.jpg)
所謂屬人主義是指個人的權利義務等事項,無論其身在何處,都適用其本國法律。相對於屬人主義,屬地主義則是凡在本國領域內發生之行為,不論行為人國籍,均應適用本法。屬人主義和屬地主義大部分的討論都是關於國籍法,各國對於如何取得國籍有不同的規範,除了國籍法,其他大部分的法律規範都是屬地主義。然而歐盟個人資料法(下稱GDPR)既然將個資認為是人權的一環,筆者曾經想過,個人資料法是不是屬人主義較為適當?即只要是歐盟成員的國民,在世界各地均受GDPR的保護,只是可以想見這樣絕對有執行上的困難。筆者亦曾與公司內部英國律師討論過,結論是,歐盟或許當然希望能夠擴張他對於歐盟國民的隱私保護力,然而其他國家畢竟未必買單。
因此,
個人資料保護法是屬地主義,當然為了國民的隱私權保護,無論是中華民國個人資料法(下稱個資法),或是GDPR,都還是有對於域外效力(extraterritorial effect)做規範(個資法第五十一條第二項GDPR第三條)。其中.
GDPR明白指出,只要是對歐盟境內之資料主體(data subject)提供商品或服務,不問是否需要資料主體付款,或是對於資料主體於歐盟內所為行為之監控,均適用GDPR。也就是因為GDPR的域外效力,雖非歐盟境內設立之個資蒐集處理科技巨擘,亦因其違反GDPR而受重罰。
個資法的屬地主義看來很清楚明白,也很直觀。然而筆者曾被公司內部印度個資法律師諮詢一個問題,印度公司擁有一個球隊,因要監控來自世界各地運動員比賽時的運動表現,要求隊員在印度參加國際賽期間,在其手機上安裝一個APP,APP的功能是為了監控運動員身體健康狀況,以確保上場時有良好的表現,球隊管理人得以讀取該等資料,監控時間僅為在印度參賽期間,離境前即要求運動員刪除該APP,不再監控。印度個資法律師詢問筆者,這些運動員來自世界各地,到底個人資料法法遵要依循哪個國家或是哪家國家呢?
也許讀者心中已經有了答案,雖然說案情看似複雜,牽涉國家甚廣,然而個人資料保護法既然是以屬地主義為原則,運動員在印度被印度公司監控健康的行為,自然是以印度個人資料法違法遵做處理。不過筆者亦再三提醒印度個資法律師務必於賽後即要求運動員刪除該APP,亦務必確保球隊管理人員於賽後不再經由該APP運動員健康予以監控,其餘詳細的法遵就要回歸到印度個人資料法如何規範了(對國際上各國個資法動態有所關注的讀者或許也知道,印度個資法的施行辦法即將公布,屆時筆者會再就一些重要之點撰文分析討論,供大家參考)
