歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引
因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或譯為一般資料保護規則,下簡稱GDPR)執法之需,針對個人資料合法處理要件之一當事人「同意」,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年4月10日修正通過「當事人同意指引」(Guidelines on consent under Regulation 2016/679),其中就有效同意之要件、具體明確性、告知、獲得明確同意,獲有效同意之附加條件、同意與GDPR第6條所定其他法定要件之競合、兒少等其他GDPR特別關切領域,以及依據指令(95/46/EC)所取得之當事人同意等,均設有詳盡說明與事例。
GDPR第4條第11項規定個人資料當事人之同意須自由為之、明確、被告知,及透過聲明或明確贊成之行為,就與其個人資料蒐集、處理或利用有關之事項清楚地表明其意願(unambiguous indication)並表示同意。殊值注意的是,如果控制者選擇依據當事人同意為任何部分處理之合法要件,須充分慎重為之,並在當事人撤回其同意時,即停止該部分之處理。如表明將依據當事人同意進行資料之處理,但實質上卻附麗於其他法律依據,對當事人而言即顯係重大不公平。
換言之,控制者一旦選擇當事人同意為合法處理要件,即不能捨同意而就其他合法處理的基礎。例如,在當事人同意之有效性產生瑕疵時,亦不允許溯及援引「利用合法利益」(utilise the legitimate interest)為處理之正當化基礎。蓋控制者在蒐集個人資料之時,即應揭露其所依據之法定要件,故必須在蒐集前即決定其據以蒐集之合法要件為何。
李哲明
專案經理 編譯整理
Guidelines on Consent under Regulation 2016/679 (wp259rev.01) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051(last visited:May 25, 2018)
GDPR consent guidance https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/gdpr-consent-guidance/ (last visited:May 25, 2018)GDPR consent guidance
英國資訊委員辦公室(Information Commissioner’s Office,簡稱 ICO)在2013年聖誕節前夕,呼籲消費者在聖誕節或其他重要節日使用行動裝置下載app應用程式時,需特別注意個人資料之保護,以防止遭受惡意攻擊而導致個人資料外洩。因為根據相關資料顯示,光是2012年聖誕節當天,即有32億8000萬個app應用程式被消費者下載使用。從ICO公布的ㄧ項調查結果中發現,有62%的app使用者,關心app供應商會透過何種方式使用他們的個人資料;此外,有49%的app使用者,會因為隱私權問題而拒絕下載使用app應用程式。 為提升消費者個人資料保護意識,降低個資外洩事件發生,並促進app產業於當地之發展,ICO提供下列5項使用要點:1.只下載官方或備受信賴app商店所提供之app應用程式,盡量避免使用來源不明之app應用程式;2.下載app應用程式前,應詳細閱讀該app所公告之相關資訊,並確認願意提供相關資料作為後續可能之使用;3.養成定期移除不需要之app應用程式的好習慣,降低資料外洩可能;4建議安裝手機防毒軟體或相關程式,協助並確保手機之安全性;5.於手機轉售、丟棄或回收之前,將手機恢復成「原廠設定」之狀態,以確保手機不會留下任何個人相關之資訊。ICO期以透過使用要點之提供,協助消費者於享受app應用程式之樂趣時,仍能確保個人資料行蹤之掌握,以達個人資料之保護。
歐盟認可紐西蘭已提供相當於歐盟保護層級之個人資料保護在2012年12月19日,歐盟執委會宣布一項決議,該決議認可紐西蘭為已提供相當於歐盟保護層級之個人資料保護的國家;根據1995年歐盟個人資料保護指令(EU Data Protection Directive of 1995),此決議將使位於歐盟會員國(目前為27國)的事業,可以不必採取額外的防護措施,即可將個人資料自歐盟會員國傳輸到紐西蘭。 根據歐盟個人資料保護指令,個人資料不許被傳輸至歐盟會員國以外的國家,除非這些國家被歐盟執委會認可為,已提供相當於歐盟保護層級的個人資料保護;或此些國家對上述傳輸已採取額外的防護措施,例如已取得當事人之同意,或已於相關契約內附有經歐盟認可之個人資料保護相關契約條款。歐洲經濟區(EuropeanEconomic Area;簡稱EEA)內的另三個國家,亦即挪威、冰島、列支敦士登,亦因EEA條約(Agreement on the European Economic Area)之約束,而須遵行個人資料保護指令。 由於上述認可的過程相當嚴格而繁複,目前已取得歐盟執委會上述認可的非歐洲國家,除了紐西蘭之外,僅有例如,加拿大、阿根廷、以色列、澳洲等少數國家;至於歐洲國家亦僅有例如瑞士、安道爾等數國。
Airbnb針對紐約新短期租賃法規進行訴訟紐約市政府於2018年8月通過「短期租賃規則」(Regulation of Short-term Residential Rentals)。該規則將於通過後180天生效適用,強制要求平台業者必須定期提供下列數據報告給紐約市政府: 在交易中住房的地址,須包括街道名稱、公寓或單位號碼、鄉鎮及郵遞區號。 短租房東的地址、電話及email、網頁地址、姓名及該平台的房東數量。 廣告的個別名稱及網頁地址。 關於短期租賃的說明:註明出租的是整間公寓還是單一房間。 該建築透過訂房網站提供短期租賃之天數。 短期租賃的所有費用。 若該平台代收租金費用,則需提供費用明細。 若相關平台業者未提交報告,則須面臨1,500美元以下之罰鍰。目前紐約市是Airbnb在美國最大的市場,該項規則的通過及生效勢必會對Airbnb造成相當大的影響及成本負擔。因此Airbnb在該規則通過後不久,旋即向法院提起訴訟,聲稱該規範違反了平台用戶之隱私權及美國憲法第一及第四修正案所保障之權利。 紐約市政府方面則作出回應,這項規則可協助政府取得保護住房安全所需的關鍵資訊,並保證遊客及租賃者之安全,同時並打擊非法的短期出租。而該規則也顯示紐約政府對於短期日租套房之服務將趨向保守的態度。
澳洲個人資料洩漏計畫將於二月施行澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。 根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。 NBD計畫主要內容如下: 一 、規範對象: 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。 若數機構共享個人資料,則該告知義務由各機構自行分配責任。 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。 二 、個資洩露之認定: 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。 個資外洩機構無法通過補救措施防止嚴重損害的風險。 三 、OAIC所扮演之角色: 接受個資外洩之通報。 處理投訴、進行調查並針對違規事件採取其他監管行動。 向業者提供諮詢和指導。 四 、於下列情形可免通知義務: 為維護國家安全或增進公共利益所必要。 與其他法案規定相牴觸者。 五 、通知內容: 洩露資料的種類及狀況。 發生個資外洩事件機構之名稱以及聯繫窗口。 個資當事人應採取之後續行動,避免再度造成損害。 惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。