.jpg)
個人資料保護上,世界各國趨勢是以歐盟個資法(下稱GDPR)為主軸,再按照各國經濟文化社會背景做修改,而歐盟個資法對個人資料保護是全面而完善的。所謂的個人資料是可以識別(identify)到個人的相關一切資料,至於有沒有例外呢?所謂公所週知或是(自行)公開的資料屬不屬於個人資料?更明確一點討論,公開資料受不受到個人資料法的保護呢?
單以個人資料泛指一切可以識別到一個人的角度來看,已公開之資料當然仍舊屬於個人資料。然而雖縱然仍屬個人資料,個人資料法是否對已公開(無論是否為自行公開)進行保護呢?所謂的保護也就是對於使用蒐集上進行限制,或要求應踐行一定程序。翻成白話也就是你自己公開的資料是不是表示其他人可以自行(合法)使用?或是再更白話一點,你在公開個人資料有沒有想過,這些被你公開的資料還是否繼續受到個人資料法的保護?
依照台灣個人資料法的規定,也或許符合台灣民眾(媒體?)的法感情,對於當事人自行公開或其他已合法公開之個人資料是不受個人資料保護法所保護的(個人資料法第六條、第九條,以及第十九條)。這似乎也反映了台灣社會對已公開之個人資料使用上的期待與一般認知,然而筆者以為,就算當事人公開的個人資料,是否就得完全自由地被第三人蒐集處理或使用,值得退一步深思一番! (公開資料使用上除了個人資料保護法,有可能涉及肖像權,可受公評之事的討論,總之法律是一張網住人類社會的行為規範,案件的法遵考量須通盤進行。)
GDPR對於公開的個人資料的處理還有保護規範的,通常不允許僅僅因為個人資料是公開的就得使用之。對於未直接從資料主體(data subject)取得個人資料時,應揭露個人資料的來源,當個人資料來自公開來源時,必須根據通知資料主體(GDPR第十四條),通知的內容包含提供資料處理者(controller)聯繫方式、處理目的及處理之法律依據、資料儲存期間、以及資料主體相關個人資料權利(data subject right,即更正、刪除、接近使用,限制處理、資料可攜性等),並要求上述資訊之提供應在取得個人資料一個月內為之(尚有其他提供之時間點規範如第一次與之資料主體溝通時為之)。GDPR對於提供困難或符合其他合法提出例外規範。整體保護看似複雜,以GDPR綜觀之,實為妥善全面而合理。
雖然在台灣蒐集台灣人民的個資只需要注意國內個人資料法法遵循就好,然而目前企業經營是一個世界村的概念,都希望能拓展海外市場、海外據點,是故除了國內個人資料法法遵循,必須對於世界上大部分國家遵循的個人資料法典典範-GDPR有所了解,以免誤觸法而不自知!
