歐盟GDPR保護適足性審核與因應作為
歐盟GDPR保護適足性審核與因應作為
資訊工業策進會科技法律研究所
法律研究員 吳柏凭
2018年04月10日
壹、事件摘要
歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1],對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速,網際網路與各項應用興起,既有歐盟個人資料保護指令面對這些變化已經難以為繼,歐盟執委會(European Commission) 出新的資料保護規則(General Data Protection Regulation, GDPR),於2016年4月27日通過,5月4日公布,正式成為歐盟第2016/679號規則(Regulation (EU) 2016/679)[2]。由於歐盟原則上禁止個人資料跨境傳輸,只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸,因此如何獲得歐盟保護適足性認可,就成為能否跨境傳輸歐盟個資的關鍵。
貳、重點說明
一、個人資料保護指令保護適足性審查規定
1995年的個人資料保護指令,就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中,對於保護適足性的審查,包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等,透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準,則依照第29條規定資料保護工作小組(Article 29 Data Protection Working Party)的指導文件[5],其中對於法律規範審查,除了內容外,更重視個資保護的執行面。
二、GDPR保護適足性審查規定
GDPR延續了個人資料保護指令的規定,原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定,適足性的評估包括以下要素:
- 法治、對人權與基本自由之尊重、一般與部門之相關立法,包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。
- 有一個或以上獨立監管機關之存在及有效運作,或對象為國際組織時,確保及執行資料保護規則之遵守,包括充足之執行權,以協助及建議資料主體行使其權利,並與會員國之監管機關合作;
- 個人資料向其他第三國或國際組織進一步移轉,該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟;第三國或國際組織所加入之國際協定,或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務,尤其關於個人資料保護者。
以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化,同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定,填補原本個人資料保護指令的漏洞。
三、保護適足性認可程序與現況
保護適足性認可的程序[7]為:
- 來自歐盟執委會的提案。
- 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。
- 得到歐盟各國代表的承認。
- 歐盟執委會合意認可。
縱然取得認可,之後也會每四年檢驗一次[8],如果被判定不具保護適足性,則仍會取消原本的認可[9]。
現階段已通過保護適足性審核的國家地區包括:安道爾、阿根廷、加拿大(民間機構)、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭,另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。
參、事件評析
(一)保護適足性認可的效益
除了取得適足性認可外,個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC);2.拘束企業準則(Binding Corporate Rules, BCR);或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本,減輕企業負擔,同時也有助於整體產業突破歐盟貿易壁壘。
(二)通過保護適足性審核的困難
雖然現行通過適足性審核的國家地區有11個,惟需注意的是,根西島、馬恩島、以及澤西島都是英國屬地,法羅群島是丹麥屬地,而安道爾和瑞士都是在歐洲境內,這些國家地區的法規範本來就與歐盟差距不大,加上美國及加拿大國家本身不被認可具適足性,實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間,因此也不能作為短期的因應措施。
此外,在要件方面,規範上雖然我國個資保護規範與GDPR未有極大歧異,但只要存有差異,要取得認可就有極高困難度,這些都需要與歐盟執委會溝通。而在監管機關要求方面,雖然沒有要求單一機關,但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準,但在歐盟法院判決中,有因為德國的州對州層級的資料監管機關進行調查的權力,而被認為不具獨立性[11]。
(三)通過適足性審核的具體作為
以日本為例,為了取得歐盟適足性認可,在2015年9月就其個人資料保護法(個人情報保護法)進行修正,其中設立個人資料保護委員會(個人情報保護委員会)即是為了符合適足性要求中「獨立監管機關」規定,而第24條跨境傳輸的規定更是重要。
日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12],同時在2017年發出共同聲明[13]。在不修正法律的狀況下,日本個人資料保護委員會頒布一指導方針來消除差異,並於於2018年2月9日先揭示調適方向[14],包括:
- 將歐盟視為敏感性個人資料而日本未明文規定者,解釋上一律視為敏感性個人資料。
- 歐盟不管個人資料保管期間,一律可以主張權利,而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資,不管保管期限一律許其主張權利。
- 對歐盟跨境傳輸的個資將要求揭露特定利用目的。
- 對於歐盟跨境傳輸的個資再移轉,必需要透過契約等規制,確保資料受保護水準。
- 關於歐盟跨境傳輸的個資,在去識別化一定要確認無法再識別,以與歐盟去識別化資料定義相符。
肆、結語
歐盟GDPR已施行在即,如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰,更是跨越歐盟貿易壁壘的重要關鍵,而在眾多例外許可跨境傳輸的方法中,又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高,但仍有許多能努力的空間,目前我國也著手申請適足性認可的準備,未來能得到何種程度的回應,值得後續觀察。
[1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data.
[2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018).
[3] Data Protection Directive, art. 25(1).
[4] Data Protection Directive, art. 25(2).
[5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998.
[6] General Data Protection Regulation, art. 45.
[7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018).
[8] General Data Protection Regulation, art. 45(3).
[9] General Data Protection Regulation, art. 45(5).
[10] General Data Protection Regulation, art. 46.
[11]European Commission v. Federal Republic of Germany(C-518/07).
[12]個人情報保護委員会,個人情報保護委員会の国際的な取組について,https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018).
[13]JETRO,個人データ保護の「十分性認可」取得の好機に-日EU首脳が共同声明-,https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018).
[14]個人情報保護委員会,EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ,https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
吳柏凭
法律研究員 編譯整理
美國政府在2015年9月14日發布,將投入超過1.6億美元(約台幣50億元)於新的「智慧城市計畫」(Smart Cities Initiative)。透過中央政府的研究,以及全美國超過二十個城市的合作,來共同著手城市主要面臨的問題,包含:減緩交通阻塞、對抗犯罪問題、促進經濟成長、對於氣候變遷影響的管理、改善城市服務的遞送問題等。此戰略主要有四個策略方案:(一)創造「智慧聯網」應用的試驗平台,並發展新的多部門合作模式;(二)致力於城市科技相關的活動,並打造城市之間的合作;(三)善用現有的中央政府資源;(四)追求國際間合作。 而在十月份,美國白宮公佈由國家經濟委員會(National Economic Council)與國家科學與技術政策辦公室(Office of Science and Technology Policy)共同完成的「美國創新戰略」(A Strategy for American Innovation)中,明確地指出美國國家的突破重點領域為:解決國家及全球性的挑戰(Tackling Grand Challenges)、精密醫療、健康照護、先進的運輸工具、智慧城市、乾淨能源與能源效率、教育科技等面向。此戰略報告係延續美國白宮於2011年,由相同組織單位所完成的「美國創新戰略-確保經濟發展與繁榮」(A Strategy for American Innovation – Securing Our Economic Growth and Prosperity),其中列舉出國家的目標政策為:能源改革、生物科技、太空探索、醫療健康與教育科技。相較下,十月份甫公佈的美國「創新戰略」則更明確的將「智慧城市」之發展設為重點政策。 美國政府將投入協助芝加哥(Chicago)「科技計畫」(Tech Plan)中的子計畫-「城市感測器專案」(Array of Things, AoT),發展當地下一代智慧聯網的基礎設施,包括運用內建Wi-Fi的感測器裝置路燈,使其能夠有照明的基本功能外,還能蒐集諸如人潮流量、天氣、濕度、空氣品質、亮度、聲音大小等數據。 在此戰略推動之下,美國主要之智慧城市發展的實例,如匹茲堡(Pittsburgh)的前導計畫(pilot project),係藉由交通網絡之間的交通號誌整合,得以優化地區性的交通吞吐量,讓平均降低將近百分之二十五的交通時間。另外,在肯塔基州(Kentucky)的最大城市-路易斯維爾(Louisville),利用具有感測功能之哮喘吸入器所蒐集的資料,統整出哮喘發生的「熱點」,以及空氣品質等級等其他環境因素,作為該州政府政策制定參考依據。
FAA公告禁止無人機於美國主要旅遊景點內飛行根據美國國家安全執法機構(US national security and law enforcement agencies)之要求,美國聯邦航空總署(Federal Aviation Administration,以下簡稱FAA)於2017年9月28日,依照聯邦法規(Code of Federal Regulations)第99.7條規定,發布無人機飛行規則,禁止任何人於多個旅遊地點邊界範圍400英尺內飛行無人機。美國聯邦調查局(FBI)局長Christopher Wray表示,「擔心恐怖分子會使用無人機進行攻擊。」 從FAA的公告中,禁止無人機飛行之限航區係由FAA和內政部(Department of the Interior,以下簡稱DOI)共同指定,包括:紐約自由女神像(Statue of Liberty National Monument)、波士頓國家歷史公園(Boston National Historical Park)、費城獨立國家歷史公園(Independence National Historical Park)、加州福爾索姆水壩(Folsom Dam)、亞利桑那州格倫峽谷大壩(Glen Canyon Dam)、華盛頓州大古力大壩(Grand Coulee Dam)、內華達州胡佛水壩(Hoover Dam)、密蘇里州傑弗遜國家擴張紀念公園(Jefferson National Expansion Memorial)、南達科他州拉什莫爾山國家紀念公園(Mount Rushmore National Memorial)、加州沙斯塔壩(Shasta Dam)。以上具體位置皆屬DOI管轄地區,也是FAA第一次將無人機之空域限制規定於DOI地標上,目前FAA仍對軍事基地進行類似空域限制。 限制無人機飛行之規則將於2017年10月5日生效,違反空域限制者,將採取法律行動,包含民事處罰和刑事追訴。只有少數例外情形,允許無人機在限制區內飛行,且必須和個別場所或FAA進行協調。FAA表示,正依聯邦法規第99.7條配合考慮其他聯邦機構對於無人機之其他限制要求。
美國對於智慧聯網 IoT 環境隱私保障展開立法工作有鑒於智慧聯網IoT環境下,許多智慧型手持裝置及行動通訊裝置,大量蒐集消費者資訊之隱私權暨資訊安全考量,美國國會於2013年5月10日提出「應用軟體隱私暨資訊安全保護法草案」(Application Privacy, Protection, and Security Act of 2013, APPS Act of 2013, H.R. 1913)進行審議。「應用軟體隱私暨資訊安全保護法草案」草案針對應用軟體(Application)在蒐集消費者資訊前,如何落實「同意」機制,乃強制行動通訊裝置應用軟體開發商(developer)應:(1)提供使用者個人資料蒐集、使用、儲存及公開之通知(notice),而該通知含括所蒐集個人資料之種類、使用目的、有償公開第三者之類別及資料儲存等;(2)取得使用者之同意(consent);消費者依據該草案亦有權撤銷其「同意」(withdrawal of consent)。此外,草案乃強制要求該行動通訊裝置應用軟體開發商,就非法近取之個人資料及經去識別化應用軟體蒐集之個人資料,應採取合理及適當之防衛措施(security measures on personal data and de-identified data)。 並且,針對網路環境下隱私權保護議題,更早之前,美國國會於2013年2月28日提出「線上禁止追蹤法草案」(Do-Not-Track Online Act of 2013) 進行審議。「線上禁止追蹤法草案」草案乃要求聯邦貿易委員會(FTC),就透過個人線上活動追蹤,以蒐集、使用個人資料之行為態樣,進行管制。該管制模式謹據以要求如下:(1)被搜集資料個人應收到簡單、明確、並載明資料使用目的之通知(clear, conspicuous and accurate notice and use of such information),而個人就該通知應予明白之同意(affirmative consent);(2)FTC未來在訂定標準規範時,應(shall)考量所被搜集之資料,是否在匿(隱)名基礎上處理之,遂該資料無法有效被聯結(指認)到特定個人或裝置上;此外,消費者當享有資料不被蒐集的權利(expressed preference by individual not to have personal information collected)。該草案並就違反之個人,設定最高15,000,000美元損害賠償規定。
當個人隱私遇上公共利益--從個資法角度談市長候選人病歷外洩事件