目前各國幾乎都有制訂自己的個資保護法規,台灣在 1995 年訂定了「電腦處理個人資料保護法」,並在 2010 年修訂為「個人資料保護法」,讓個資保護的範圍不在限制於電腦處理的範圍,而是所有的蒐集、處理、利用、傳輸都是被監管的。
而目前國際上也有許多跨國的個資保護法規,以下將介紹幾個比較常遇到的跨國界個資保護法規。
OECD(國際經合組織)於 1980 年制訂了《個人資料隱私與跨境流動指南》(Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data),主要為以下原則:
個資收集應為有限制的,需以合法且公平的方式取得,並取得資料來源或當事人的同意再行取得。
資料應該與使用目的相關,且在必要的合理範圍內,保持資料完整與準確,並保持更新。
應在取得資料前就明確說明蒐集目的,在使用時若沒有通知當事人,不應用在和當初蒐集目的不相關的用途。
若未經法律或當事人授權,不得進行原始或非特定目的外使用。
個資應受到適當的保護措施,防止遺失、未經授權存取、竄改、使用、破壞、揭露。
個資的開發、應用方式,應有通用開放政策進行規範,且當事人應能輕易取得關於自身資料的細節(例如使用者身份、目的)。
當事人對於個資有使用權,也有拒絕被使用的權利,亦能挑戰資料正確性,而對資料做出刪除、修正、使其完整的合理處置。
個資的持有者遵守上述的所有原則,並負起責任。
全稱為 General Data Protection Regulation,中文可翻譯為《一般資料保護規則》或《通用資料保護規則》,於 2016 年通過、2018 年生效,取代了 1965 年的《資料保護指令》(Data Protection Directive);與《資料保護指令》不同的是,GDPR 為歐盟條例(英語:regulation、德語:Verorderung),而非指令(英語:directive;德語:Richtlinie),因此不需由各國制訂法律,即可直接適用於各會員國。
GDPR 的制訂主要參考了 OECD 的八大原則外,還訂定了以下原則:
GDPR 被稱為史上最嚴格的個資保護法規,主要原因為擴大了管轄範圍與適用對象、個資定義,並且大幅增加了罰則:
大多國家法規皆以地理的管轄範圍為法律的管轄範圍,但在 GDPR 則是以資料主體為管轄範圍,不論公司位置為何,只要有使用到歐盟公民的個人資料、向歐盟公民提供商品或服務,都適用於 GDPR 的管轄。
且 GDPR 管轄並不限於自然人或法人,機器也依然適用,因此雲端服務也包括在管轄範圍內。
若違反 GDPR 規定,將會被歐盟處以年度全球營業額的 4%(或兩千萬歐元,以較高者為準)的罰緩。
只要是個人產出的任何資料,都定義為個人資料,除了常見的身份資料、生物特徵外,電磁記錄亦被認定為個人資料。
全稱為 The Privacy Framework,與 GDPR 大致相同,但不具法律強制性。
全稱為 Cross-Border Privacy Rules System,於 2011 年正式實施,主要包含隱私主管機關、課責代理機構、企業三方,主要規範會員間的企業對個資跨境傳輸的自願性保護計畫,鼓勵會員國間達成雙(多)邊正式協議,產生類似美歐間的《安全港協議》(U.S. - EU Safe Habor Framework),進而具有強制力,使受到認證的會員國企業能互相受到認可。