號稱史上最嚴格的歐盟「一般性個資保護規則」(GDPR)去年5月25日正式上路,
訂製背包
,各方可能受影響者莫不嚴陣以待;日前科技巨擘Google違反相關規範而遭判罰5,
自售二手車
,000萬歐元,
台中律師事務所
,成為GDPR上路以來的開罰首例。筆者不打算重複論述關於GDPR的基本介紹,
希塔療癒課程 台北
,而希望具體談論GDPR與台灣個人資料保護法的重要差異,
屏東居家照護
,以提供企業在個資保護上的遵法比較參考,
聖誕燈串
,並且開啟個《資人資料保護法》修法動能。 首先,
台中 BMW禮車出租
,GDPR與台灣個資保護法的重大差異,即是「目的限定原則」的規範及運用,此為GDPR個資保護法制的重要核心原則,在GDPR第5條第1項第b款有明確規定;該原則並適切反映在GDPR第6條第4項,關於目的外使用已蒐集的個資行為規範,建構目的相容性標準的要求。也就是說,在目的限定原則要求下,個資管控者就已蒐集的個資,從事任何原目的外使用行為,原則應被禁止,除非後續使用目的能為原始蒐集目的所包容,此即「相容性標準」的判斷,GDPR另設三種無須進行相容性判斷的例外情形,兼顧個資合理運用利益。舉例而言,甲在乙銀行開戶,並且簽訂借貸契約,乙因此取得基於開戶與借貸目的下所需的個資。一年後,乙使用這些個資,計算甲可否符合更為適合的借貸方案,而後推薦予甲。在該案例中,由於後續使用目的與原始目的都是基於「借貸」需求,應可認定彼此之間具有相容關係,乙得依GDPR第6條第1項第f款的正當利益權衡事由,從事這項目的外使用行為,無須重新取得資料主體同意。然而,如果乙是將甲的個資分享給丙保險公司做為保險規劃使用,此與原始目的不具相容關係,除非乙取得甲的同意或基於法律規定所為,否則不得將其個資交付予丙。再以近日臉書上回響熱烈的「十年挑戰」活動為例,有論者質疑,或許臉書是藉此蒐集大量臉部資料挪作他用。暫且撇開陰謀論,假設臉書只是單純發起一項有趣的活動,透過使用者的照片上傳行為(當事人同意),讓使用者比較十年前後的差異。而後,臉書發現比對當事人十年前後的照片,有助於臉部辨識演算法的改進,或許可以透過台灣個資法第20條第1項第2款「為增進公共利益所必要」或第7款「有利於當事人權益」等事由,默默將先前基於當事人同意所取得十年前、後的照片,挪用於改善臉部辨識演算法。臉書此一目的外利用照片的行為,可能符合台灣個資法關於目的外利用個資行為的規範,卻無法通過GDPR第6條第4項規定的「相容性標準」要求。據此而論,相較於GDPR重視目的限定原則的立法展現,台灣個資法規範並未充分反映「目的限定原則」要求,不利於資料主體的個資權利保護。尤其是個資法第16條與第20條關於個資目的外利用行為的規範,欠缺類如GDPR第6條第4項之目的相容性要求,嚴重戕害目的限定原則帶來的個資保護作用,此項闕漏應在未來修法時予以修正。(作者是常在國際法律事務所律師),