學者:學習 GDPR,台灣個資法應大修納入大數據、開放資料風潮

作者 | 發布日期 2018 年 04 月 20 日 16:46 | 分類 資訊安全 , 開放資料 follow us in feedly

歐盟即將在 5 月 25 日開始施行 General Data Protection Regulation (GDPR, 一般資料保護規範),引起不少在歐盟有生意的公司相當緊張。網路巨人也被迫要調整資料處理,免得一不小心被罰營業額 4%的罰鍰。上週五台灣人權促進會在立法院與法律專家開辦論壇,大數據時代下的隱私保護:從歐盟GDPR反思我國個資法,與會專家指不必太害怕號稱史上最嚴個資法規的 GDPR,其實政府應該好好調整個資法,不只要符合 GDPR,而是要納入近年比較新潮的開放資料與大數據的概念,而不是遇到之後才由主管機關做個案解釋。




政治大學法律系劉定基副教授說,台灣個資法因各個機關都是權責機關,並沒有負責個資法的專員。相比之下,歐盟的 GDPR 是真的被執行而且會罰公司全球 4% 營業額的罰鍰,才在媒體被誇大。趁歐盟 GDPR 即將上路的時候,台灣也該改個資法,個資法全盤修法,不要只針對 GDPR 被迫因應衝擊,而是落實個資法的規定。

台灣個資法在 2015 年修訂之前,曾要求業者需書面取得個人同意,這在歐盟的 GDPR 條文並未見過,所以稱 GDPR 為史上最嚴個資法並不公允。台灣的個資法就法條而論其實相當嚴格,但問題出在台灣個資法權責分散,並未落實。

▲ 歐盟 GDPR 規定有資料外洩時,72 小時要通報監管機關。(Source:科技新報)

現在的科技趨勢下面,我們常在使用的手機以及 App,常會要求使用者勾選同意服務。劉老師指依據 GDPR 的規定,禁止綑綁條款,像是 App 中常出現的包裹式同意方式,並不會被 GDPR 接受,需要調整取得使用者同意的機制。另外同意與徹回應當同樣方便,而不是現在同意很容易,但是要徹回相當不方便。

▲ 歐盟 GDPR 規定需針對資料設立獨立監管機關。(Source:科技新報)

執業律師,達文西個資暨高科技法律事務所所長葉奇鑫問在場人一個問題,車牌號碼或是電話號碼算不算是個資?各位可以好好想想,在台灣如果依據判例,並沒有辦法說出很明確的是或不是。在台灣實際的法院判決狀況,依據能不能間接推斷個人資料,有些判例被判有關,有些判例被判沒關。

 ▲ 台灣在法庭實務上,對車牌號碼是否為個資見解不同。

葉律師繼續解釋電話號碼屬不屬於個資的問題。通常我們註冊服務時會提供自己電話號碼,這部分沒什麼太大問題,但如果提供別人的電話號碼,那就有大問題了。現在很多網站的交友推薦系統利用個人手機通訊錄的資料,來比對既有使用者是否有你認識的人。

那麼台灣企業或是政府需要擔心 GDPR 嗎?與會的執業律師,以及學校法學授授表示,與其擔心 GDPR 造成公司全球營收 4% 的罰鍰,更該注意的部分是好好落實台灣的個資法,設立專門的個資法主管機關,配署專責人力,才能改。另外也該納入大數據、開放資料的概念進來。政府該訂定假名化、暱名化、去識別化的流程,全面保護人民的資料。

GDPR 也考慮到資料在地化問題,一般集權國家一定要求資料在地化,避免國家公權力沒辦法掌握的狀況。而一般國家考量遇到糾紛,資料常遇到跨境傳輸的狀況,國民如遇到問題,政府如何主張行使網路管轄權。台灣的個資法在翻修時,該考慮適度主張網路管轄權。