2013年5月16日 星期四

[專欄] 個資保護與隱私維護系列(三) - 各國隱私法規與個資保護要求

雖然隱私的維護要求並沒有國界之分,但各國對於隱私維護所制訂的法規卻有所不同,因此在個資保護方面,也必須依照不同國家的法律規定,評估可能面臨的最大風險,再來實施相對應的控制措施。

針對隱私保護,世界各國的法律要求皆有所不同,主要原因是不同的國家,由於其社會經濟發展的腳步並不一致,因此在保護的重點和程度上,皆有其各自的考量,也衍生出了不同的觀點。

以歐盟為例,它採用了廣泛性的一般適用原則,無論是政府或民間企業,都必須遵守其所頒布的資料保護法規,並且由專責的資料保護機構來予以監督,在這個原則之下,歐盟各國仍然保有其自主彈性的空間,可依據本身的國情與民眾的期待,實施所需的個人資料保護作法,以達成歐盟對於隱私維護的精神。


作為世界另一大經濟體的美國,對於個人資料保護的做法,則是以不同的產業要求作為區分,以金融行業為例,主要保護的對象是客戶的金融訊息和記錄,若是醫療產業,則保護的主體是和個人有關的醫療及健康資訊,不同的產業都有其所屬行業要求的法規,並沒有非常明確的國家法律來要求所有組織都要遵守才行。

至於加拿大和澳洲,其個人資料保護是由各個產業發展出必須要遵守的一套標準,然後再交由隱私的專責機構(資訊隱私委員會)來作統一監督,確保隱私維護與個資保護的相關規定,能夠在所有的行業中都予以落實。

OECD的隱私保護原則 

在1980年,由美國、日本和歐洲國家所組成的經濟合作與發展組織(OECD),公布了一項名為保護隱私與跨境傳輸個人資料的隱私指導原則,成為了世界各國最廣泛認可的實務參考,同時也受到美國聯邦貿易委員會(FTC)的支持,它提出了以下八項隱私保護原則,非常適合組織作為制定隱私保護政策時的參考。
  1. 限制蒐集原則 - 強調個人資料的蒐集應受到限制,並且要在公平合法的情況下被取得,同時以適當的方式來取得當事人的同意。

  2. 資料品質原則 - 個人資料的內容應與蒐集的目的有關,或是符合其使用目的而產生的必要性,個人資料的內容必須確保正確與完整性,並且及時地更新。

  3. 目的明確原則 - 個人資料的蒐集目的,必須在開始蒐集時即明確指出,隨後在利用這些個人資料時,也必須限制在目的之內,日後若需要變更時,更要明確指出其變更後的利用目的為何。

  4. 利用限制原則 - 個人資料不應在特定目的之外被揭露或利用,除非已事先獲得當事人的同意或有相關法律作為依據。

  5. 安全措施原則 - 針對個人資料可能發生遺失、不當存取、使用、修改、損毀及揭露的風險,應採取相對適當的安全控制措施,以降低可能的風險。

  6. 公開原則 - 對於個人資料的發展、實務和政策的制定,應依據公開的原則來進行,針對個人資料持有的種類和使用目的,以及資料控管者的連絡方式,應公開並且易於讓當事人知悉。

  7. 個人參與原則 - 個人資料的當事人,應保有以下的權利:(a)有權利向資料控管者或持有之組織,確認是否保有和其有關的個人資料;(b)在合理的時間和費用範圍內,以合理的方式和可了解的形式,向組織查詢和其有關的個人資料;(c)針對所提出的查詢或主張的權利若遭到拒絕時,可以提出異議要求說明;(d)若所提出的異議成立時,可要求組織刪除、變更、修改、補充其個人資料。

  8. 責任原則 - 個資的控管者必須負起相關責任,並要求落實以上提到的各項隱私保護原則。 
歐盟的個人資料保護指令 

在1981年,歐洲的議會針對自動化處理的個人資料,通過了個人保護協定(COE convention),它所要求的個人資料保護原則和OECD類似,可作為歐洲國家在制定個人資料保護法令的參考。到了1990年代,由於歐洲各國在個人資料保護方面仍缺乏一致性,加上實務面各國都有跨境傳輸個人資料的需求,可是在取得當事人的同意和接收國的保護措施方面,要求的程度都有所不同,因此促成了歐盟起草資料保護指令(EU Data Protection Directive)的契機。

歐盟的個資保護指令在1995年被採納,並且在1998年正式生效,對歐盟的會員國而言,只要是遵守個資保護指令的國家,也就等同於採納了各國所屬的個人資料保護法,可以獲得跨境傳輸資料的允許和信任。事實上,歐盟的個資保護指令的確在歐盟會員國之間產生了個資保護的關鍵性作用,而隨著資訊科技的演進,在2012年個資保護指令已進行了更新與修改,期許未來不只在歐洲地區,對歐盟以外的國家也可提供重要的隱私保護資訊與要求。

APEC的隱私保護綱領

對亞太地區而言,於1989年成立的亞太經濟合作組織,則是扮演了重要的經濟與文化交流的推手,針對隱私維護與個人資料保護的要求,在2003年所成立的隱私保護小組也致力於此項議題的發展,並於2004年11月正式通過了隱私保護綱領(APEC Privacy Framework),包含了以下九項的隱私保護原則。
  1. 損害避免原則 - 針對當事人對於其個人資料的合理期待,針對可能損及當事人權益的風險,應採取適當的風險處理措施以避免損害。

  2. 告知原則 - 在蒐集個人資料時,應告知當事人被蒐集的目的、資料類型、蒐集者的聯絡方式與當事人可主張的權利。

  3. 限制蒐集原則 - 個人資料的蒐集應與被告知的目的相關,要求採取公正的方式進行,並且限制其所蒐集的範圍。

  4. 利用原則 - 個人資料的利用應獲得當事人的同意,並且僅限於當初所蒐集的目的範圍內,不可任意作為其他的用途。

  5. 選擇原則 - 當事人應被提供可選擇的權利,能夠針對其個人資料的蒐集、處理和揭露,主張其個人的意願和選擇。

  6. 完整原則 - 個人資料務必確保其正確與完整,並且要持續地更新以維護當事人的權益。

  7. 安全原則 - 保有個人資料的組織,應針對可能的安全風險,實施對應的安全控制措施,以避免個人資料受到不當的揭露與損毀。

  8. 存取和更正原則 - 組織應提供個人資料的當事人,可在合理的時間內,以適當的方式對其個人資料提出查詢和閱覽的請求,並且不得無故拒絕其補充或更正的申請。

  9. 責任原則 - 保有個人資料的組織,應負責遵守法規和個資保護的責任,尤其當資料需傳輸至第三方和不同國家時,務必要求以對等的保護方式來維護當事人的隱私和資料安全。 
美國的安全港架構協定

目前有許多的組織,在網站的資料收集和隱私權政策中,經常會提到它們會遵守所謂的「安全港架構(Safe Harbor Framework)」,到底這是什麼樣的架構?和隱私保護有什麼關係?必須要遵循哪些事項?恐怕清楚知道的人就不多了。

根據維基百科的定義,安全港架構是一項法律的協定,可以減少或消除當事人在法律的責任,但其要件是當事人的各項行為,必須能夠履行良好的誠信原則,或者符合所定義的法規標準。

目前美國和歐盟都有通過彼此認可的安全港架構,主要是因各國對於隱私和個人資訊保護所採取的措施皆不同,為了避免資料在跨國傳輸時,被認定為保護措施不足而受到限制,歐盟在2000年時認可了只要是符合安全港架構的組織,歐盟的成員國就可允許其傳送、儲存或使用歐盟成員國民的個人資訊,也就是將符合安全港原則的組織也視為符合其「資料保護命令(The European Commission’s Directive on Data Protection)」的標準。

如果想要符合美國和歐盟的安全港計劃,組織可以加入一項自我律定的隱私計劃,每年以書面方式向相關單位證明確實遵循了安全港的隱私原則,以達到美國和歐盟的安全港架構的要求,或是也可以制訂本身所監管的隱私政策,以符合美國和歐盟的安全港架構。關於安全港的隱私原則,共有以下七項要求:
  1. 告知 - 組織必須告知當事人關於其個人資料的蒐集和使用目的,組織也必須提供個人在有任何疑問時,如何與該組織連繫或投訴、向第三方揭露資訊的方式,以及提供可用來限制使用和揭露的選擇。

  2. 選擇 - 組織應給予個人選擇同意或退出的機會,選擇是否提供可將個人資訊透露給第三方或用於不符合當初蒐集目的的授權,組織必須尊重當事人依其權利所作法的選擇。

  3. 轉送 - 若組織要將個人資訊揭露給第三方,必須符合以上提到的告知和選擇原則,同時若作為轉讓資訊的代理人,必須確保第三方同樣遵守安全港隱私保護原則,像是訂立書面協議,要求第三方至少也要提供相同水準的隱私保護方式。

  4. 存取 - 個人擁有合理存取在組織中所持有個人資訊的權利,而且能夠要求更正、修改或刪除不正確的個人資訊,除非此要求將產生和個人隱私不相稱的風險,或是會侵犯到其他人的權利,組織才可拒絕提供。

  5. 安全 - 組織必須採取合理的預防措施,保護個人資訊不會遺失、被濫用,以及受到未經授權的存取、洩露、竄改和毀壞。

  6. 資料完整性 - 個人資料必須使用於和蒐集有關的目的上,組織必須採取合理的步驟來確保資料的可靠性,以達成預期合理的使用、正確完整和及時更新。

  7. 執法 - 為了確保符合安全港的隱私保護原則,組織必須:(a)建立易於獲得的獨立申訴機制,使每個人的投訴和糾紛可進行調查和解決,提供適用於法律或隱私部門的損害賠償;(b)確認公司承諾遵守安全港原則的程序已被實施;(c)若未遵守原則時,必須負起矯正所產生問題的義務,同時制裁措施必須夠嚴格,未符合要求就無法列入安全港組織清單中。組織如果未能提出年度的自我認證書,也會被從參與者名單中除名,組織遵守安全港的利益也將無法被保證。(本文刊載於2013年3月號網管人雜誌)

[參考資料] 
1. IAPP - Information Privacy (Official reference for CIPP) 
2. U.S.-EU Safe Harbor Overview - http://export.gov/safeharbor/

沒有留言: