預付型商品之規範－以日本法為借鏡

歐盟個人資料保護委員會 （European Data Protection Board, EDPB）在徵詢公眾意見後，於今（2023）年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」（Guidelines 04/2022 on the calculation of administrative fines under the GDPR）。此一指引，旨在協調各國資料保護主管機關（Data Protection Authorities, DPAs）計算行政罰鍰的方法，以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」（Starting Point）。 時值我國於今（2023）年5月29日甫通過《個人資料保護法》之修法，將違反安全措施義務的行為提高裁罰數額至最高1500萬，金額之提高更需要一個明確且透明的定裁罰基準，因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟，說明如下： 1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時，應分別裁罰；而如以一行為因故意或過失違反數GDPR規定者，罰鍰總額不得超過最嚴重違規情事所定之數額（指引第三章）。 2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別，並界定不同級別的起算金額範圍，個案依照違反GDPR行為嚴重程度決定金額範圍後，尚需考量企業的營業額度以定其確切金額作為裁罰數額起點（指引第四章）。 3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額（指引第五章）。 4.針對各違反行為，參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額，而是對不同違反行為規範了裁罰最高額度上限，EDPB提醒，適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制（指引第六章）。 5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰，必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則，而予以相應調整裁罰額度，而如果有客觀證據表明裁罰金額可能危及企業的生存，可以考慮依據成員國法律減輕裁罰金額（指引第七章）。 EDPB重申其將不斷審查這些步驟與方法，其亦提醒上述所有步驟必須牢記，罰鍰並非簡單數學計算，裁罰金額的關鍵因素應取決具體個案實際情況。

美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》（Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有： 一、 適用對象：於明尼蘇達州內經營商業之營利組織（下簡稱企業或資料控制者），或生產製造商品、提供服務予該州居民之企業，且符合下列情形之一者： 1. 在前一年度控制或處理超過10萬筆消費者個人資料。 2. 控制或處理超過25,000筆消費者個人資料，且總營收超過百分之二十五係源自於銷售個人資料者。 3. 高等教育機構（postsecondary institutions）、非營利組織則自2029年7月31日起適用。 二、 消費者權利：賦予明尼蘇達州居民對個人資料的基本權利，且強調消費者不應因行使權利而受歧視。分別為： 1. 近用權：請求瀏覽企業對其所蒐集個人資料，但如導致企業商業機密洩露之虞者除外。 2. 修正權：請求企業修正不正確或不完整的個人資料。 3. 刪除權：請求企業刪除其個人資料。 4. 請求製給複製本：採取可便利取用格式，或資料可攜(Data Portability) 之方式。 5. 選擇退出權（opt out）：就個資利用行為，消費者得行使退出權： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料。 6. 取得企業揭露或提供個資利用之對象清單。 7. 消費者得向企業請求基於特定決策所作成剖析結果之原因，以及消費者未來得據以採取確保不同決策之作為。 三、 企業主要責任與義務： 1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外，尚須： （1） 依法回應當事人之請求：資料當事人向企業請求查詢、修改及刪除自己的資料，企業接到請求後，應於45天之期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 （2） 保存所有申訴與回覆之紀錄至少24個月；除此之外，企業須建立並採行合規政策，包括識別主要負責人，如：首席隱私長(Chief Privacy Officer)。 明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視，除了加強對消費者個人資料的保護，也賦予消費者的權利，使消費者不再屬於被動方，而能夠主動捍衛自己的個人資料隱私。

　　日本IT總合戰略本部於2019年3月18日公告提出「數位程序法案（デジタル手続法案）」，本法案係集結多部法律修正案之包裹法案，包含行政程序網路化法（行政手続オンライン化）、居民基本簿冊法（住民基本台帳法）、官方個人認證法（公的個人認証法）、及個人編號法（マイナンバー法）。該法案的目的，在於應用資通訊技術簡化行政運作並提高使用便利性，藉此增進行政效率，因此在相關法令中明文擬定行政數位化的基本原則，增修推動行政程序線上辦理的共通規定與配套措施，賦予行政機關應履行的各項法定義務，同時為落實各領域推展行政數位化的規劃，制定個別具體規範。 　　於制定行政數位化基本原則、與增訂推動行政程序線上辦理的共通規定與配套措施之部分，主要為修正原「行政程序網路化法」，更名為「數位行政推進法（デジタル行政推進法）」，定位該法目標與功能為促進社會整體數位化，使國家、地方公共團體、民間業者、國民與其他人於從事各種社會活動時，均能享受到資通訊技術帶來的便利性。該法要求的基本原則，包含數位優先（digital first， 藉由數位手段一體化完成各項手續或服務）、免去重複提供資訊（once only，曾提供的資訊得被保留供再次使用）以及一步到位（connected one-step，謀求複數的程序或服務簡化為一步到位）。至於推動行政程序線上辦理的共通規定與配套措施，則包含要求地方公共團體須致力於達成行政程序線上辦理的目標，授權主管機關訂定得辦理網路身分認證與支付手續費等數位化法定程序、要求行政機關提出實現行政程序線上辦理與廢除紙本附件流程的資訊系統整備計畫等。 　　另一方面，針對各領域推展行政數位化的具體規範，該法案預備修正「居民基本簿冊法」、「官方個人認證法」以及「個人編號法」，主要內容包含：1. 保存個人電子認證資訊等相關官方服務的適用對象擴及旅外國民，同時得發行旅外國民之官方個人認證之電子證明書與個人編號卡，使其得透過網路使用相關的行政電子化服務；2. 長期且確實保存本人過去的居住遷徙紀錄，增設住民票註銷後原有相關記錄仍予以保留的「除票」制度，使國民過去的居住地紀錄，不會因為變更戶籍、依法註銷原戶籍地的住民票而消失；3. 過去使用官方個人認證之電子證明書與個人編號卡時須輸入密碼，官方個人認證法修正案則授權主管機關增設其他不需輸入密碼的使用方式，以呼應擴大電子證明書使用範圍的政策規劃；4. 賦予個人編號IC卡（マイナンバーカード）作為獨立有效之身分證明文件的地位，廢止原依法需和個人編號IC卡併用的紙本通知卡（通知カード）制度，免去個人住所等基本資料變更時，需同步更正通知卡紙本登載資訊的行政程序，減輕主管機關負擔。