。 3.. 治政第三部分：資料保護法案大立 ‧ 國. 學. 第三部分適⽤的對象為法案中所規定具有任何執法權限的個⼈，團體或組織，. ‧. 以及與此相關的個⼈資料主體，主要針對的⾏為包括預防、調查、偵查或起訴刑. 第三部分主要分成六個章節，析述如下54：. n. al. Ch. engchi. er. io. sit. y. Nat. 事犯罪或執⾏刑事處罰等⾏為53。. i Un. v. (1) 第⼀章—定義與範圍：主要是此部分規定中名詞之定義與範圍。 (2) 第⼆章—原則：列出了六項資料保護原則，以及必須遵守的各種資. 50. This clarifies that where personal data is processed, for purposes and means that are required by an enactment, the person who is obliged to undertake this processing, by the enactment, will be the controller. 51 See Data Protection Act 2018/ PART 2 General processing/ CHAPTER 2 The GDPR/ 7.Meaning of “public authority” and “public body”. 52 See Data Protection Act 2018/ PART 2 General processing/ CHAPTER 3 Other general processing. 53 See Information Commissioner’s Office (ICO), An overview of the Data Protection Act 2018 38, available at https://ico.org.uk/media/2614158/ico-introduction-to-the-data-protection-bill.pdf (last visited May 15, 2019). 54 See the contents of Data Protection Act 2018/ PART 3 Law enforcement processing.. 22. DOI:10.6814/NCCU202000503.

(33) 料保護措施，資料控制者必須遵守該六⼤原則55。 (3) 第三章—資料權利：揭⽰資料主體對抗資料控制者的若⼲權利，包含接近權、更正權刪除或限制處理權等56。 (4) 第四章—資料控制者與處理者：對於資料控制者與處理者規定若⼲資料保護義務，包括指派資料保護官、資料處理者處理資料不得踰越資料控制者授權範圍、資料處理不得踰越必要範圍等57。 (5). 治政第五章—資料移轉⾄第三國家：確定如何以及何時將個⼈資料傳輸大立 ‧ 國. 學. 到歐盟或國際組織以外的第三國58。. ‧. (6) 第六章—補充：提供其他的補充性條款，例如：對於資料侵權者如. io. sit. y. Nat. 何檢舉等59。. n. al. er. 4. 第四部分：情報部⾨資料處理. Ch. engchi. i Un. v. 由於國家安全不屬於歐盟法律的管轄範圍，英國情報部⾨的⾏為並不在 GDPR 或是 LED 管轄範圍。為了解決這樣的問題，第四部分特別引⼊情報部⾨與處理個⼈數據的保護制度，該情報部⾨包含：國安局、秘密情報局及政府通訊. 55. See Data Protection Act 2018/ PART 3 Law enforcement processing / CHAPTER 2 Principles. See Data Protection Act 2018/ PART 3 Law enforcement processing / CHAPTER 3 Rights of the data subject. 57 See Data Protection Act 2018/ PART 3 Law enforcement processing / CHAPTER 4 Controller and processor. 58 See Data Protection Act 2018/ PART 3 Law enforcement processing / CHAPTER 5 Transfers of personal data to third countries etc. 59 See Data Protection Act 2018/ PART 3 Law enforcement processing / CHAPTER 6 Supplementary. 56. 23. DOI:10.6814/NCCU202000503.

(34) 總部。此部分主要有六章節，分別為： (1) 第⼀章—定義與範圍：主要是此部分中名詞之定義與範圍。 (2) 第⼆章—原則：列出了六項數據保護原則，以及必須遵守的各種資料保護措施，資料控制者必須遵守該六⼤原則60。 (3) 第三章—資料主體權利：揭⽰資料主體對抗資料控制者的若⼲權利，包含接近權、更正權刪除或限制處理權61。 (4). 治政第四章—資料控制者與處理者：對於資料控制者與處理者規定若⼲大立 ‧ 國. 學. 資料保護義務，包括指派資料保護官、資料處理者處理資料不得踰. ‧. 越資料控制者授權範圍、資料處理不得踰越必要範圍等62。. io. sit. y. Nat. (5) 第五章—資料移轉⾄第三國家：確定如何以及何時將個⼈數據傳輸. n. al. er. 到英國境外或國際組織63。. Ch. engchi. i Un. v. (6) 第六章—豁免：規定第四部分規定例外不適⽤的情形，如：國家安全考量等64。 5. 第五部分：資訊專員. 60. See Data Protection Act 2018/ PART 4 Intelligence services processing / CHAPTER 2 Principles. See Data Protection Act 2018/ PART 4 Intelligence services processing / CHAPTER 3 Rights of the data subject. 62 See Data Protection Act 2018/ PART 4 Intelligence services processing / CHAPTER 4 Controller and processor. 63 See Data Protection Act 2018/ PART 4 Intelligence services processing / CHAPTER 5 Transfers of personal data to third countries etc. 64 See Data Protection Act 2018/ PART 4 Intelligence services processing / CHAPTER 6 Exemptions. 61. 24. DOI:10.6814/NCCU202000503.

(35) 為了達到 GDPR、LED 及數據保護法案的⽬的，英國特別設置了資訊專員，資訊專員為國家監督機構，負責監督政府，使⼈民可以看到政府單位持有個⼈資訊和個⼈資料權利保護的相關法律規範。第五部分規定意旨在確保資訊專員辦公室能夠穩定運作，並列出該部⾨的責任、權⼒及功能65。 6. 第六部分：執⾏第六部分主要規定資訊專員執法的權限、通知義務、通知後效果，以及個⼈. 治政針對通知可以採取的⾏動等。另外，第六部分及第七部分也規定了資料主體的救大立 ‧. ‧ 國. 學. 濟程序、補救措施及相關的刑罰效果66。. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. 65 66. See Data Protection Act 2018/ PART 5 The Information Commissioner. See Data Protection Act 2018/ PART 6 Enforcement、PART 7 Supplementary and final provision.. 25. DOI:10.6814/NCCU202000503.

(36) 第⼆項美國美國的隱私權保護法令分為聯邦法與州法，聯邦法規範範圍在於特定的政府部⾨⾏為，⽽州法主要聚焦在保護消費者的個⼈隱私權利。美國許多州的憲法及法規中均已明⽂保障隱私權67，保護個⼈數據與消費者隱私權之正當性在於，除了事前明確透過條約、法令或意思表⽰⽽放棄其隱私權外，消費者有期待其個⼈資料受到保護的隱私權68。. 治政在 GDPR ⽣效施⾏後，美國開始出現修訂國內聯邦法律以保護個⼈資料的大立 ‧ 國. 學. 聲浪，Apple、Google 等公司均希望⽴法者能制定新聯邦法，除了充分保障消費. ‧. 者取得個⼈資料，完善其受憲法保障的隱私權外，也避免企業本⾝因違反 GDPR. io. sit. y. Nat. 相關規範⽽遭受鉅額罰款69。. n. al. er. 2018 年 3 ⽉，劍橋分析公司（Cambridge Analytica）從 Facebook 獲取超過. Ch. engchi. i Un. v. 8 千萬⼈的個資的醜聞刊登在國際各⼤媒體，並將獲得的個⼈資料⽤於⼀預測程式，⽤來預測、⼲預美國 2016 年總統⼤選與英國脫歐公投，臉書（Facebook）. 67. 例如：Alaska, Arizona, California, Florida, Hawaii, Illinois, Louisiana, Montana, New Hampshire, South Carolina and Washington 等州的憲法均有明文，New Hampshire State 在 2018 年 11 月亦通過憲法增修條文。For more details, see Privacy Protections in State Constitutions, NCSL (Nov. 7, 2018), http://www.ncsl.org/research/telecommunications-and-information-technology/privacyprotections-in-state-constitutions.aspx. 68 See Relevant Legislation and Competent Authorities, ICLG, https://iclg.com/practice-areas/dataprotection-laws-and-regulations/usa (last visited May 16, 2019). 69 David Meyer, In the Wake of GDPR, Will the U.S. Embrace Data Privacy?, FORTUNE (Nov. 29, 2018), http://fortune.com/2018/11/29/federal-data-privacy-law/.. 26. DOI:10.6814/NCCU202000503.

(37) 公司因為這件醜聞市值減少了 600 億美元70，英國資訊專員辦公室（Information Commissioner’s Office）亦對臉書公司裁罰 50 萬英鎊71。2018 年 6 ⽉ 28 ⽇，加州議會為了避免類似的案件再次發⽣，通過了美國版的 GDPR—加州消費者隱私法（The California Consumer Privacy Act），該法規堪稱是美國最完善的消費者隱私保護法規，並於 2020 年 1 ⽉⽣效72。當地企業為了不違反該法律，紛紛開始改變公司的經營策略。無獨有偶，美國其他州如：⾺⾥蘭、紐澤西及華盛頓等均. 治政仿效加州制定了類似的州法以保護隱私權。雖然上述的州尚未有草案出現，但可大立 ‧ 國. 學. 以確定的是美國在近期內必然會有許多新的隱私權法案出現，⽽這些法案的出現，. ‧. 必然會使得美國企業花費⾼額成本了解這些法規內容並改善內部的經營管理策. n. al. er. io. sit. y. Nat. 略以因應新法案73。. Ch. engchi. i Un. v. 70. Carole Cadwalladr & Emma Graham-Harrison, Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach, THE GUARDIAN (MARCH. 17, 2018), https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election; Here are the scandals and other incidents that have sent Facebook’s share price tanking in 2018, CNBC (NOV. 20, 2018), https://www.cnbc.com/2018/11/20/facebooks-scandals-in-2018-effect-on-stock.html. 71 黃彥鈞，劍橋分析個資外洩醜聞，Facebook 遭英國開罰，科技新報，2018 年 07 月 12 日， http://technews.tw/2018/07/12/facebook-cambridge-analytica-uk-fine/。 72 黃亦筠，加州也祭出最嚴隱私法，科技巨頭為什麼聞之色變？，天下雜誌，662 期，2018 年 12 月 3 日，https://www.cw.com.tw/article/articleLogin.action?id=5093158#_=_（最後瀏覽日： 2019 年 5 月 16 日）。 73 Jeewon Kim Serrato & Daniel Rosenzweig, GDPR, CCPA and beyond: Changes in data privacy laws and enforcement risks to monitor in 2019, DATA PROTECTION REPORT (FEB. 27, 2019), https://www.dataprotectionreport.com/2019/02/gdpr-ccpa-and-beyond-changes-in-data-privacy-lawsand-enforcement-risks-to-monitor-in-2019/.. 27. DOI:10.6814/NCCU202000503.

(38) 加州消費者隱私法（下稱 CCPA）特點如下74： 1. 適⽤對象 CCPA 適⽤對象主要是企業，只要企業蒐集個⼈資料，並符合下列條件之⼀者，即受規範75： (1). 總收⼊⼤於 2500 萬美元；. (2). 每年為了商業⽬的⽽購買、取得、銷售、分享 50,000 以上加州消. 治政費者、家庭或裝置的個⼈資料；大立因銷售加州居民個⼈資料之獲利占年度收益超過 50%。. ‧ 國. 學. (3). ‧. 2. 揭露要求. io. sit. y. Nat. 企業在蒐集個⼈資料的之前或當下，必須告知消費者何種個⼈資料被. n. al. er. 蒐集、蒐集的來源為何、蒐集的⽬的為何、何種個⼈資料被做商業利⽤、. Ch. engchi. i Un. v. 若資料被分享給第三⼈，該第三⼈之⾝份。 3. 消費者權利. 消費者關於其個⼈資料擁有的權利包括：. 74. 資料整理自 Wilson C. Freeman, California Dreamin’ of Privacy Regulation: The California Consumer Privacy Act and Congress, CONGRESSIONAL RESEARCH SERVICE (NOV. 1, 2018), https://fas.org/sgp/crs/misc/LSB10213.pdf; Spencer Persson et al., California passes major legislation, expanding consumer privacy rights and legal exposure for US and global companies, DATA PROTECTION REPORT (JUNE. 29, 2018), https://www.dataprotectionreport.com/2018/06/californiapasses-major-privacy-legislation-expanding-consumer-privacy-rights/.. 28. DOI:10.6814/NCCU202000503.

(39) (1). 退出選擇權：消費者有權在企業將其個⼈資料販售給第三⼈時選擇退出。企業在網站⾸⾴上必須設置⼀清楚、顯眼的「不要銷售我的個⼈資料」（Do Not Sell My Personal Information）連結，提供消費者在企業銷售其個⼈資料時得有選擇退出的權利。. (2). 資料刪除權/被遺忘權：消費者有權請求企業刪除其個⼈資料。僅在特定情況下，如：交易所必須要的資料、保護消費者免於觸法、. 治政或是事前已充分與消費者溝通，基於互信之關係等情形下企業才能大立 ‧ 國. 孩童進⼊選擇權：線上兒童隱私保護法案（Children’s Online Privacy. ‧. (3). 學. 拒絕消費者的請求。. io. sit. y. Nat. Protection Act , COPPA）規定中兒童的年齡為 13 歲，⽽ CCPA 提. n. al. er. ⾼孩童年齡⾄ 16 歲。CCPA 規定企業在販賣 13 歲以下兒童之個⼈. Ch. engchi. i Un. v. 資料時，除了必須取得法定監護⼈的同意，尚必須以選擇進⼊的⽅式事前取得孩童本⼈之同意；⽽在販賣 13 ⾄ 16 歲兒童的個⼈資料時，必須以選擇進⼊的⽅式事前取得孩童本⼈之同意，此規定的⽬的乃在提⾼兒童的權利保護。 4. 個⼈資料範圍擴張 CCPA 所規定的個⼈資料並不僅限於傳統的個⼈資料，個⼈的地理位. 29. DOI:10.6814/NCCU202000503.

(40) 置、IP 位址、網⾴瀏覽紀錄、Cookie、帳⼾資料等均在保護範圍之內。 5. 地區檢察官專有執法權限 CCPA 給予企業三⼗天的瑕疵補正期間。析⾔之，企業在不當使⽤消費者的個⼈資料或侵害其上開的權利時，得有三⼗天的補正期間。另外， CCPA 禁⽌消費者以私⼈提起訴訟，僅賦予州檢察官（state Attorney General）獨有的法定實施權。 6. 罰則. 立. 政治大. ‧ 國. 學. 單⼀消費者個案中，企業若有違反 CCPA 之規定將⾯臨 750 美元以下. ‧. 的罰款，惟在企業故意違法的情形下，得將罰款⾦額提⾼⾄ 7500 美元。. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. 30. DOI:10.6814/NCCU202000503.

(41) 第三項⽇本近來，資訊通訊技術快速發展，巨量的數據的分析與使⽤帶來了新的商業模式。然⽽，隨著個⼈隱私權的意識提⾼，舊個⼈資料保護法對於個⼈資料保護的廣度及深度早已無法因應快速發展的科技與企業全球化的潮流所帶來新型態的資訊流通。此外，含有個⼈資料的資訊流廣泛地跨境流傳，亦提升了個⼈資料保護的難度76。為此，⽇本在 2013 年將修訂個⼈資料保護法納⼊⽇本「再興戰略」. 治政與「世界最先端 IT 國家創造宣⾔」（世界最先端大IT 国家創造宣⾔立 77. 78. ）`。. ‧ 國. 學. ⽇本 2015 年的修正案主要有五⼤重點，其包含79：. 」及「敏感性特種資料81」。. io. sit. y. Nat. 80. ‧. 1. 調整個⼈資料的定義並使其明確化：具體內容包括新增「個⼈識別符號. n. al. er. 2. 強化個資保護規範內容：具體內容包括新增「去識別化資料」（匿名加⼯. Ch. 76. engchi. i Un. v. 個人情報保護委員会，個人情報の保護に関する基本方針， https://www.ppc.go.jp/files/pdf/changepoint.pdf （最後瀏覽日：2019 年 5 月 17 日）。 77 參見世界最先端 IT 国家創造宣言について， https://www.kantei.go.jp/jp/singi/it2/pdf/it_kokkasouzousengen.pdf （最後瀏覽日：2019 年 5 月 17 日）。 78 個人情報保護委員会，個人情報保護法の成立及び改正に関する主な経緯， https://www.ppc.go.jp/files/pdf/personal_development.pdf （最後瀏覽日：2019 年 5 月 17 日）。 79 參見郭戎晉，日本個人資料保護法修正重點與去識別化推動剖析，科技法律透析，28 卷 6 期，頁 43-52 （2016 年）；鍾瑞蘭、徐吉志、李世德，考察日本因應大數據（Big Data）時代之個人資料保護法制及實務運作情形，法務研究計畫與成果（2017 年）；另參見伊藤真弥，改正個人情報保護法とは？改正ポイントと対応方法を総解説，The Finance，2017 年 4 月 28 日， https://thefinance.jp/law/170428 （最後瀏覽日：2019 年 5 月 17 日）。 80 參見個人情報の保護に関する法律/第二条/2。個人識別符號主要分為泛指能夠特定個人的資料，具體規範上包含「以電腦將個人特定的身體部分特徵轉換為可供特定個人之資料」，以及「憑藉個人購買商品或利用服務時留下之文件或電磁紀錄，而得以特定個人之資料」。 81 參見個人情報の保護に関する法律/第二条/3。敏感性特種資料係指個人犯罪紀錄、病例、宗教、種族及其他對於資料主體容易形成偏見或歧視的資料。. 31. DOI:10.6814/NCCU202000503.

(42) 情報82）及「去識別化資料事業」相關規定83。 3. 確保個⼈資料⽂件流通的正確性與妥適性：具體內容包括84： (1) 將個⼈資料提供給第三⼈時，必須確實記載相關資料的流通紀錄（包含資料提供者與接收者之資料、資料來源、⽇期等）85； (2) 將「販賣個⼈數據資料庫」之⾏為⼊罪化86； (3) 未得資料主體同意將其個⼈資料提供給第三⼈時採取選擇退出設計制度。. 政治大. 87. 立. ‧ 國. 學. 4. 個資情報處理全球化：新增域外管轄之效⼒。個⼈資料處理相關事業在. ‧. ⽇本境外處理個⼈資料或將資料去識別化時須符合⽇本個⼈資料法相關. io. sit. y. Nat. 規定88。此外，將個⼈資料提供給境外第三⼈時，除須取得資料主體之同. n. al. er. 意外，尚需檢視該境外國家個⼈資料之保護法制是否與⽇本⽔準相同89。. Ch. engchi. i Un. v. 5. 個⼈情報保護委員會運作：2013 年，⽇本政府依該年通過的「個⼈識別 82. 參見個人情報の保護に関する法律/第二条/2。資料去識別化係指將個人識別符號進行加工處理，使其達到無法特定個人之程度後所產生的資料，且該資料無法被回復成原始樣貌而得以重新特定資料主體。 83 參見個人情報の保護に関する法律/第二条/10，個人情報の保護に関する法律第三十六条至第三十九条。 84 「改正個人情報保護法」5 月 30 日より全面施行、変更点・注意点などポイントを解説， Digital Arts，2017 年 3 月 22 日，https://www.daj.jp/news/170322_01/（最後瀏覽日：2019 年 5 月 17 日）。 85 參見個人情報の保護に関する法律/第二十三条。 86 參見個人情報の保護に関する法律/第八十三条。 87 參見個人情報の保護に関する法律/第二十三条。 88 參見個人情報の保護に関する法律/第七十五条。 89 參見個人情報の保護に関する法律/第二十四条。. 32. DOI:10.6814/NCCU202000503.

(43) 標號利⽤法」（⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律90）設置特定個⼈資訊保護委員會（特定個⼈情報保護委員会），在本次修法後，調整為現⾏體制。此外，由於歐盟在 GDPR 實施後，原則上禁⽌跨境傳輸個⼈資料，唯有被認可具有適⾜性保護 (Adequate level of protection)的國家或地區⽅例外許可。因此，如何獲得歐盟適⾜性保護的認可即成為能否跨境傳輸歐盟. 治政個⼈資料的關鍵。⽇本為了通過歐盟適⾜性保護的認可，在 2015 年的⼤大立 91. ‧ 國. 學. 幅度修正個⼈資料保護法，其中設⽴個⼈資料保護委員會（個⼈情報保護. ‧. 委員会）與跨境傳輸的相關規定正是為了符合認可的重要設計。除了修法. io. sit. y. Nat. 外，⽇本⾃ 2016 年起與歐盟執⾏委員會積極溝通92，於 2017 年與歐盟發. n. al. er. 表共同聲明，⽇本將積極提升個⼈資料保護的⽔準，建⽴雙⽅的信任感，. Ch. engchi. i Un. v. 並積極取得歐盟適⾜性保護的認可93。2018 年 2 ⽉，⽇本揭⽰了個⼈資料. 90. 見行政手続における特定の個人を識別するための番号の利用等に関する法律，http://elaws.egov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=425AC0000000027（最後瀏覽日：2019 年 5 月 17 日）。 91 吳柏凭，歐盟 GDPR 保護適足性審核與因應作為，資策會科技法律研究所，2018 年 04 月 10 日，https://stli.iii.org.tw/article-detail.aspx?no=66&tp=3&i=158&d=8017&lv2=158（最後瀏覽日： 2019 年 5 月 17 日）。 92 個人情報保護委員会，個人情報保護委員会の国際的な取組について， https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf （最後瀏覽日：2019 年 5 月 17 日）。 93 前田篤穂，個人データ保護の「十分性認可」取得の好機に－日 EU 首脳が共同声明－， JETRO，2017 年 07 月 07 日，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html （最後瀏覽日：2019 年 5 月 17 日）。. 33. DOI:10.6814/NCCU202000503.

(44) 保護法調整⽅向，包含94： 1. 個⼈敏感性資料的認定與歐洲⼀致，⽇本個⼈資料保護法未規定之性⽣活、性傾向、雇⽤關係等個⼈資料亦視為個⼈敏感性資料。 2. 無論資料保存期限，歐盟得隨時主張個⼈資料的修正、刪除、揭露等權利；⽇本則須在保管期限超過六個⽉⽅得主張個⼈資料相關的權利。 3. 從歐盟跨境傳輸⾄⽇本的資料必須揭露使⽤⽬的。. 治政 4. 個⼈資料若要從⽇本再傳輸⾄第三國家或第三地，必須取得資料主體大立 ‧ 國. 學. 的同意，並透過契約保障資料主體權利，同時要求該第三國家或第三地. ‧. 須有相同⽔準的資料保護措施。. io. sit. y. Nat. 5. 對於去識別化資料的要求必須要符合歐盟的標準，確保資料去識別化. n. al. er. 後無法回復⾄原來的狀態。. C95h. engchi. i Un. v. 經過多次的洽談後，⽇本在 2019 年 1 ⽉ 23 ⽇取得歐盟認可，歐盟委員會認定⽇本的個⼈資料保護制度完善，歐盟域內的個⼈資料在符合相關規定96下已得跨境傳輸⾄⽇本。 94. 個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf（最後瀏覽日：2019 年 5 月 17 日）；中文翻譯參考吳柏凭（註 91）。 95 個人情報保護委員会，個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員との会談，2018 年 5 月 31 日，https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/（最後瀏覽日：2019 年 5 月 17 日）。 96 包括日本個人資料保護法（個人情報保護法）及「適足性認定補充規則」（個人情報の保護. 34. DOI:10.6814/NCCU202000503.

(45) 第四項其他國家除了英國、美國、⽇本外，印度在 2018 年也提出個⼈資料保護草案（The Personal Data Protection Bill 201897），並已於 2019 年 6 ⽉於國會表決98。另外，韓國在 2011 年便制定了個⼈資料保護法案（Personal Information Protection Act99），其規範內容與 GDPR 相差不遠100。⽽澳洲、巴西等國家亦積極修訂個⼈資料保護法令，巴西國內的個⼈資料保護法—Lei Geral de Proteçao de Dados (LGPD)之. 治政規範內容與 GDPR 幾乎相同，該法案已於 2020 大年 2 ⽉⽣效；澳洲則在 2018 年立 ‧. ‧ 國. 學. 修訂了國內的個⼈資料保護法101。. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. に関する法律に係る EU 域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール）。 97 Available at https://www.meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf (last visited May 18, 2019). 98 Martin F.R., India’s Data Protection Bill Will Now Be Tabled In June, ANALYTICS INDIA MAGAZINE (Jan. 4, 2019), https://www.analyticsindiamag.com/indias-data-protection-bill-in-june/. 99 Available at http://koreanlii.or.kr/w/images/0/0e/KoreanDPAct2011.pdf (last visited May 18, 2019). 100 Alex Wall, GDPR matchup: South Korea's Personal Information Protection Act, https://iapp.org/news/a/gdpr-matchup-south-koreas-personal-information-protection-act/ (last visited May 18, 2019). 101 Dan Simmons, 5 Countries with GDPR-like Data Privacy Laws, CONFORTE INSIGHTS (Jan. 4, 2019), https://insights.comforte.com/5-countries-with-gdpr-like-data-privacy-laws.. 35. DOI:10.6814/NCCU202000503.