关于欧盟资料保护指令及其执行情形之简介

1、借鑒歐盟做法，強化我國個人資料保護規範與措施曾德宜 （世新大學行政管理學系兼任講師 ）鑑於資訊科技的迅速發展，致使各項個人資料（personnel date如出生年月 日、教育程度、證件號碼及通訊方式等，越發容易為公、私部門所蒐集及使用， 例如我們在日常生活中常受到各種行銷電話或簡訊之騷擾 ，甚至發生某家銀行客 戶的個人資料能在網路上輕易查詢之情況出現 ，極有可能係因為相關資料之保護 不足，以至於造成影響個人隱私及相關權益之資料，得以輕易地任意為他人所流 傳及散佈，甚至遭惡意竄改及不當使用。為有效維護個人相關基本權益，以及避 免關係到個人隱私之相關資料被濫用，歐洲理事會（Council of

2、Europe早於1981年時即提出 自動化處理個人資料之保護協定 （Convention For the Protection of In dividuals with Regard to Automatic Process ing of Pers onal D,at 以因應資訊社會 之發展；該協定其中許多部份與 OECD隱私保護架構內容相似，其範圍涵蓋公開 資料與隱私部分，惟僅限於個人資料檔案之自動蒐集（automatic processing，） 而非適用於人工處理之資料提供程序。一般而言，資料保護法律應提供當事人獲得告知其資料之蒐集、取得及必要 時更正之權利、以及可拒絕某種蒐集資料之方式

3、；同時，亦規範資料保存者應有 良好之資料管理措施、及要求擬蒐集資料之組織或個人應承擔相對義務及責任， 諸如使用資料僅限特定、明確及合法之目的、保證資料不致濫用及禁止未獲授權 者能取得資料，以及在進行資料蒐集活動應先行通知監理機構等義務，這些規範 之目的即在於保護個人資料能獲得適切之保障。為調和境內之法律措施及避免對於資訊自由散播有所妨礙，歐盟於 1995 年 發佈個人資料保護指令（95/46/EC）期能調和各國之措施，使得歐聯內之公民 能得到相同保護，並要求其會員國於 1998年10月 24日前依據該指令條文完成 立法工作並於該年起正式於歐盟境內實施。 個人資料保護指令要求各會員國 應以立法之

4、途徑來管理個人資料，該指令適用於任何有關涉及個人資料之活動， 包括蒐集、儲存及發表之行為，且不論是自動或非自動化的資料蒐集方式；其個 人資料定義之範圍則涵蓋足以辨識或可辨識個人身分者皆包含在內 ，不限定於文 字、圖像、聲音、視像、影訊等。而在執行上，該指令僅於下列兩種環境下不予 適用：一為在共同體法律範圍外之活動，例如有關國家安全和刑事法律，另一則 為在純粹屬於私人活動領域內之資料使用。而指令所規定之原則，僅係歐盟各國 保護措施之下限基準，並允許各會員國可以訂立更高標準。值得注意的是，鑒於該指令所建立的保護基準，可能因跨境傳輸活動而受 損，因此該指令規範將資料傳輸給非歐盟國家時，僅在該國家可以

5、提供適切程度 之保護情況下方可進行 ，並授權歐盟執委會認定非歐盟以外國家之個人資料保護水準，是否為可供接受以進行跨境資料之傳輸，目前包括匈牙利、瑞士及部分美 國公司及部分加拿大地區業已與獲得確認 ；目前歐盟執委會已提案更新並釐清現 行處理個人資料及保護所有電子傳輸服務之隱私 ，以作為其新版電子傳輸架構之 內容之一。根據該指令之要求，歐盟執委會於今 (2003)年提出執行資料保護指令第一 次報告書，係實施該指令後之第一份評估報告，執委會採取開放性的方式，經 由各利害關係者，如：政府、研究機構、企業與消費者團體等各方公開辯詰與討 論後，獲致對於執行該指令之經驗總結，以及確認其執行成效與順從情形。根

6、據 檢討執行情形後，發現存有下列三項值得注意的問題：一、執行單位之資源投入 不足及監理單位任務過於廣泛，故造成未能視執行此任務為優先工作事項。二、 資料保管人不願意確實遵行他們所認為負責的規範及不願意改變現行做法的心 態，以至於資料保護之風險仍然存在，未來仍有待強化各界對於執行該指令之順 從(complianee。三、資料主體對於其自身權益及知識之認知(awareness程度有待 加強。未來，歐盟將需要更進一步地全面解決與該指令相杆格之法規，更完整地執 行該指令，並需對於該指令進行合理及彈性之詮釋與說明，以釐清其適用之範圍 與方式；同時，需對於有關增進隱私保護的科技應加以提倡獎勵，俾能運用科技

7、 以保障隱私之安全。歐盟亦對於聲音及影像之個人資料保護等議題加以探究，俾 能使得資訊時代之個人資料保護工作更加周延及完整。為能使得該項指令之執行更加完善，歐盟執委會提出 更加地執行資料保護 指令之工作計畫 採取下列之行動俾以強化執行及解決前述問題：持續與會員國 研商改進措施 、與歐盟之候選國家進行接觸及聯繫以確保該指令日後得以順利推 行、改善關於該指令與各項法規之通報程序，俾使得執委會與會員國得以密切合 作，以及強化通知及資訊提供管道，並考慮簡化國際間資料傳播之要求；日後， 亦將賡續推動如：鼓勵開發隱私保護科技、提昇業者自律及同業協定之規範，以 及提昇個人自覺及認知等相關工作。我國長期以來受傳統上對於隱私權益的不重視與忽視 ，以及關於個人資料保 護之規範，散見於民法、刑法及電腦處理個人資料保護法等法規之中，故有 關國內之個人資料之保護措施似顯不足 ，以至於近日內出現多起金融之重大弊案 及不可勝數的個人困擾，對於電子商務的使用及資訊社會的發展有