NO.58 | 2019.08.30
banner
title有備而來 友善列印>>
通訊傳播事業個資法遵教育訓練心得報告_行政組 陳佳瑀助理管理師

  今(2019)年1月,Google因對使用者資訊透明度不足、無法讓使用者容易地了解及取得其隱私權政策,且未完整向使用者說明如何處理蒐集來的個資,成為違反「歐盟一般資料保護規則(General Data Protection Regulation, GDPR)」之首例,遭歐盟判罰5千萬歐元(約17.6億新台幣)。七月,英國航空及萬豪國際酒店亦因違反GDPR,分別遭罰1億8千萬英鎊(約68.4億新台幣)及9千9百萬英鎊(約37.6億新台幣)。

  GDPR被看作是歐盟的個資法,用以保障歐盟境內資料當事人的權利,包含更正權、刪除權、資料可攜權、拒絕權及對於自動決策與資料剖析、建檔之相關權利。自2018年5月25日施行以來,全球至今僅有13個國家取得其適足性認定,亞洲更是只有日本通過認證。近年由於數位經濟成長快速,大數據資料被廣泛運用,消費者的個資安全保護更顯重要。為完善資安防禦能力,並提高跨境領域隱私保障,我國已於去年底向GDPR提出適足性認定申請。國家通訊傳播委員會為使通訊傳播相關事業業者對消費者的個資保護能更為全面,並且符合國際規範,特別邀請達文西個資暨高科技法律事務所辦理四場「通訊傳播事業個資法遵教育訓練」,並由本中心協辦執行;從我國個資法出發、輔以實務案例說明,擴及GDPR與國際資安保護趨勢。

  經參加8月14日於台北舉辦之通訊傳播事業個資法遵教育訓練,收穫良多;以下整理達文西個資暨高科技法律事務所所長葉奇鑫律師演講內容,及其所提供之我國個資法心智圖,以四步驟判別何謂個資,及其保護、使用原則。

一、能否直接識別或間接識別出個人?

  直接識別如:姓名、出生日期、特徵、身分證字號、聯絡方式、職業、社會活動等可直接指出資料當事人之訊息。而間接識別則是指,憑藉著與其他資料對照、組合、連結後,可以識別出個人之資訊。簡言之,倘能直接或間接使人識別出當事者之內容,即為其個資。
 

圖1:個資法心智圖節錄
(資料來源:達文西個資暨高科技法律事務所)

 
二、蒐集及處理資料者為公務機關或非公務機關?

  個資法規定個資之蒐集應由公務機關依法行使公權力或由非公務機關具特定目的蒐集,且應採行適當安全措施,並由專人辦理個人資料檔案安全維護事項,與說明業務終止後之個資處理辦法。但為單純個人或家庭活動,亦或於公開活動及公開場所所蒐集,且未與其他個資結合之資料,則不適用於我國個資法,因此某人於國外旅遊時所拍攝的照片及影片等,若只為個人紀念之用上傳社群媒體,即便包含有他人影像,並不涉及個資法之範疇,惟仍需考慮對當事人權益有無危害且是否違反民法之肖像權。因此,於路上拍攝他人照片,並於網路上傳播仍有其違法之可能性。

三、蒐集、處理、利用

  資訊之蒐集應符合必要範圍且有正當合理的關聯性,且須明確告知被蒐集者利用目的、對其權益之影響,經當事人同意後,使得於特定目的內利用,並有適當地安全措施。以前述Google遭罰為例,其隱私權宣告政策應簡單明瞭以使使用者清楚易解,明確告知當「同意」使用Google服務時,將被蒐集使用資訊如:造訪網頁、瀏覽路徑、喜好影片類型等,並將依此作為投放個人化廣告之法源依據。


圖2:個資法心智圖節錄
(資料來源:達文西個資暨高科技法律事務所)
 

四、遵守安全維護事項

  公務機關或非公務機關對於蒐集而來的個資應採適當防護措施,以防止個人資料遭受竊取、竄改、洩漏等危害。對於管理及維護人員與資料之保存、使用皆有其規範與稽核制度,且須有事故之預防、通報、應變機制。一旦發生個資外洩事故,也無法直接或間接地識別出資料當事人。
 

圖3:個資法心智圖節錄
(資料來源:達文西個資暨高科技法律事務所)
 

  通傳事業相關業者應保護消費者權益,明確且透明的蒐集資訊,符合國內、國際相關法規,唯有善用個資才能真正地發揮大數據的威力。在萬物聯網、資訊爆炸的時代,消費者須了解何謂個資,並注重自身權益保護。
 
完整個資法心智圖:
https://www.ttc.org.tw/userfiles/file/20190813/20190813040610_95962.pdf