Page 12 - 銀行家雜誌第103期
P. 12
名家觀點
View Point
(六)強化個人資料保護的監督機制 1995 年「個人資料保護指令」所確立的原則
新規則對資料保護的監管相當嚴格,主要 和框架。一是禁止向無法提供充足資料保護的
體現在 4 個面向。其一,建立個人資料侵害之 國家傳輸個人資料,充足資料保護的國家名單
通報及損害賠償。一旦資料控管者發現個人資 由委員會決定。二是在沒有充分性決定的情況
料受到侵害,原則上應於發現後 72 小時內向 下,企業、組織或機構可以基於具有拘束力的
監管機關通報,除非資料控管者能證明依歸責 企業守則、標準資料保護條款或由監管機關授
原則,該個人資料的侵害不可能造成損害當事 權的契約條款等機制向歐盟境外傳輸個人資
人權利與自由的風險。其二,強制設置資料保 料。至於評估第三國個人資料保護程度是否充
護長。除法院行使司法權外,若由公務機關或 足(適足)時,應考量是否具有一個(或以上)
機構執行個人資料處理、資料控管者或處理 獨立監管機關的存在並有效運作、是否已參與
者需要定期且系統性地大規模監控資料主體 或簽署關於個人資料保護的國際協定或其他具
時、大規模處理特殊類型個人資料或與前科 法律拘束力的合約或已參與多邊或區域體系而
及犯罪相關的個人資料或歐盟或會員國法有 生的義務等情形。
明確要求時,應指定具資料保護法律與實踐
二、重新評估現行機制
專業知識的資料保護長(DPO)。其三,建立
力求與歐盟新制接軌
個人資料保護影響評估制度(DPLA)。亦即,
明確規定資料處理活動的性質、範圍或目的 新規則導入資料主體具有刪除權(被遺忘
可能給資料主體的權利和自由造成特定高度風 權)、攜帶權、限制權及反對權,為資料當事
險時,資料控管者應於處理前執行資料保護影 人嶄新的權利。又所謂國際傳輸,是指將個
響評估,以衡量風險的來源、本質、特殊性與 人資料作跨國(境)的處理或利用。觀諸歐盟
嚴重性。其四,鼓勵建立認證機制與資料保護 的新規則第 44 條至第 49 條規定,對於跨境
標章及標誌。例如制定落實「一般資料保護規 資料傳輸,其規範採取「原則禁口、例外允
則」相關要求的行為準則,並推行認證制度, 許」原則。反觀我國個人資料保護法第 21 條
使資料主體得以快速評估相關產品及服務之資 規定:「非公務機關為國際傳輸個人資料,而
料保護程度。 有下列情形之一者,中央目的事業主管機關
得限制之:一、涉及國家重大利益。二、國際
(七)國際資料傳輸的新制 條約或協定有特別規定。三、接受國對於個
就跨境資料傳輸而言,新規則基本援用 人資料之保護未有完善之法規,致有損當事
12 台灣銀行家2018.7月號
1 5% JOEE ɪʹ
