筆者猶記在幾年前還沒有涉入個人資料(以下稱個資)法律領域時,曾有客戶詢問筆者是否可為其擬隱私權條例,筆者當時對於個資這塊還相當陌生。以這塊為工作領域後,回答上述的問題,台灣一般的隱私權條例其實就是個人資料保護法條文文字化,將法律各項要求要見均納入即可。
然而在實務個資處理上,筆者是這樣看待個資蒐集處理的,建議可以將個人資料作為一項資料的蒐集處理周期來審視,如同筆者一直以來的建議,無論審約或處理法律事務,先抽離案件本身甚至脫離法律框架客觀思考應注意的面向,審視的角度或許比較全面性,也比較貼近真實世界。經過這樣思辯後的想法,做出來的建議或許能更加務實地解決問題:
1.1
個資蒐集
在進行個資蒐集時,務必考量蒐集的資料與利用目的之間的關聯性與必要性,,即歐盟GDPR下的目的限制與資料最小化蒐集原則,應考量適當(adequate)與相關(relevant),載明於應行告知之內容中(GDPR第十二條及第十三條、台灣個人資料保護法第八條),取得個資主體當事人同意(consent)的範圍。這時候必須注意是否涉及敏感個資的蒐集,以及如有必要蒐集時之法律基礎。 實務上常見到個資的過多蒐集,例如性別、生日、身分證字號、地址等,有時標明非必填項目,然推其究理多半的蒐集原因往往不明,僅係依循前例,而未經斟酌考慮是否有蒐集之必要性。個資法在法律領域中是相對為較年輕的法律,期待社會對於個資保護意識逐漸抬頭後,對於個人資料逐項蒐集之必要性能更加審慎評估。
1.2
個資處理:台灣將個資蒐集、處理、利用分為三個不同概念,然按筆者之理解,世界其他各地均依照歐盟GDPR規範僅區分蒐集與處理。 當個資被蒐集之後,接下來就是如何合法進行處理,以下僅列舉常見之注意事項供參考:
I. 使用權限 個資蒐集後,公司內部可接觸到個資的人員是否有限制?安全保密機制是否完善(歐盟GDPR第五條)? 處理上是否應進行一定程度之資料遮蔽? 實務上常見的狀況是對於蒐集後的個資接觸權限設定過於寬鬆,例如人事相關資料是否整個人事部門內的每個人都適合擁有同樣的權限。
II. 跨境傳輸 跨國公司對於個資蒐集後的處理常涉及跨境傳輸,然而跨境傳輸是較為複雜的法律議題,必須視各國個資法規定逐一判定進行。多數國家採歐盟GDPR標準(GDPR第四十四條至四十六條),以「原則禁止,例外許可」的方式,進行適足性認定或要求提供適當保護措施(常見方式為經由合約簽署),對於境內蒐集之個資進行保護,我國原則許可則為少數之例外。 實務上遇見的困難點是少數國家要求資料在地化(以中國為代表),或是對於要求進行跨境傳輸的個資必須進行個資傳輸評估(越南個資法規定)。
另外由美國主導的CBPR組織亦著重於跨境傳輸並有相關要求。企業若必須進行資料跨境處理時,應審慎評估當地法規,確認符合相關規定。
III. 匿名化或假名化
個資蒐集後,常面臨對於蒐集之個資進行數據化分析,也就是個資的再利用。首先應注意,個資使用上必須符合蒐集之目的,如超出原本蒐集之目的,應另行尋求當事人同意,除非再利用的資料已完全進行匿名化而不再是個資(即常見的big data大數據資料)。 惟,實務上對於匿名化(anonymization)和假名化(pseudonymization)的處理常混淆,匿名化之資料已完全無法追溯到個人,假名化之資料透過內部比對仍可能進行還原而特定到個人;因此,企業在進行個資再利用時應謹慎處理,確保相關再利用資料有符合蒐集目的或已不再是個資。
IV. 個資保存年限—何時應刪除銷毀?
既然個資的蒐集處理必須合於當事人同意的目的,個資蒐集後於目的不存時應立即銷毀,無論GDPR第五條和我國個人資料保護法第十一條都是同樣的規定。 然,在實務上,個資蒐集後幾乎是與企業永久留存,當然一定程度是因為隱私權條款中極力擴張了蒐集目的;然而,個資之保存也存有個資外洩的風險,企業資安控管應符合法律規定,避免因外洩而擔負相關罰責。
以上僅將個資作為一個資料自蒐集到銷毀的常見問題簡單討論,接下來將就亞太各國一些個資法重要面向作討論。談到比較法,筆者認為相當有趣的是,全世界可能只有台灣將蒐集主體區分公務機關與非公務機關,這個有趣的區分或許會在未來修法中消失。
