欧盟即将在 5 月 25 日开始施行 General Data Protection Regulation (GDPR, 一般资料保护规范),引起不少在欧盟有生意的公司相当紧张。网络巨人也被迫要调整资料处理,免得一不小心被罚营业额 4%的罚锾。上周五台湾人权促进会在立法院与法律专家开办论坛,大数据时代下的隐私保护:从欧盟GDPR反思我国个资法,与会专家指不必太害怕号称史上最严个资法规的 GDPR,其实政府应该好好调整个资法,不只要符合 GDPR,而是要纳入近年比较新潮的开放资料与大数据的概念,而不是遇到之后才由主管机关做个案解释。
政治大学法律系刘定基副教授说,台湾个资法因各个机关都是权责机关,并没有负责个资法的专员。相比之下,欧盟的 GDPR 是真的被执行而且会罚公司全球 4% 营业额的罚锾,才在媒体被夸大。趁欧盟 GDPR 即将上路的时候,台湾也该改个资法,个资法全盘修法,不要只针对 GDPR 被迫因应冲击,而是落实个资法的规定。
台湾个资法在 2015 年修订之前,曾要求业者需书面取得个人同意,这在欧盟的 GDPR 条文并未见过,所以称 GDPR 为史上最严个资法并不公允。台湾的个资法就法条而论其实相当严格,但问题出在台湾个资法权责分散,并未落实。
▲ 欧盟 GDPR 规定有资料外泄时,72 小时要通报监管机关。(Source:科技新报)
现在的科技趋势下面,我们常在使用的手机以及 App,常会要求使用者勾选同意服务。刘老师指依据 GDPR 的规定,禁止捆绑条款,像是 App 中常出现的包裹式同意方式,并不会被 GDPR 接受,需要调整取得使用者同意的机制。另外同意与彻回应当同样方便,而不是现在同意很容易,但是要彻回相当不方便。
▲ 欧盟 GDPR 规定需针对资料设立独立监管机关。(Source:科技新报)
执业律师,达芬奇个资暨高科技法律事务所所长叶奇鑫问在场人一个问题,车牌号码或是电话号码算不算是个资?各位可以好好想想,在台湾如果依据判例,并没有办法说出很明确的是或不是。在台湾实际的法院判决状况,依据能不能间接推断个人资料,有些判例被判有关,有些判例被判没关。
▲ 台湾在法庭实务上,对车牌号码是否为个资见解不同。
叶律师继续解释电话号码属不属于个资的问题。通常我们注册服务时会提供自己电话号码,这部分没什么太大问题,但如果提供别人的电话号码,那就有大问题了。现在很多网站的交友推荐系统利用个人手机通讯录的资料,来比对既有使用者是否有你认识的人。
那么台湾企业或是政府需要担心 GDPR 吗?与会的执业律师,以及学校法学授授表示,与其担心 GDPR 造成公司全球营收 4% 的罚锾,更该注意的部分是好好落实台湾的个资法,设立专门的个资法主管机关,配署专责人力,才能改。另外也该纳入大数据、开放资料的概念进来。政府该订定假名化、昵名化、去识别化的流程,全面保护人民的资料。
GDPR 也考虑到资料在地化问题,一般集权国家一定要求资料在地化,避免国家公权力没办法掌握的状况。而一般国家考量遇到纠纷,资料常遇到跨境传输的状况,国民如遇到问题,政府如何主张行使网络管辖权。台湾的个资法在翻修时,该考虑适度主张网络管辖权。