文章分類Article

我國個資法與 GDPR之比較/稅務律師,台北稅務律師,大安區稅務律師

我國個資法與 GDPR 皆來自OECD個人資料保護八大原則,故二者具有相似之處。GDPR 第 7 章「合作及一致性」、第 10 章「授權法及施行法」、第 11 章「最終條款」,屬歐盟會員國之間合作機制與施行安排規定,本具有特殊性,而我國僅為國內法性質,似無適用之餘地。又 GDPR 第 6 章「獨立監管機關」及第 9 章「特殊處理情況之規範」,我國個資法亦無此專章項目。我國個資法與GDPR之比較(表三),整理如下 :

 

表三 我國個資法與GDPR之比較

 

GDPR

我國個資法

一、規範對象與適用地域範圍

歐盟境外企業對於歐盟境內當事人提供商品、服務或監控其於歐盟境內行為,該個資處理活動仍適用 GDPR 。

我國公務及非公務機關,不論在境內或境外對我國人民個資之蒐集、處理及利用,亦適用我國個資法。

二、個人資料之定義

• 一般:得以直接或間接方式識別當事人之任何資訊,包括透過網路 IP、瀏覽紀錄產生之數位軌跡並得追蹤識別特定當事人之身分。

• 特種:揭露人種、血統、政治意見、宗教、哲學信仰、工會身分、基因、生物特徵、健康相關、性生活與性傾向之資料。

• 刑事:前科與犯罪紀錄。

• 一般:得以直接或間接方式識別個人之資料。

• 特種:病歷、醫療、基因、性生活、健康檢查及犯罪前科等。

三、個資處理原則

應符合合法性、公平性及透明度、利用目的限制、資料最少蒐集、正確性、儲存限制、完整性與保密性等處理原則。

應依誠實及信用方法,不得逾越特定目的之必要範圍,並應與蒐集之目的具正當合理關聯。

四、當事人權利:(一)資料刪除權(被遺忘權)

當事人權利包含受告知權、查閱權、更正權、刪除權、制限處理權、資料可攜權、異議權、自動化數位剖析許可權,其中第 17 條規範個人資料當事人有特定情事者,得請求資料管理者及處理者刪除連結。

第 3 條及第 11 條賦予個人資料當事人於蒐集之特定目的消失或期限屆滿時,得請求資料保有者刪除其個人資料的權利。

(二)以可共同操作之格式提供資料(資料可攜權)

 

GDPR 第 20 條規範資料當事人於特定情形,有權要求以結構的、通常使用的、機器可讀的形式,接收其提供予管理者之資料,並有權將之傳輸給其他管理者。依此,未來網際網路資料服務業者應提供使用者可將所儲存之個人資料以通用格式存取,並提供給其他業者之服務。

我國個資法並無相關規範。

(三)自動化數位剖析許可權

資料主體應有權不受僅基於自動化處理(包括數位剖

析)所做成而對其產生法律效果或類似之重大影響之決策所拘束。

我國個資法並無相關規範。

五、資料管理者之義務

1. 資料保護評估(Data Protection Impact Assessment, DPIA):

第 35 條規範於特別使用新科技之處理方式,且考量該處理之本質、範圍、使用情形及目的後,認為該處理可能導致自然人之權利及自由的高度風險時,控管者應於處理前,實行該處理對於個人資料保護之影響評估。

2. 資料保護長(Data protection officer, DPO):

第 37 條規範有下列情形之一者,管理者及處理者應指定資料保護長:

a.除法院行使其司法權外,公務機關或機構。

b.管理者或處理者之核心活動,包括依其本質、範圍及/或其目的,需要定期且系統性地大規模監控資料主體。

c.管理者或處理者之核心活動,涉及大規模處理特種個人資料。

第 6 條第 1 項但書第 2 款及第 5 款所稱適當安全維護措施、第 18條所稱安全維護事項、第 19 條第 1 項第 2 款及第 27 條第 1 項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。

而上開措施,依個資法施行細則第 12 條第 2 項規定,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。上開個資法及其施行細則規定,已就公務機關及非公務機關得採取之安全維護措施之程序及內容為例示規範,而各中央目的事業主管機關並可將上開安全維護措施項目列為例行性業務檢查之項目。

六、主管及監督機關

至少一個獨立公務機關,監督 GDPR 之適用:

第 51 條規範各會員國除法院及司法權外應設立至少一個獨立公務機關,監督 GDPR 之適用。

 

 

分散式管理制度,各中央目的事業主管機關執行檢查、

糾正、裁罰權:

個人資料保護之行政管理採分散式管理,由非公務機關之中央目的事業主管機關執行下列權限,以確保個人資料保護制度之執行:

1.國際傳輸之例外禁止(個資法第 21 條)。

2.行政檢查權(個資法第 22 條)。

3.糾正權(個資法第 25 條)。

4.指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,並授權由中央目的事業主管機關訂定辦法(個資法第 27 條第 2 項、第 3 項)。

5.行政裁罰權(個資法第 47 條至第 50 條)。

七、跨境傳輸

 

原則禁止、例外允許。

就歐盟境內之個人資料原則禁止跨境傳輸至歐盟以外之地區或國家,須符合下列情形之一者,方得為之:

(一) 適足性認定(GDPR 第 45 條規定)。

(二)未經適足性認定,應有適切安全管理措施(GDPR 第 46 條規定)。

1.採用標準契約條款(Standard Contractual Clauses, SCC)、監督機關承認之契約條款、遵循行為守

則、取得驗證。

2. 採用拘束的企業準則(Binding Corporate Rules, BCR)(GDPR 第 47 條規定)

(三)無適切安全管理措施時之例外措施(GDPR 第 49 條規定),例如:明示的本人同意、本人於契約履行必要場合、公共利益、本人重大利益保護等。

原則允許、例外禁止。

第 21 條就我國個人資料跨境傳輸至境外,雖原則上不禁止,惟非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之,亦得防止我國人之個人資料不當國際傳輸:

1.涉及國家重大利益。

2.國際條約或協定有特別規定。

3.接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。

4.以迂迴方法向第三國(地區)傳輸個人資料規避本法。

八、損害賠償救濟與行政裁罰規範

一、民事責任(GDPR第82條規定)

因違反本規則而遭受物質上或非物質上之損害時,任何人應有權利自控管者或處理者就其損害獲得賠償。

二、行政裁罰(GDPR第83條規定)

違反 GDPR 規範者,最高得處以 2,000 萬歐元或其年度總營收 4%之罰鍰,適用對象限於企業,未針對自然人或公務機關之違反行為制定處罰規範,而係委由各會員國自行訂定有效、適當且具懲戒性的罰則。

一、民事責任

1.公務機關或非公務機關違反我國《個資法》規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。

2.以每人每一事件新臺幣 500 元以上 2 萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件,原則上合計最高總額以新臺幣 2 億元為限。

二、行政裁罰(僅限對非公務機關)

非公務機關違反個資法規定者,中央目的事業主管機關或直轄市、縣(市)政府得按次處新臺幣 2 萬元以上,20 萬元以下;或 5 萬元以上,50 萬元之罰鍰 (個資法第 47 條至第 49 條參照)。惟我國個資法第 41 條及第 42 條另定有刑事責任,併予敘明。

企業責任

•個資保護影響評估。

• 指定個資保護長。

• 文件紀錄。

• 知悉個資侵害事故 72 小時內通報與通知。

• 個資保護之設計及預設。

•個資風險評估。

• 配置管理人員。

• 使用紀錄及軌跡資料與證據保存。

• 事故通報及應變機制。

• 設備安全管理。

 

個人資料保護法的精神與要求,在於個人資料的蒐集、處理或利用的過程中,如何去確保個人隱私和個人資料安全。個人資料的揭露與否,必須尊重當事人的權益並獲得其同意,以免因侵犯個人的隱私而造成人格的受損,謹記只要有蒐集的行為,就必須有告知的義務。個人資料於蒐集時其目的即應明確化,其後的利用亦應與蒐集目的相符合,於目的變更後亦應明確化,個人資料的利用,除符合法定要件外,不得為特定目的以外的利用。同時應採取適當的安全維護措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,以確保個人資料安全。

TOP