前幾天(1月28日)剛過的國際資料保護隱私日,其由來是紀念歐洲理事會第108號條約生效日,歐洲理事會第 108 號公約是全球第一份具法律效力的個人資料保護國際公約,這個條約深深地影響了後來[前網際網路時代]的歐盟個資保護指令(95/46/EC),以及即將在今年五月生效的 GDPR(歐盟一般性個資保護法規)。

正因此國家主權抬頭與跨國寡頭私人企業壟斷的網際網路年代下,為了能繼續確保使用者權利不致於完全被前二類強權所綁架控制,GDPR 更突顯它在此網路科技美好許諾淪為失落,作為安定使用者信心的定心丸。坊間對於如何因應 GDPR 上路後的企業營運、NPO 組織資料紀律、國家公部門的法律修正與落實執行….等等話題討論、研究建議、入門指南引導資源越來越多。但近期由 Access Now 於今年一月底搭配國際資料保護隱私日活動推出的Personal Data Protection Framework Guideline for Lawmakers,則是在此個資問題越來越受重視的關鍵時刻,提醒各國立法者能好好站在全民角度制定出跟呼應此數位時代權利彰顯的個資保護法規。

自己覺得這份指南整理的很不錯,非常適合給對於個人資料沒有概念的立法者(沒錯,我明指就是台灣的立委啦)作為學習的入門。此篇所整理的重要立法觀念可為行走江湖護身的打臉工具,尤其防備很會亂呼弄法條的行政官員,故把提醒立法者在處理和「資料保護」相關的事宜時,要注意該作與不要作十五大原則,簡單中譯介紹如下:

Personal Data Protection Framework Guideline for Lawmakers

Do’s 立法時該作的事項:

  1. Ensure transparent, inclusive negotiations 確保透明,包容的協商過程

  2. Define and include a list of binding data protection principles in the law 法律有明確定義和包含一系列具約束力的數據保護原則。所謂的法律明定,則有以下幾項原則:

  • fairnewss and lawfulness 公正與合法性
  • Purpose limitation 目的鎖定限制
  • Data minimisation 個資收集盡可能地維持最少
  • Accuracy 準確性
  • Retention limitation 保存時間限制
  • Users’ rights 使用者權利
  • Integrity and confidentiality 一致與私密性
  • Adequacy 適當

  1. Define legal basis authorising data to be processed 清楚定義授權資料處理的法律依據

  2. Include a list of binding users’ rights in the law 法律上要列出具約束力的用戶權利列表,所謂的權利包含:

  • Right to access 接近使用
  • Right to object 拒絕
  • Right to erasure 要求刪除
  • Right to rectification 更新修正
  • Right to information 知道自身個資如何被使用等相關資訊之權利
  • Right to explanation 獲得解釋,尤其涉及演算法如何使用資料的設定設計
  • Right to portability 個資可攜

  1. Define a clear scope of application 清楚明定法令適用的範圍 網路數位世界位元流竄似無邊界,遇上現實中的法律遇上的第一道題目往往就是司法管轄的認定爭議。因個資保護是以「人」為中心所延伸的其相關可辨識聯結原當事人的資訊,故應參考人權法國際慣例時刻以資料當事人之利益為念,而不受限於資料流動到何地。此番以人為中心的適法性設計,也希望能因此推動全球個資保護標準的進步提昇,而不是出現以資料在地化為名,卻是人權保障倒退的狀況。

  2. Create binding and transparent mechanisms for secure data transfer to third countries 建立法定透明機制以確保資料能安全地移轉到第三國。 對照著該作的原則 5 來看第 6 項原則,若依保護高標國法律為準,則此理想法治社會之間資料的跨境移動就不是大問題了。

  3. Protect data security and data integrity 保護資料的安全和一致性

  4. Develop data breach prevention and notification mechanisms 發展預防資料洩露與即時通知的機制

  5. Establish independent authority and robust mechanisms for enforcement 有獨立強健的機關來推動法令的執行落實

  6. Continue protecting data protection and privacy 持續保護資料與隱私

Don’t Dos 立法上不要做的事

  1. Do not seek broad data protection and privacy limitations for national security 不要以國安理由過度放鬆資料保護責任與隱私限制

  2. Do not authorise proacessing of personal data based on the legitimate interest of companies without strict limitations 不可在未有嚴格限制下,授權任何人/單位任意處理個人資料。

  3. Do not develop a “right to be forgotten” 不要過度發展「遺忘權」。 這裏稍微說明了「遺忘權」,不可望文生義地忘妄自強加解釋,以為是把已在網路上發佈的資訊予以刪除。還原「遺忘權」在歐洲某國法庭上的爭執與判決,指的是判定原告有權利要求把網路搜尋引擎傳回的結果當中某些因涉及個人資料具爭議的條目,要求網路搜尋引擎服務商將之自搜尋結果中移除(de-list)。right to de-list 不同於稍早在當事者權利清單中已肯認的「可要求刪除的權利」(right to erease),後者指的是個資當事人有權在退出或取消某服務時,要求服務供應商刪除自己過往因使用而產生的資料,確保當事者對自身資料的掌控。但所謂的遺忘權或 right to de-list,並不包含要求原刊登表佈網站(或後續其它轉載貼文網站)必須移除該內容。故 Access Now 希望不要誤解了「遺忘權」,否則讓已公開內容被移除或是全域性封刪網路搜尋引擎結果,恐怕會被誤用反成了限制言論資訊自由的手段。

  4. Do not authorise companies to gather sensitive data without consent 未取得同意下,不要授權敏感資料的收集

  5. Do not favor self-regulation and co-regulation mechanisms 不可偏好自律或共律機制

這一串提醒立法者要做與不要做的清單,完全可以拿來檢驗台灣「個人資料保護法」近一波(2009~2016 年之間)從立法、修法到公佈到實施一整個過程中的曝露出立法者、行政官員對資料保障的認知不足,造成在立法攻防上矛盾衝突不斷。不幸的是,台灣個資法大幅修改最後的結果,依舊是立法上原本該做的好的保護防備與條文明確性並未札實做到,而不該做的事項卻一再被放水上路。也難怪台灣的個資法在後續執行上不但無法落實人民線上線下生活裏資料掌控自決,反而常被污名成讓權力者作為遮羞的檔箭牌,正因一開始即未對症下藥,以至台灣社會的個資毛病越拖越嚴重。此刻只能合十祈禱短期內若有再次修法補正的機會,立法者請好好地參考這份資料作點基本功吧。