強(qiáng)化數(shù)字隱私與個(gè)人信息保護(hù)

推動(dòng)進(jìn)度說明發(fā)展委員會(huì)12月22日目錄2壹、承諾事項(xiàng)議題貳、量化衡量指標(biāo)參、推動(dòng)歷程肆、目前辦理成果伍、后續(xù)推動(dòng)工作重點(diǎn)壹、承諾事項(xiàng)議題3強(qiáng)化數(shù)位隱私與個(gè)資保護(hù)強(qiáng)化當(dāng)事人個(gè)資保障個(gè)資衝擊影響評(píng)估承諾事項(xiàng)討論議題群眾建議修正個(gè)人信息法有關(guān)告知、同意、拒絕、個(gè)人信息沖擊影響評(píng)估等規(guī)范，以確保未來資料搜集、處理及利用等事宜。貳、承諾事項(xiàng)量化衡量指標(biāo)41月～12月1月～12月1月～5月搜集立法例進(jìn)行議題研究匯整并收斂專家學(xué)者、業(yè)界咨詢意見咨詢意見納入個(gè)人信息法修正草案研議對(duì)未涉及修法之重要當(dāng)事人權(quán)益發(fā)布指引完成個(gè)人信息法修正草案參、推動(dòng)歷程5110.221年4月21年12月?針對(duì)承諾事項(xiàng)議題辦理委托研究案?委托研究案完成結(jié)案報(bào)告21年5月21年8月?召開第1次研商會(huì)議討論承諾事項(xiàng)議題?以公私協(xié)力方式召開第2次研商會(huì)議討論承諾事項(xiàng)議題強(qiáng)化數(shù)字隱私委托研究案承諾事項(xiàng)議題研商會(huì)議「強(qiáng)化數(shù)字隱私與個(gè)人信息保護(hù)」承諾事項(xiàng)第2次研商會(huì)議，邀請(qǐng)全體群眾委員出席，并請(qǐng)委員推薦1位非委員之人參與討論。該次會(huì)議計(jì)有群眾委員9位、推薦人員3位出席，共同參與討論。就控管者合法搜集之個(gè)人信息，當(dāng)事人基于法定事由得拒絕控管者對(duì)該資料之處理。6拒絕權(quán)討論重點(diǎn)：我省現(xiàn)行個(gè)人信息法僅就拒絕營(yíng)銷定有明文，是否有需要增訂當(dāng)事人得主張拒絕權(quán)之事由及其限制規(guī)定？如有規(guī)范必要，其內(nèi)容及程序宜如何規(guī)范？肆、目前辦理成果：

承諾事項(xiàng)一、拒絕權(quán)(1/2)7委員/專家意見建議透過指引、函釋等相關(guān)配套措施加強(qiáng)說明拒絕營(yíng)銷權(quán)之規(guī)范內(nèi)容。在考量我省個(gè)人信息保護(hù)架構(gòu)、對(duì)產(chǎn)業(yè)之沖擊等面向下，思考針對(duì)特定搜集、處理及目的外利用個(gè)人信息之情形（例如：已經(jīng)公開之個(gè)人信息、公益條款、學(xué)術(shù)研究條款），參考外國(guó)立法例，于個(gè)人信息法適當(dāng)增訂當(dāng)事人拒絕權(quán)，及擴(kuò)大權(quán)利行使范圍。肆、目前辦理成果：

承諾事項(xiàng)一、拒絕權(quán)(2/2)當(dāng)事人查詢或閱覽請(qǐng)求權(quán)范圍應(yīng)涵蓋當(dāng)事人網(wǎng)絡(luò)活動(dòng)。8查閱權(quán)討論重點(diǎn)：是否需于個(gè)人信息法明定查閱權(quán)之范圍包含當(dāng)事人網(wǎng)絡(luò)活動(dòng)所生紀(jì)錄等？倘現(xiàn)行法有增修必要，其規(guī)范內(nèi)容為何？倘現(xiàn)行個(gè)人信息法之解釋對(duì)于查閱權(quán)之范圍，已可包含網(wǎng)絡(luò)活動(dòng)所生紀(jì)錄，是否需以指引或函釋增加其明確性？肆、目前辦理成果：

承諾事項(xiàng)二、查閱權(quán)(1/2)9建議透過指引、函釋、修正個(gè)人信息法施行細(xì)則等方式，說明網(wǎng)絡(luò)活動(dòng)所生之紀(jì)錄是否屬于個(gè)人信息。另可搭配「動(dòng)態(tài)同意」、「軌跡查詢」等機(jī)制，幫助當(dāng)事人了解個(gè)人信息之利用情形，并實(shí)時(shí)行使其權(quán)利。肆、目前辦理成果：

承諾事項(xiàng)二、查閱權(quán)(2/2)委員/專家意見10現(xiàn)行個(gè)人信息法針對(duì)「目的外利用」或「利用開放資料經(jīng)自動(dòng)化處理作成決定」等情形，應(yīng)要求必須告知當(dāng)事人。告知討論重點(diǎn)：針對(duì)目的外利用個(gè)人資料、利用開放資料經(jīng)自動(dòng)化處理做成決定等情形，是否需要于個(gè)人信息法明定應(yīng)告知及告知方式？如有規(guī)范必要，則其內(nèi)容為何？肆、目前辦理成果：

承諾事項(xiàng)三、告知(1/2)11以指引、函釋等方式加強(qiáng)關(guān)于告知之說明（例如自動(dòng)化處理個(gè)人信息）或技術(shù)性規(guī)范。建議透過修正個(gè)人信息法及其施行細(xì)則，明定目的外利用告知之事項(xiàng)與方式；并可考量特定目的及運(yùn)用之個(gè)人信息數(shù)量等面向，允許以公告方式為告知，以減輕業(yè)者負(fù)擔(dān)。肆、目前辦理成果：

承諾事項(xiàng)三、告知(2/2)委員/專家意見12常見同意因過于寬泛而流于形式，致實(shí)務(wù)上經(jīng)常發(fā)生爭(zhēng)議，相關(guān)規(guī)定應(yīng)更明確。同意討論重點(diǎn)：個(gè)人信息法是否需強(qiáng)化自主、具體、知情、明確等同意之要件？是否需明定當(dāng)事人得撤回同意？如有規(guī)范必要，則撤回同意之時(shí)機(jī)及要件等應(yīng)如何規(guī)范？倘透過現(xiàn)行個(gè)人信息法解釋即為已足，是否須透過指引或函釋增加其明確性？肆、目前辦理成果：

承諾事項(xiàng)四、同意(1/2)13可透過指引、函釋說明何謂當(dāng)事人「自主、具體、知情、明確」之同意，與同意之范圍、內(nèi)容，及未成年人同意等議題。另可設(shè)計(jì)「動(dòng)態(tài)同意」系統(tǒng)搭配告知，以供當(dāng)事人隨時(shí)查詢、同意其個(gè)資運(yùn)用情形；并針對(duì)特定目的、經(jīng)去識(shí)別化至一定程度之情形，適度限制當(dāng)事人撤回同意，以減輕企業(yè)負(fù)擔(dān)。建議修正個(gè)人信息法施行細(xì)則，針對(duì)有效同意之要件明確規(guī)范。肆、目前辦理成果：

承諾事項(xiàng)四、同意(2/2)委員/專家意見14個(gè)人信息法關(guān)于個(gè)人信息侵害發(fā)生時(shí)，應(yīng)通知當(dāng)事人之方式、項(xiàng)目等，尚不明確。又個(gè)人信息法授權(quán)各主管機(jī)關(guān)訂定之安維辦法，要求個(gè)人信息外泄事故應(yīng)通報(bào)主管機(jī)關(guān)，惟違反通報(bào)義務(wù)者并無行政責(zé)任。個(gè)人信息外泄通知討論重點(diǎn)：現(xiàn)行個(gè)人信息法施行細(xì)則第22條規(guī)定是否明確？是否需要透過指引等方式說明？是否須于個(gè)人信息法增訂通報(bào)主管機(jī)關(guān)之義務(wù)？如有必要，則通報(bào)要件、對(duì)象等規(guī)范內(nèi)容為何？肆、目前辦理成果：

承諾事項(xiàng)五、個(gè)人信息外泄通知(1/2)15可透過指引說明個(gè)人信息外泄事故之通知方式，并加強(qiáng)相關(guān)教育倡導(dǎo)，以落實(shí)民眾個(gè)人信息保護(hù)。建議修正個(gè)人信息法施行細(xì)則，增訂應(yīng)就事故對(duì)于當(dāng)事人權(quán)利造成之風(fēng)險(xiǎn)進(jìn)行評(píng)估，并以風(fēng)險(xiǎn)程度作為是否課予通知當(dāng)事人義務(wù)之門檻標(biāo)準(zhǔn)。建議于個(gè)人信息法增訂通報(bào)主管機(jī)關(guān)之義務(wù)，及修正通知當(dāng)事人之相關(guān)規(guī)定。肆、目前辦理成果：

承諾事項(xiàng)五、個(gè)人信息外泄通知(2/2)委員/專家意見16肆、目前辦理成果：

承諾事項(xiàng)六、個(gè)人信息沖擊影響評(píng)估（1/2）個(gè)人信息法施行細(xì)則雖有規(guī)定得采行「?jìng)€(gè)人資料之風(fēng)險(xiǎn)評(píng)估及管理機(jī)制」措施，惟哪些業(yè)務(wù)須進(jìn)行評(píng)估，又該如何評(píng)估等，尚不明確。個(gè)人信息沖擊影響評(píng)估討論重點(diǎn)：是否得以個(gè)人信息法施行細(xì)則第12條第2項(xiàng)第3款規(guī)定「?jìng)€(gè)人信息之風(fēng)險(xiǎn)評(píng)估及管理機(jī)制」作為依據(jù)，并搭配指引厘清其適用范圍？或須于個(gè)人信息法增訂相關(guān)規(guī)范？如有規(guī)范必要，則其適用情況、范圍與評(píng)估內(nèi)容要件及配套措施等內(nèi)容為何？17肆、目前辦理成果：

承諾事項(xiàng)六、個(gè)人信息沖擊影響評(píng)估（2/2）有建議應(yīng)修正個(gè)人信息法，參考國(guó)外立法例，增訂個(gè)人信息沖擊影響評(píng)估之要求。亦有建議可采修正個(gè)人信息法施行細(xì)則之方式，明定應(yīng)采行個(gè)人信息沖擊影響評(píng)估。又縱使不修正個(gè)人信息法或其施行細(xì)則，亦應(yīng)訂定指引使產(chǎn)業(yè)了解影響評(píng)估之內(nèi)容。委員/專家意見伍、后續(xù)推動(dòng)工作重點(diǎn)18為強(qiáng)化數(shù)字隱私與個(gè)人信息保護(hù)，本會(huì)后續(xù)將就群眾委員、專家學(xué)者及公協(xié)會(huì)代表所提意見之初步方向，進(jìn)一步研議擬采行之妥適措施。明年本會(huì)規(guī)劃針對(duì)未涉及個(gè)人信息法修正之議題，在兼顧個(gè)人信息保護(hù)及資料合理利用之政策方向下，就個(gè)人信息法施行細(xì)則進(jìn)行修正，或發(fā)布相關(guān)指引、函釋。本會(huì)并將持續(xù)觀察國(guó)際立法例之發(fā)展，以研議未來個(gè)人信息法修正之方向。19簡(jiǎn)報(bào)完畢

敬請(qǐng)指教附件：外國(guó)立法例-拒絕權(quán)20我省個(gè)人信息法相關(guān)國(guó)家/地區(qū)法規(guī)當(dāng)事人表示拒絕營(yíng)銷時(shí)，非公務(wù)機(jī)關(guān)應(yīng)即停止利用其個(gè)人資料營(yíng)銷歐盟GDPR控管者基于公共利益執(zhí)行職務(wù)、行使公權(quán)力、正當(dāng)利益處理個(gè)人信息，當(dāng)事人得拒絕，除非控管者證明優(yōu)先于資料主體之正當(dāng)利益或?yàn)樾惺狗蓹?quán)利者控管者為科學(xué)或歷史之研究或統(tǒng)計(jì)目的處理個(gè)人信息時(shí)，當(dāng)事人得拒絕，除非為公益執(zhí)行職務(wù)所必要者當(dāng)事人得拒絕為營(yíng)銷目的之個(gè)人信息處理美國(guó)CCPA消費(fèi)者得拒絕業(yè)者將其個(gè)人信息販?zhǔn)刍蚍窒鞢DPA消費(fèi)者得拒絕業(yè)者精準(zhǔn)營(yíng)銷、販?zhǔn)?、剖析目的而處理其個(gè)人信息日本個(gè)人信息法無韓國(guó)個(gè)人信息法當(dāng)事人得要求處理者停止處理其個(gè)人信息，除非為公務(wù)機(jī)關(guān)執(zhí)行法定職務(wù)、處理者為遵行法定義務(wù)或履行契約必要…等新加坡個(gè)人信息法當(dāng)事人得拒絕營(yíng)銷附件：外國(guó)立法例-查閱權(quán)21我省個(gè)人信息法相關(guān)國(guó)家/地區(qū)法規(guī)當(dāng)事人得就其個(gè)人資料行使「查詢或請(qǐng)求閱覽」之權(quán)個(gè)人信息搜集機(jī)關(guān)非有法定例外情形，應(yīng)答覆查詢、提供閱覽或制給復(fù)制本歐盟GDPR當(dāng)事人有權(quán)確認(rèn)其個(gè)人資料處理情形及相關(guān)信息，并要求處理者提供復(fù)制本美國(guó)CCPA消費(fèi)者有權(quán)要求業(yè)者提供其個(gè)人信息內(nèi)容及相關(guān)信息CDPA消費(fèi)者有權(quán)向業(yè)者要求存取其個(gè)人資料日本個(gè)人信息法當(dāng)事人得要求處理者揭露其所保有的個(gè)人資料，處理者非有法定例外情形，不得拒絕韓國(guó)個(gè)人信息法當(dāng)事人得向處理者要求閱覽被處理的個(gè)人資料。

處理者非有法定例外情形，不得拒絕新加坡個(gè)人信息法當(dāng)事人得要求組織提供其所保存或控制的個(gè)人資料，組織非有法定例外情形，不得拒絕提供附件：外國(guó)立法例-告知22我省個(gè)人信息法相關(guān)國(guó)家/地區(qū)法規(guī)以「當(dāng)事人同意」作為個(gè)人信息目的外利用之依據(jù)時(shí)，在目的外利用前須明確告知特定目的外之其他利用目的、范圍及同意與否對(duì)其權(quán)益之影響。歐盟GDPR進(jìn)階處理個(gè)人信息須向當(dāng)事人告知信息美國(guó)CCPA向消費(fèi)者告知前，不得將資料用于不兼容目的CDPA無日本個(gè)人信息法變更資料利用目的，除有法定例外情形，應(yīng)通知當(dāng)事人韓國(guó)個(gè)人信息法經(jīng)當(dāng)事人同意或依法律規(guī)定，始可目的外利用新加坡個(gè)人信息法目的外利用前，應(yīng)先告知當(dāng)事人附件：外國(guó)立法例-同意23我省個(gè)人信息法相關(guān)國(guó)家/地區(qū)法規(guī)搜集個(gè)人信息之同意系指當(dāng)事人經(jīng)搜集者告知本法所定應(yīng)告知事項(xiàng)后，所為允許之意思表示。目的外利用個(gè)人信息時(shí)，須取得當(dāng)事人單獨(dú)同意。歐盟GDPR同意應(yīng)自愿、特定、知情、明確，以當(dāng)事人積極行為為之。撤回同意應(yīng)與給予同意同樣容易。美國(guó)CCPA同意應(yīng)自愿、特定、知情、明確，為特定目的，并由消費(fèi)者以聲明或積極行為為之。特定行為不構(gòu)成有效同意。CDPA同意應(yīng)自愿、特定、知情、明確，并由消費(fèi)者以積極行為作出。日本個(gè)人信息法指引應(yīng)以合理、適當(dāng)之方式取得同意。韓國(guó)個(gè)人信息法個(gè)人信息處理者應(yīng)就各同意事項(xiàng)分別取得個(gè)人信息當(dāng)事人之同意。新加坡個(gè)人信息法不得以不正當(dāng)方法取得同意。當(dāng)事人得隨時(shí)撤回同意。附件：外國(guó)立法例-個(gè)人信息外泄通知24我省個(gè)人信息法相關(guān)國(guó)家/地區(qū)法規(guī)公務(wù)或非公務(wù)機(jī)關(guān)違反個(gè)人信息法規(guī)定，致個(gè)人信息被竊取、泄漏、竄改或其他侵害者，應(yīng)查明后以適當(dāng)方式通知當(dāng)事人歐盟GDPR發(fā)生個(gè)人信息外泄事故，控管者應(yīng)至遲于72小時(shí)內(nèi)通報(bào)主管機(jī)關(guān)，但外泄未對(duì)當(dāng)事人權(quán)利與自由造成風(fēng)險(xiǎn)時(shí)，不在此限發(fā)生個(gè)人信息外泄事故，且可能造成當(dāng)事人自由及權(quán)利高風(fēng)險(xiǎn)時(shí)，控管者應(yīng)盡快通知當(dāng)事人美國(guó)CCPA非于個(gè)人信息法規(guī)定，而于加州民法典規(guī)定CDPA非于個(gè)人信息法規(guī)定，而于維吉尼亞州法典規(guī)定日本個(gè)人信息法可能影響當(dāng)事人權(quán)益時(shí)，應(yīng)通報(bào)主管機(jī)關(guān)，并通知個(gè)人信息當(dāng)事人（尚未施行）。韓國(guó)個(gè)人信息法知悉個(gè)人信息外泄事故時(shí)，應(yīng)實(shí)時(shí)將外泄資料類別、救濟(jì)措施等通知當(dāng)事人個(gè)人信息外泄事故達(dá)總統(tǒng)令所定規(guī)模須向主管機(jī)關(guān)通報(bào)新加坡個(gè)人信息法除法定情形外，外部人員造成的個(gè)人信息外泄事故，如符合可能對(duì)個(gè)人信息當(dāng)事人造成重大影響或可能具較大規(guī)模二者條件之一者，應(yīng)通知當(dāng)事人。個(gè)人信息法主管機(jī)關(guān)等得指示組織不向當(dāng)事人通知附件：外國(guó)立法例-個(gè)人信息沖擊影響評(píng)估25我省個(gè)人信息法相關(guān)國(guó)家/地區(qū)法規(guī)資料搜集機(jī)關(guān)采行之安全維護(hù)措施，得包括「?jìng)€(gè)人資料之風(fēng)險(xiǎn)評(píng)估及管理機(jī)制」歐盟GDPR若處理個(gè)人信息(特別是使用新技術(shù))可能造成當(dāng)事人權(quán)利及自由之高風(fēng)險(xiǎn)時(shí)，控管者應(yīng)于處理前，對(duì)該處理行為進(jìn)行個(gè)人信息沖擊影響評(píng)估具有(1)進(jìn)行系統(tǒng)性、大規(guī)模評(píng)估，且對(duì)當(dāng)事人有法律或類似重大效果；(2)處理特種個(gè)人信息或前科犯罪個(gè)人信息；(3)大規(guī)模系統(tǒng)性監(jiān)視公共區(qū)域等情形，應(yīng)進(jìn)行個(gè)人信息沖擊影響評(píng)估美國(guó)CCPA若可能對(duì)消費(fèi)者造成嚴(yán)重風(fēng)險(xiǎn)，業(yè)者應(yīng)每年實(shí)施資安查核，及定期向加州隱私保護(hù)署