欧盟数据保护上路 台湾应更正视个资问题

+

A

-
2018-04-15 23:53:39

欧盟的“一般数据保护规则General Data Protection RegulationGDPR)将于525日正式上路,很多人预估这个号称“欧洲最严格个资法”上路后,将带给台湾高科技及特定产业一定的冲击或影响,然而带给台湾业者冲击的原因究竟是因为GDPR太严格以至于要重新适应,还是台湾在面对个人资料保护法的时候本身就有既存的问题?

GDPR真的比台湾个资法严格吗?

欧盟在1995年就曾制定过“欧盟个人资料保护指令,给各个会员国作为个资法的参考依据,这次欧盟新修订的GDPR其实只是针对原有的指令做出更细部、更明确的规范。台湾在2010年修订《个人资料保护法》(简称个资法)的时候,其实也是以“欧盟个人资料保护指令”的内容作为订定标准,因此在整部法律的规范上,其实并没有太多跟不上GDPR的地方。

例如
GDPR这次确立的“被遗忘权,让数据当事人可以要求数据控制者以及数据处理者,必须协助抹除当事人的个资,然而台湾的个资法第11条本身就已规定当事人得请求删除、停止处理或利用该个人资料。另外,GDPR要求企业提供当事人简明易懂的个资使用同意书,不能以专业术语或艰涩的文字,让民众感到难以理解,连撤销个资使用的同意书,也必须一样简明易懂且容易撤销,而台湾本来也就已有消保法施行细则关于定型化契约的规定能加以限制。关于设立数据保护长的部分,个资法第18条一样有须设专人负责个资安全的规定,甚至在2012年底到2016年期间,还要求个资的使用及取得都需要书面同意,比起GDPR的严格度可以说是有过之而无不及。

网络个资外泄问题严重成为一大困扰(图源:VCG)

台湾个资法有在具体落实跟执行吗?

既然台湾的规定不比欧盟宽松,为何GDPR的施行还有可能对台湾的企业造成甚么影响?主要的原因在于,个资法虽然是法务部的主管法规之一,但在实际遇到个资问题时,仍视问题所涉及的产业或领域而有分属于不同的主管机关。在“人人都能管,却又人人管不着”的情况下,导致个资法具体执行时成效不彰,行政部门内负责个资法的人力本身就有限,造成平常没有任何动作,遇到问题时再判断由哪个单位负责的窘境。

另一个问题是,个资法有些法条本身具有模糊及解释空间,法务部的功能又仅限于给予各主管机关初步的解释及建议,因此会出现许多案例连在司法上都莫衷一是,没有明确定义或规范可以遵守,仅能个案判断的情况。

欧盟怎么更改规定并不是重点,重点是不管法规怎么更改,台湾势必要成立一个组织、人事、功能及财务都独立个资法专责机关,负责所有个资法相关事务的指导、核准、执法及申诉作业;唯有一个独立且有权责的专责机关,才能真正落实个资法所规范的内容,个资法落实确实后,欧盟怎么更改关于个资法的规定,台湾都能随机应变。

撰写:黃奕霖

评论

【声明】评论应与内容相关,如含有侮辱、淫秽等词语的字句,将不予发表。