2018525日正式施行之歐盟一般資料保護規範,General Data Protection Regulation(GDPR),其最高達2千萬歐元或全球總營業額4%的罰鍰,使得大多數與網路零售、金融、航空運輸業等相關之行業,提供客戶服務雇用員工供應商或非營利組織與政府機構其成員來自歐盟成員國者,均受其影響。

  現行個人資料保護法第2條第1款中規範:個人資料指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。GDPR4條第1項尚包含透過網路IP瀏覽紀錄以直接或間接方式識別該個人之資料,並禁止處理與民族或種族來源、政治見解、宗教或哲學信仰或所屬工會相關之個人資料、得明確識別特定人之基因資料、生物特徵資料,以及個人之健康資料或性生活或性傾向資料,惟基於公共利益等例外情形時允許處理。

  符合歐盟標準之制度尚須具備以下要件:除個資保護範圍(個人識別性)之完整定義外,強化當事人自主之權其中包括(16「更正」、第17「刪除」、20「可攜」、21條「拒絕」、同意(現行我國個資法為推定同意)並強化告知規定及72小時內外洩通知),而44條原則禁止跨境傳輸(例外包含第45條基於充足程度保護決定之移轉、第46條基於企業已提供適當保護措施之移轉、經明確同意、需符合公益或必要性)

  又其中企業自主保護方式可經由第40條之行為守則(Codes of conduct)、第42條之認證(Certification)、第47條之拘束企業規則(Binding corporate rules)以及描述於第46條中之標準資料保護條款(standard data protection clauses),以有效實質控制該商業活動,此外強化企業責任內容包含第37條指定個資保護長(Data Protection OfficerDPO)、24條:個資保護設計與預設(Data protection by design and by defaultDPBD)35條:「資料保護衝擊評估」(Data Protection Impact AssessmentDPIA)並應將文件紀錄留存。

  政府除設立獨立監管機關外,針對匿名加工資料應有禁止還原或再識別之機制(GDPR第4條第5項),且應權衡利弊得失(例如被遺忘權與新聞自由之衝突)、對新創或小型企業造成之負擔(StreetlendGDPR而停止服務)等情形,修正現行法令以規範個人資料之蒐集、處理及利用,避免人格權受侵害,並促進個人資料之合理利用。

arrow
arrow
    創作者介紹
    創作者 Zoomlaw  的頭像
    Zoomlaw

    眾律國際法律事務所

    Zoomlaw 發表在 痞客邦 留言(0) 人氣()