國發會去年成立「個人資料保護專案辦公室」,更緊鑼密鼓檢視台灣《個人資料保護法》,希望利用函釋條文方式,解決與GDPR規範的落差,如果真的超出法規範圍,再透過修訂個資法處理。不過,面對科技時代,法界人士認為,個資法不僅要與國際接軌,也要跟上科技進步。
個資保護辦公室諮詢委員、律師張陳弘就指出,國發會的態度稍嫌保守,不利於個資保護的進展。
他舉例,個資認定從過去就被批評為沒有標準,例如法務部認為,如果不能識別個人身分,錄音檔就不是法規所稱的「個人資料」,雖然這項函釋可能會取消,但相關法令還是沒有明定如何判斷符合「個人資料」的標準,將來車牌號碼或電話號碼究竟是否為「個資」的爭議還有得吵。
張陳弘指出,根據歐盟的判斷標準,任何人對若能透過所有可能、合理的方式識別特定個人時,相關資料就是GDPR規範的個資。國發會修法就應提出可供判斷的明確標準,重新檢討過去相關函釋,解決長期以來個資法定義模糊的老問題。
隱私法權威、常在國際法律事務所律師莊植寧指出,GDPR與台灣個資保護法的重大差異,就是對「目的限定原則」的規範及運用,這是GDPR個資保護法制的核心。
莊植寧解釋,因「目的限定」原則,個資管控者對已蒐集的個資從事任何目的外使用行為,應該是原則禁止,除非後續使用目的能與原始蒐集目的相容。
例如客戶甲在銀行開戶並簽訂借貸契約,留下個資,銀行可在一定時間後,利用這些個資計算更好的貸款方案推薦給客戶甲,這符合GDPR規範的正當利益權衡事由,不用重新取得客戶同意;但銀行若不經同意,不能將客戶資料分享給同集團的保險公司規劃保險。
莊植寧指出,相較於GDPR重視目的限定原則,台灣個資法規範卻未充分要求,不利於保護個資,對於目的外利用行為的規範,欠缺類如GDPR的相容性要求,應在未來修法時補強。
本文由聯合報系授權轉載