國家發展委員會參事兼法制協調中心主任林志憲指出,歐盟司法總署就GDPR適足性認定,有3大評估面向。

圖片來源: 

iThome

歷經3個多月,國家發展委員會(簡稱國發會)於今年3月上旬,獲得了歐盟司法總署正式回應,表示正在研析臺灣送交的GDPR適足性自我評估報告,國發會表示,待歐盟給予進一步的資訊後,雙方將就個資保護相關議題展開技術性對話。

GDPR於去年5月上路後,行政院指示國發會在7月成立個人資料保護專案辦公室,並將個資法的法律主政機關移至國發會,且在參考歐盟相關文件後,完成歐盟GDPR適足性評估報告,並於12月中,將評估報告送交歐盟,現待與歐盟展開後續的對話。而鄰國日本花了足足兩年的時間與歐盟對話,才於今年初獲得適足性認定。

國發會參事兼法制協調中心主任林志憲指出,歐盟對GDPR的適足性認定,有3大評估面向,分別是個資法規的重要原則,還有個資法規的執行程序與機制,以及節制因執法和國家干擾基本權利。

個資法規的基本規範必須遵照5大原則,拘束運用目的、維護個資品質等

個資法規要遵照歐盟的目的拘束原則,規範個資運用須基於特定目的,且如果後續仍想運用該個資,也只能用於與目的相符的行為,此外,個資法規還要遵循個資品質維護與運用比例原則,要求個資控管者視情況更新資訊,以確保資料的正確性,及運用的適當性,不可用於無關目的範疇。

另外,為保障個資的安全性,個資法規還得符合歐盟個資持有期間原則,規範個資保存時間不得超過運用所需的時間,換句話說,在運用目的達成後,個資使用者必須隨即刪除資料。而歐盟的安全與保密原則則明定,個資法規需要求任何處理個資的硬體設備,具有安全處理資料的能力,像是採取相關技術性或組織性的措施,來防止非法和未授權的個資運用,造成資料損害,甚至遺失等情形發生。

再加上歐盟重視透明原則,個資法規必須要求個資控管者以清楚、易懂的方式,提供當事人其個資運用的相關要素,包含運用目的、資料控管者身分、當事人權利等資訊。

個資法規需保障當事人的權利有4個,首先,當事人有權就不正確的個資內容,向控管者提出更正權,且可補充資料;其次,當事人如發現個資蒐集、處理的目的消失,或是遭不合法運用,可以行使被遺忘權,要求控管者刪除其個資或連結;

再更進一步,當事人可依需求,執行個資可攜權,以結構化、通用性、機器可讀等形式,獲取其在某平臺累積的資料,傳輸給其他控管者;最後,當事人若不願個資通過自動化的方式處理,來進行分析與決策活動,可採取拒絕權。

個資運用者如有再傳輸個資的需求,特別是牽涉跨境傳輸時,個資法規須規範資料接收者符合GDPR的標準,且規範再傳輸後的新資料控管者,給予個資當事人同等的保護。

個資內容若牽涉特定運用類型,像是涉及揭露特種個資,如人種、血統、政治意見、宗教、生物特徵等資料,個資法規則須具備更高的標準,規範運用要件,例如取得個資當事人明確同意,及採取額外安全措施,才符合歐盟的標準。若個資運用為直銷目的,個資法規則要確保當事人可隨時拒絕,且不需負擔任何費用。

個資法規的執行程序與機制要符合4項規範標準

為達GDPR資料保護水平,欲取得認定的個資法規之執行程序與機制,也要達到4項歐盟的規範要件,第一項規範要求申請國設置獨立機關,監督並執行個資與隱私保護的法遵任務,下一項,申請國要確保個資保護制度有良好的法遵影響程度。

在個資保護的架構下,欲獲得GDPR適足性認定的國家,亦要課予個資控管者及處理者責任,要求遵循監管機關的規範,也要向機關展示其合規性的作法。申請國還要提供救濟機制,建立監督機制就申訴進行獨立調查,來裁決當事人應獲得的賠償,及判決侵害者要受的處罰。

最後,因執法或國家安全上的需求,而取得個資之領域,個資法規也須具備歐盟的4項要件,第一要件為要求運用基於清楚、明確,且公開的法律依據,再者要求證明運用目的的必要性、合比例性,還有使運用受獨立監督機關管理,以及給予個資當事人有效之救濟。

在個資法獲得適足性認定前,企業可由取得個資當事人的明確同意來因應

在臺灣個資法取得歐盟適足性認定前,林宗憲表示,有跨境傳輸歐盟境內當事人個資需求的企業,仍可透過自主採行符合規範的相關措施,以進行傳輸作業,他更強烈建議,企業走取得個資當事人明確同意的途徑,來因應GDPR。

林志憲表示,各相關行政部會,包含了經濟部、金管會、通傳會、交通部等,已採取多項因應措施,盤點適用GDPR的個資規模,與要因應的需求,辦理相關教育訓練和研討會,還有協助產業建置管理範本。

歐洲資料保護委員會(EDPB)已公布和預告的11則指引文件,國發會將陸續進行翻譯,同時,就國內各產業適用GDPR的疑義,持續向EDPB提出詢問,林志憲舉例,像是歐盟公民在未於歐盟營運的銀行開戶,是否適用GDPR,且關於此疑義,他更進一步提到,EDPB在具體回應後,更於去年底公布的GDPR域外效力指引中,把該案例納入。

林志憲表示,除了準備與歐盟展開技術性對話,整合各部會推動GDPR因應事宜,及適時檢討我國個資法,都將是2019年國發會統籌GDPR事宜的重點工作。文⊙黃郁芸


Advertisement

更多 iThome相關內容