二、何謂「個人資料保護法」?這個法律的目的是保護個人資料的什麼權? 何謂「一般資料保護規則(General Data Protection Regulation,簡稱 GDPR)」?請列舉兩者至少 3 項差異。(25 分)
個人資料保護法為我國保護個人隱私之法律,隱私權乃我國憲法所保障之人格權之一,個資法保護當事人於私領域之活動,當事人有自主權決定要不要公開自己的個人資料,亦或是當事人的資料被媒體、他人公開的時候,當事人可到司法機關以個資法進行權力救濟。
而GDPR可溯至1995的資料保護指令(Data Protection Directive,簡稱DPD),歐洲各國訂定自己的個人資料保護規範並執行,如今,歐洲單一市場發展逐漸完善,歐盟推動GDPR以降低會員國在個資法上的差異。
GDPR中定義的個人資料定義為已識別(identified)或可識別(identifiable)的個體有關的任何資訊,或是未識別、使用假名的個人資料,皆在GDPR保護的範圍,企業或個人只能在被允許的情況下使用當事人的個資。不過有一個例外,GDPR仍然允許政府的司法機關以預防、調查、偵查、執行為目的使用個人資料。
GDPR號稱史上最嚴格的個資法,其內容與我國個資法有些差異,簡述如下,第一,GDPR認為當事人有資料可攜權,資料可攜權是指當事人在一個平台(如:社群媒體、購物網站)上的個人資料,可以通用的、結構化的、可傳輸的檔案格式匯出,並且匯入到另一個平台上,此法律概念立意良善,而我國個資法目前沒有相關規定。
GDPR與我國個資法的適用範圍不同,GDPR並非是國內法,歐盟各會員國無須另訂國內法皆適用GDPR,而且,GDPR對於境外業者也有效,只要境外業者在歐盟會員國中提供服務,也須遵守GDPR之法律,而我國的個資法為國內法,僅規定我國的公務機關及非公務機關於境外、僅內蒐集我國人民的個資時,需遵守我國的個資法,沒有特別規範非我國業者的權力、義務。
GDPR規定禁止處理的個人資料比我國個資法更多,GDPR法規中有反歧視之概念,因此,個人資料保護的範圍還包括民族、種族來源、政治見解、宗教或世界觀,以及所屬工會的個人資料。我國的個資法目前特別提到上述與歧視有關之資料。
GDPR要求會員國政府除法院以外,另設有保護個人資料之獨立公務機關,而我國對於個人資料的保護採分散式管理,由非公務機關之中央目的事業主管機關管理。