主持人:陳 冲 (新世代金融基金會董事長)
與談人:羅瑩雪 (前法務部長)
范姜真媺 (東海大學法律系教授)
許耀明 (政大法律系教授)
地 點:新世代金融基金會
主持人致詞:
歐盟個資法將於兩天後生效,台灣個資法目前沒有主管資關,由先前臉書事件可看出個資保護之重要性。2014年,Whatsapp賣給臉書時,創辦人Jan Koum曾表示,保護個人資料是Whatsapp的DNA,而在臉書事件發生後,Jan宣布退出Whatsapp,是否與臉書資列外洩事件有關,令人好奇。
許耀明 (政大法律系教授)
- 在歐盟整合過程中,從商品、人員到資本整合,強調harmonization,而非unification,亦即仍重視各國的自主權。相較之前歐盟的法律多為Directive(強調原則性),此次歐盟個資法將法律層級提升為Regulation,即歐盟規定後,直接於各國生效,雖仍保留部分自主權,但法律效力明顯增強。在先前整合過程中,有許多方面是以「進階合作」作為進程,即部分國家先行示範,其他國家於日後跟進。
- 此次歐盟個資法有兩項值得思考的問題。
第一,即法律上的溢外效應問題:個資法打破屬地主義,凡針對歐盟境內人民從事的行為都適用此法,故境外企業等也會因商業行為而受到規範,如此的溢外效應讓人聯想到先前的碳排放交易指令(國際飛機於何地開始視為進入歐盟領空,開始計算碳排放量),對於境外企業造成的影響值得思考,處罰的法理基礎也需有先前的明確規範才能執行。
第二,當個資法執行後,勢必會有許多民間企業提供相關法遵的服務(例如顧問行業),這些民間企業的法律定位為何?企業所提供的服務是否需歐盟資格認證值得思考。
- 此次個資法中,網路上的識別符號(cookies等)可回推到個人資料的identifier,及描繪行為(profiling)去預測未來動向的個資,應有明確的定義。
- 在自動化決策部分,為了避免自動化決策的錯誤(如以個人過去的信用評等直接拒絕其申請的信用貸款),建議可設置解釋權(right to explanation)。
可增列資料攜取權(尤其針對網路購物商家及mail等,增加人民生活便利性)
- 同意要件部分,應增列「撤回」同意權。
- 台灣應設置專職單位。
范姜真媺 (東海大學法律系教授)
- 因應歐盟個資法,日本立即修法。日本將資料分為兩類,一類為敘述型資料,一類為符號資料(GPS, cookies,電話號碼等),為解決間接識別性認定上存在之灰色地帶。
- 日本設有獨立監督機關:情報保護委員會,該委員會之行政命令對於定符號是否為個人資料有三個判定標準:
1. 是否為1對1的符號---具備「一義性」
2. 符號是否可直接連結到特定自然人(approach)
3. 符號不可隨便變更----不可變性
由以上三項標準,日本判定保險證號碼、Mynumber碼為個人資料,但手機號碼(申辦者與使用者不一定為同人)、信用卡卡號、電子信箱不是個人資料(因可隨意變更)。
- 特定個人識別性是相對化的,會因為時代不同、技術不同而有變化(有些現在認為不具定識別性之資料,在日後可能因技術發展經由組合比對而得以識別特定個人。
- 日本的法律針對由誰判斷該資料是否為具特定個人識別性個之人資料,分為下列三種主張:
1.資料保有者(通常為資料蒐集者)→最多人主張之標準
2.資料提供的對象→但原提供人難以判定該被提供對象是否擁有將資料回復的技術
3.社會大眾→尤其針對新聞報導,社會大眾是否可藉由從報導中知道當時事人為何人,作判定是否為個人資料之標準
- 關於符號的匿名加工,日本有以下規範:(雙方戴口罩制度)
資料提供者須依法負有該當資料不得能回復原狀之義務,且須將匿名加工資料的項目、資料提供給誰等資訊公告於社會(過程透明化),受提供者,也須依法負不可回復原狀的責任。
關於資料去識別化,情報保護委員會有訂定最低標準,但各個組織仍可訂定更高標準,台灣應效仿日本。
- 關於被遺忘權,主要是為了保護當事人的名譽權及隱私權,將不合時宜不符當事人現況的資料刪除。我國若要增列此權利,可從個資法第5條及19條出發,但要件須更明確。
資料可攜權,台灣目前沒有,但有需要定明。
- 關於同意要件,台灣目前的推定同意太危險,應修正。在修正時,有兩點需要思考,第一是年齡的限制,是否要完全行為能力人才能行使同意?第二為資力不對等的同意,亦及資料當事人往往需要得到某種服務,而不得不同意提供個資,這樣的同意是否合理?(在韓國,電信業者若因客戶不願意提供完成通訊服務以外之個人資料而不提供電信服務,視為違法)
- 個資法中的特定目的應明確,太過概括會喪失特定目的的意義。
- 歐盟個資法中的DPIA,強調的是「事前」的防範風險事故之發生,日本情報保護委員會亦定有明確的DPIA規範,台灣應該有獨立監管機關,明確規範各機關蒐集資料前的隱私風險評估流程。另外,關於歐盟的DPO(資料保護長),日本主張參加國際隱私專家協會,可取得所提供之資格認定。
- 獨立監督機關的設立非常迫切,除了可訂定去識別化加工統一標準,也是可以代表台灣加入國際會議、加入國際組織的門檻,關於個資保護事務為一對外窗口。另外,台灣現行個資法也應有主管機關,主管機關須有專業知識人才。
- 最後提問兩點:
1. line等網路服務者應由誰來管理?
2. App的下載時,該廠商之privacy policy有何作用?
羅瑩雪 (前法務部長)
- 得以直接或間接方式識別個人資料的identifier應明確,因其牽涉到刑事問題。
- 被遺忘權仍存在諸多爭議,尤其是牽涉到公共利益和個人權利的衝突(例如,一個性侵害犯的歷史是否應該被消除?),立法的利益應該著重「不希望他人被不合理的傷害」,有時太過保護自己是否反而傷害自己?
- 個資法訂定時應包含免責規定,避免不確定的犯罪構成要件。(例如超商監視器的影片,若太過強調每個人的個資,媒體可能就不能撥放監視錄影帶)
- 同意要件部分,應增加撤回同意(當初同意有瑕疵時)及停止同意(針對往後的行為)。
- 台灣現缺乏目的事業主管機關可訂定行政命令,故應有主管機關,且由主管機關訂定辦法,可依企業類型、規模等訂定規範,對企業內部自主評估機制也可規範須包含之內容及專業人士的資格等,並將風險分級。但是立法上還是有些困難之處,例如先前所提,有些不重要的片段資料,透過與其他資料組合後可識別特定自然人,則是否應視為個人資料?
- 境外企業應納入管理
- 由日本情報保護委員會可知,獨立監管機關( Independent supervisory authorities)之設立,除可承擔訂定標準規範,亦有助於我國接軌國際社會,現行法甚至未設法律主管機關,亟應翻轉思考,修法設置獨立監管機關。
- 大數據運用對於企業及人民眾皆有利,但仍須保護個人資料,修法要在企業競爭力和社會利益中求取平衡。
- 特定個人識別性因有相對性,由歐盟on-line identifier(網路識別符號)及日本經驗顯示,我現行法第二條第一款的規定顯然不足,故應修法研擬認定基準。
- 去識別化後可否回復原狀,是值得探討的議題,應可參考日本的規定。
- 關於被遺忘權,應在公共利益和個人權利間尋求平衡,若契約純粹出於商業利益,應加強被遺忘權,反之公共利益為導向時可適當限縮(如性侵案件)。
- 現行個資法第七條對個資收集之同意,仍採推定同意,應修正同GDPR中的同意要件,出於自願、具體且明白的聲明,或清楚肯定的意思表示。另外,應增列撤回同意,並重視資訊不對等下表示同意的怪異現象。
- 條文中所稱”特定目的”應研擬標準,不含糊不概括,否則將喪失特定目的的立法意義。
- 要求未來的獨立監管機關,對於DPIA(隱私衝擊評估機制)、DPBD(隱私保護設計)及DPO(資料保護長)三項應有明確規範。
- 針對跨境資訊移轉,應重新檢視與國際趨勢漸行漸遠的個資法第21條立法意義(現行法律為原則不限制,例外才限制)。
- 現行社群媒體服務業及國際網路或App服務提供者(如line、FB等)很多,更應修法保護國內消費者個資,並配合新設之獨立監管機關,才能與國際跨境合作,落實保護,並應同時檢討privacy policy的引進與執行,以確保使用者在下載應用軟體時能獲得保障。
議程表
主辦單位:新世代金融基金會
主 持 人:陳董事長冲
與 談 人:羅瑩雪(前法務部長)、范姜真媺(東海大學法律系教授)、許耀明(政大法律系教授)
時 間:107年5月23 日下午3 點
地 點:台北市內湖區行善路463號10樓
一、背景
歐盟於1995年通過「資料保護綱領指令」後,持續針對資料保護做出改革,為強化歐盟公民的基本人權、降低企業遵循法規的行政成本及鼓勵企業創新技術,於2016年制定「個人資料保護法規」(The General Data Protection Regulation , GDPR),2016.5.24生效並於2018.5.25日開始實施,內容提出多項因應數位化時代的規定,例如納入IP、cookies可間接辨識特定自然人特徵、個人資料攜取權等,並提高罰款上限,全面提升資料保護強度。
鑑於近年來政府力倡普惠金融,金融科技快速發展,經由社群媒體、雲端計算、互聯網、大數據等快速滲透民眾日常生活並蒐集其生活資訊,對個人資料保護帶來新的議題與挑戰。然國內個資法於2015年修法,或將病例列為敏感個資,並放寬表達同意形式不限於書面,增加當事人資料自主權,但對於因應數位化時代的來臨,仍未及適時再度修正個資法,以更完善維護民眾個人資料的基本權利。
我國於1995年制定電腦處理個人資料保護法公布實施,後於2010年擴大個人資料保護範圍並修正名稱為個人資料保護法。行政院復於2012年8月30日通過個人資料保護法修正草案,送請立法院審議,時任陳院長在院會中指出,本法參考1995年歐盟個人資料保護指令內容制定,規範事項應配合整體個人資料保護趨勢及產業發展需要與時俱進,請法務部於施行一年後,檢視執行狀況,並參考新興科技、自動化處理、網際網路等服務技術、歐美等國最新個人資料保護修法趨勢及各界意見,再做進一步檢討。後於2015年12月修正公布並於2016年3月15日實施。
二、討論題綱
本次研討會旨在借鏡歐盟個人資料法規(GDPR),檢視我國個資法,在數位化時代是否有值得參考之處,如何保障個人的資料自主權,藉以建立值得信任的網路交易商業環境及社群網路活動。又GDPR擴大適用對象包含境外企業對歐盟提供商品或服務而接觸到歐盟公民個人資料時,亦需遵循,我國企業也應有因應措施,希望透過本次研討會探尋我國個人資料保護法是否有需加強的建議。
(一) 自然人資料保護
- 數位化時代下個人資料之保護範圍,透過「其他得以直接或間接方式識別該個人之資料」(個資法第2條第1款)是否足夠及明確
- 我國當事人有查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用,及請求刪除等權利(個資法第3條),是否足以涵蓋歐盟的基本權利 (被遺忘權、資料攜取權、反對權、自動化決策話語權)?
- 歐盟個資法規,企業在公共利益下得拒絕當事人被遺忘權之行使,我國個資法並未有此規定,是否需要訂定何種權利(是否僅限刪除權),得在何種公共利益條件(類似個資法第11條第3項個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限)下,限制當事人權利的行使?
- 我國當事人之同意權,在一定條件下之特定目的範圍內仍承認推定同意(個資法第7條),有必要維持?,歐盟個資法規(第17條)有當事人撤銷同意規定,我國並未規定,是否可依民法撤銷及如何撤銷同意,倘如撤銷同意後,企業對於該當事人個人資料如何處置?
(二) 企業管理個人資料機制
- 歐盟企業處理個人資料應先檢視是否具有合法利益(legitimate interests),如不具有合法利益應即不得處理個人資料,我國個資法例如第5條、第19條、第20條,以特定目的為核心基礎,透過當事人同意或其他法定理由,取得其處理之合法基礎,如何建立企業內部自主評估機制?
- 我國個資法第27條雖規定得指定企業訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,惟仍欠缺有關企業對所處理的個人資料管理的規定,例如應建立風險基礎準則,依個資之重要性,設置較高規範的資料電腦保護機制,及設置專職單位管理資料保護長(DPO)之必要性,對於個資傳輸移動之保護,尤其從事跨境資料傳輸之資料保護影響評估機制等
(三) 有無必要設置負責個人資料保護單一機關,及境外企業對我國提供商品或服務是否納入適用對象