iT邦幫忙

2022 iThome 鐵人賽

DAY 27
0

目前各國幾乎都有制訂自己的個資保護法規,台灣在 1995 年訂定了「電腦處理個人資料保護法」,並在 2010 年修訂為「個人資料保護法」,讓個資保護的範圍不在限制於電腦處理的範圍,而是所有的蒐集、處理、利用、傳輸都是被監管的。
而目前國際上也有許多跨國的個資保護法規,以下將介紹幾個比較常遇到的跨國界個資保護法規。

OECD

OECD(國際經合組織)於 1980 年制訂了《個人資料隱私與跨境流動指南》(Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data),主要為以下原則:

取得限制原則(Collection Limitation Principle)

個資收集應為有限制的,需以合法且公平的方式取得,並取得資料來源或當事人的同意再行取得。

資料品質原則(Data Quality Principle)

資料應該與使用目的相關,且在必要的合理範圍內,保持資料完整與準確,並保持更新。

目的明確原則(Purpose Specification Principle)

應在取得資料前就明確說明蒐集目的,在使用時若沒有通知當事人,不應用在和當初蒐集目的不相關的用途。

使用限制原則

若未經法律或當事人授權,不得進行原始或非特定目的外使用。

安全防護原則(Security Safeguards Principle)

個資應受到適當的保護措施,防止遺失、未經授權存取、竄改、使用、破壞、揭露。

開放原則(Openness Principle)

個資的開發、應用方式,應有通用開放政策進行規範,且當事人應能輕易取得關於自身資料的細節(例如使用者身份、目的)。

個體參與原則(Individual Participation Principle)

當事人對於個資有使用權,也有拒絕被使用的權利,亦能挑戰資料正確性,而對資料做出刪除、修正、使其完整的合理處置。

責任原則(Accountability Principle)

個資的持有者遵守上述的所有原則,並負起責任。

GDPR

全稱為 General Data Protection Regulation,中文可翻譯為《一般資料保護規則》或《通用資料保護規則》,於 2016 年通過、2018 年生效,取代了 1965 年的《資料保護指令》(Data Protection Directive);與《資料保護指令》不同的是,GDPR 為歐盟條例(英語:regulation、德語:Verorderung),而非指令(英語:directive;德語:Richtlinie),因此不需由各國制訂法律,即可直接適用於各會員國。

GDPR 的制訂主要參考了 OECD 的八大原則外,還訂定了以下原則:

  • 被遺忘權(Right to be forgotten):當事人可要求資料持有者,刪除所有個人資料的任何連結、副本。
  • 取用權(Right to Access):與 OECD 的開放原則類似,且資料持有者應以電子形式提供資料副本給當事人。
  • 可攜權(Right to data portability):當事人可以利用通用、機器可讀(Machine readable)的方式取得某方的個人資料,並轉移到他方。
  • 隱私導向設計(Privacy by design):在設計架構時,即應考慮隱私保護的問題,實作適當的控制措施,並對裝置、應用程式實施身份驗證與授權機制。

GDPR 被稱為史上最嚴格的個資保護法規,主要原因為擴大了管轄範圍與適用對象、個資定義,並且大幅增加了罰則:

管轄範圍

大多國家法規皆以地理的管轄範圍為法律的管轄範圍,但在 GDPR 則是以資料主體為管轄範圍,不論公司位置為何,只要有使用到歐盟公民的個人資料、向歐盟公民提供商品或服務,都適用於 GDPR 的管轄。
且 GDPR 管轄並不限於自然人或法人,機器也依然適用,因此雲端服務也包括在管轄範圍內。

罰則

若違反 GDPR 規定,將會被歐盟處以年度全球營業額的 4%(或兩千萬歐元,以較高者為準)的罰緩。

個人資料定義

只要是個人產出的任何資料,都定義為個人資料,除了常見的身份資料、生物特徵外,電磁記錄亦被認定為個人資料。

  • 身份資料:姓名、電話、地址、車牌、身份證號碼、護照號碼等。
  • 生物特徵:病歷、指紋、臉部、視網膜、相片等。
  • 電磁記錄:IP、Cookie、裝置 ID(例如 MAC、IEMI)、網路活動記錄。

APEC

《隱私框架》

全稱為 The Privacy Framework,與 GDPR 大致相同,但不具法律強制性。

《跨境隱私規則》

全稱為 Cross-Border Privacy Rules System,於 2011 年正式實施,主要包含隱私主管機關、課責代理機構、企業三方,主要規範會員間的企業對個資跨境傳輸的自願性保護計畫,鼓勵會員國間達成雙(多)邊正式協議,產生類似美歐間的《安全港協議》(U.S. - EU Safe Habor Framework),進而具有強制力,使受到認證的會員國企業能互相受到認可。


上一篇
[Day 26] 個資保護標準
下一篇
[Day 28] 政府組態基準(GCB)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言