德國因應歐盟一般資料保護規則(GDPR)之通過,即將進行該國資料保護法(BDSG)修正
德國聯邦資訊技術,電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則(GDPR)內容為基礎,調整德國聯邦資料保護法(BDSG)之修法動向。
德國政府正在緊鑼密鼓地調整德國的資料保護立法,使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿,但修正方向略有以下幾點:
首先,德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防,調查,偵查等訴追刑事犯罪或執行刑事處罰目的,處理個人資料時的保護以及對資訊自由流通指令。
其次,新法將遵循GDPR的結構,並利用一些除外規定,如:在資料處理時企業應指派九人以上資料保護官(DPO)的義務。某些如通知當事人的義務規定,亦有可能在存有更高的利益前提下,限縮其履行範圍。此意味某些通知義務有可能得不適用,例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。
第三,聯邦法律將保留一些規定,如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款,以及在公眾開放地區使用電子光學裝置監視的條款等。
最後,立法修正動向值得注意的重點尚有,(1)未來德國立法者將如何應對新的歐洲資料保護委員會(EDPB)中德國代表的地位(represe。由於EDPB將發布具有約束力的決定,針對爭議內容的決定意見,德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官(17個)經常提出不同的見解。此外,(2)還應該觀察聯邦資料保護監察官是否應該賦予權限,向法院提出對歐盟爭議決定或法律救濟,使案件進入德國法院,以爭執歐盟執委會所為之決定是否具備充足理由。前此,德國聯邦參議院(代表十六邦)2016年5月已要求聯邦政府引進新規定,使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論,將來有可能提供德國資料保護監察官,挑戰隱私盾協議的可能性。但新法案是否會解決這一問題,這還有待觀察。
可預見在2017年9月下一屆德國聯邦議會選舉前,將通過法案。
本文為「經濟部產業技術司科技專案成果」
洪政緯
法律研究員 編譯整理
1. Konferenz diskutiert Umsetzung der EU-Datenschutzverordnung, https://www.bitkom.org/Presse/Presseinformation/Konferenz-diskutiert-Umsetzung-der-EU-Datenschutzverordnung.html (last visited Nov. 4, 2016)
2. News on the German Adaption of the General Data Protection Regulation, https://www.privacy-conference.com/news/news-german-adaption-general-data-protection-regulation (last visited Nov. 4, 2016)
2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。 在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策: 為簽訂或履行契約所必要; 歐盟或會員國法律所授權; 基於個人明示同意。 英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有: 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。 指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。
何謂日本拜杜法「事前承認制」?事前承認制為日本基於科研成果廣泛運用之目的,透過產業技術力強化法第19條的增修正式引入拜杜法制度後,針對政府資助研發成果移轉或授權予計畫外第三人的情形賦予委託機關與執行單位的義務。在日本拜杜法制度下,政府資助研發成果的相關專利權原則上得歸屬於執行單位,但考量到這些研發成果若移轉給未預備活用該些成果之人,將會造成由國家資金所衍生的科研成果難以被運用,從而無法達成促進成果運用的法目的,因此在該法第19條第4項增訂事前承認制。 依該制度,執行單位若欲讓與歸屬於執行單位之政府資助研發成果所涉及專利權給第三人,或將使用該些專利權的權利設定或移轉予第三人時,除了符合政令所定不妨礙專利權運用之情形外,委託機關須和執行單位約定為上開移轉等行為前,須先取得委託機關的同意。
瑞士聯邦委員會發布報告推進以數位自決權創建可信賴資料空間瑞士聯邦委員會於2022年3月30日,發布了一份關於推進可信的「資料空間」(Data Spaces)與「數位自決權」(Digital Self-Determination)報告。此份報告旨在強調資料是數位時代下創造價值的基礎,為了更好地運用資料的潛在價值,呼籲各界採用新的資料使用概念,加強資料所有者(Data Owner)或資料控管者(Data Controller)對於資料的控制,以「數位自決權」為核心,透過科學技術與法律制度,進一步為實踐「資料共享」(Data Sharing)提供一個安全、便捷、自主、開放、公平而值得信賴的「資料空間」。 值得注意的是,透過該報告,聯邦委員會指示聯邦外交部(FDFA)與聯邦環境、運輸、能源和通訊部(DETEC)實施多項措施,以期能在2023年6月份之前,制定一部由所有利害關係人參與的可信賴資料空間操作之自願行為準則。 此外,該報告列舉出當下對於充分發揮資料潛力所存在的障礙,包括: 資料愈趨集中於大企業手中,且多基於自身目的而使用。 私人和公共服務的提供者在資料的使用上存在多種障礙,例如:資源不足、缺乏專業知識以及擔心競爭劣勢。 社會對於資料的使用態度轉趨保守,無論是擔心資料被濫用而侵犯隱私,或是缺乏資料共享的動機。 該報告更進一步指出資料流通的跨國性,因而有必要創建值得信賴且國際兼容的資料空間,為此亦須建立可信賴資料空間的國際準則,以在國際間形成法律確定性。 觀諸我國個人資料保護法第1條便明確指出,本法制定的目的不僅是為了保護個人資料以及相應之人格權與隱私權,而是更進一步欲透過個人資料管理制度的建構與落實,健全社會及商業互信,以期達成資料的合理利用、創造價值並促進公共福祉的終極目標。 關於我國的資料共享體制,現階段主要從金融機構間開始萌芽,未來如何以數位自決權為基礎,同時在充分保障資訊安全的前提下,擴及其他產業並接軌國際,有賴更多科技與法制的創造與積累、外國經驗的借鑑以及國際參與,而台灣近日以創始會員身分加入「全球跨境隱私規則論壇」(Global Cross-Border Privacy Rules Forum)即為著例。