「是你的又不完全是你的 如何放心把它交給你」
主辦單位:新世代金融基金會
主 持 人:陳董事長冲
與 談 人:羅瑩雪(前法務部長)、范姜真媺(東海大學法律系教授)、許耀明(政大法律系教授)
時 間:107年5月23 日下午3 點
地 點:台北市內湖區行善路463號10樓
歐盟GDPR本周五正式實施,我國個資法應全面翻修
新世代金融基金會陳董事長冲在5月23 日邀請 羅瑩雪(前法務部長)、范姜真媺(東海大學法律系教授)、許耀明(政大法律系教授)等學者專家,從歐盟2016年制定,2016.5.24生效並於2018.5.25開始實施之「個人資料保護通則」(The General Data Protection Regulation , GDPR)之啓示,在數位化時代及金融科技快速發展下,經由社群媒體、雲端儲存運算、互聯網、大數據等快速滲透民眾日常生活並蒐集其生活資訊,對個人資料保護帶來新的議題與挑戰,檢視我國參考歐盟1995年「資料保護綱領指令」修正之現行個資法,認應有必要參考新版歐盟GDPR內容,全面翻修我國個資法,以因應國際趨勢。
本次研討會之重點在於1.有無必要設置負責個人資料保護單一機關 ,2.檢討我國個人資料之項目,訂定個人資料去識別化標準及如何防止去識別化資料恢復原狀,3.刪除權與被遺忘權不同,是否引進歐盟被遺忘權並應注意公益,4.當事人之推定同意是否維持並賦予撤回權,5.如何建立企業處理個人資料管理的保護規定(by Design)及設置專職單位管理資料保護長(DPO)之必要性,6.對於個資跨境國際傳輸是否改採原則禁止例外允許等。
本次研討會經各位與談人熱烈討論,尤其提及近日媒體報導國發會準備申請加入APEC之CBRP及申請評估列入歐盟符合個資保護適足之名單(白名單),事實上以日本為例,為推動兩項政策,不僅設置獨立專責機構(情報保護管理委員會),還修改個人情報公開保護法,以爭取歐盟列入白名單。最後主席綜整各位與談人有共識之十項建議,提供政府啓動修法之參考:
- 由日本情報保護委員會可知,獨立監管機關( Independent supervisory authorities)之設立,除可承擔訂定標準規範,亦有助於我國接軌國際社會,現行法甚至未設法律主管機關,亟應翻轉思考,修法設置獨立監管機關。
- 大數據運用對於企業及人民眾皆有利,但仍須保護個人資料,修法要在企業競爭力和社會利益中求取平衡。
- 特定個人識別性因有相對性,由歐盟on-line identifier(網路識別符號)及日本經驗顯示,我現行法第二條第一款的規定顯然不足,故應修法研擬認定基準。
- 去識別化後可否回復原狀,是值得探討的議題,應可參考日本的規定。
- 關於被遺忘權,應在公共利益和個人權利間尋求平衡,若契約純粹出於商業利益,應加強被遺忘權,反之公共利益為導向時可適當限縮(如性侵案件)。
- 現行個資法第七條對個資收集之同意,仍採推定同意,應修正同GDPR中的同意要件,出於自願、具體且明白的聲明,或清楚肯定的意思表示。另外,應增列撤回同意,並重視資訊不對等下表示同意的怪異現象。
- 條文中所稱”特定目的”應研擬標準,不含糊不概括,否則將喪失特定目的的立法意義。
- 要求未來的獨立監管機關,對於DPIA(隱私衝擊評估機制)、DPBD(隱私保護設計)及DPO(資料保護長)三項應有明確規範。
- 針對跨境資訊移轉,應重新檢視與國際趨勢漸行漸遠的個資法第21條立法意義(現行法律為原則不限制,例外才限制)。
- 現行社群媒體服務業及國際網路或App服務提供者(如line、FB等)很多,更應修法保護國內消費者個資,並配合新設之獨立監管機關,才能與國際跨境合作,落實保護,並應同時檢討privacy policy的引進與執行,以確保使用者在下載應用軟體時能獲得保障。