雖然隱私的維護要求並沒有國界之分,但各國對於隱私維護所制訂的法規卻有所不同,因此在個資保護方面,也必須依照不同國家的法律規定,評估可能面臨的最大風險,再來實施相對應的控制措施。
以歐盟為例,它採用了廣泛性的一般適用原則,無論是政府或者民間企業,都必須遵守其頒布的資料保護法規,並且交由專責的資料保護機構來予以監督,在這個原則之下,歐盟各國仍然保有其自主彈性的空間,可依據本身的國情與民眾的期待,實施所需的個人資料保護作法,以達成歐盟對於隱私維護的精神。
作為世界另一大經濟體的美國,對於個人資料保護的作法,則是以不同的產業要求作為區分,不同的產業都有其所屬行業要求的法規,並沒有非常明確的國家法律來要求所有組織都要遵守才行。至於加拿大和澳洲,其個人資料保護是由各個產業發展出必須要遵守的一套標準,然後再交由隱私的專責機構(資訊隱私委員會)來做統一監督,確保隱私維護與個資保護的相關規定,能夠在所有的行業中都予以落實。
OECD的隱私保護原則
在1980年,由美國、日本和歐洲國家所組成的經濟合作與發展組織(OECD),公布了一項名為保護隱私與跨境傳輸個人資料的隱私指導原則,成為了世界各國最廣泛認可的實務參考,同時也受到美國聯邦貿易委員會(FTC)的支持,它提出了以下八項隱私保護原則,非常適合組織作為制定隱私保護政策時的參考。
- 1. 限制蒐集原則:強調個人資料的蒐集應受到限制,並且要在公平合法的情況下被取得,同時以適當的方式來取得當事人的同意。
- 2. 資料品質原則:個人資料的內容應與蒐集的目的有關,或是符合其使用目的而產生的必要性,個人資料的內容必須確保正確與完整性,並且及時地更新。
- 3. 目的明確原則:個人資料的蒐集目的,必須在開始蒐集時即明確指出,隨後在利用這些個人資料時,也必須限制在目的之內,日後若需要變更時,更要明確指出其變更後的利用目的為何。
- 4. 利用限制原則:個人資料不應在指定目的之外被揭露或利用,除非已事先獲得當事人的同意或有相關法律作為依據。
- 5. 安全措施原則:針對個人資料可能發生遺失、不當存取、使用、修改、損毀及揭露的風險,應採取相對適當的安全控制措施,以降低可能的風險。
- 6. 公開原則:對於個人資料的發展、實務和政策的制定,應依據公開的原則來進行,針對個人資料持有的種類和使用目的,以及資料控管者的連絡方式,應公開並且易於讓當事人知悉。
- 7. 個人參與原則:個人資料的當事人,應保有以下的權利:(a)有權利向資料控管者或持有之組織,確認是否保有和其有關的個人資料;(b)在合理的時間和費用範圍內,以合理的方式和可了解的形式,向組織查詢和其有關的個人資料;(c)針對所提出的查詢或主張的權利若遭到拒絕時,可以提出異議要求說明;(d)若所提出的異議成立時,可要求組織刪除、變更、修改、補充其個人資料。
- 8. 責任原則:個資的控管者必須負起相關責任,並要求落實以上提到的各項隱私保護原則。
歐盟的個人資料保護指令
在1981年,歐洲的議會針對自動化處理的個人資料,通過了個人保護協定(COE convention),它所要求的個人資料保護原則和OECD類似,可作為歐洲國家在制定個人資料保護法令的參考。到了1990年代,由於歐洲各國在個人資料保護方面仍缺乏一致性,加上實務面各國都有跨境傳輸個人資料的需求,可是在取得當事人的同意和接收國的保護措施方面,要求的程度都有所不同,因此促成了歐盟起草資料保護指令(EU Data Protection Directive)的契機。
歐盟的個資保護指令在1995年被採納,並且在1998年正式生效,對歐盟的會員國而言,只要是遵守個資保護指令的國家,也就等同於採納了各國所屬的個人資料保護法,可以獲得跨境傳輸資料的允許和信任。事實上,歐盟的個資保護指令的確在歐盟會員國之間產生了個資保護的關鍵性作用,而隨著資訊科技的演進,在2012年個資保護指令已進行了更新與修改,期許未來不只在歐洲地區,對歐盟以外的國家也可提供重要的隱私保護資訊與要求。
APEC的隱私保護綱領
對亞太地區而言,於1989年成立的亞太經濟合作組織,則是扮演了重要的經濟與文化交流的推手,針對隱私維護與個人資料保護的要求,在2003年所成立的隱私保護小組也致力於此項議題的發展,並於2004年11月正式通過了隱私保護綱領(APEC Privacy Framework),包含了以下九項的隱私保護原則。
- 1. 損害避免原則:針對當事人對於其個人資料的合理期待,針對可能損及當事人權益的風險,應採取適當的風險處理措施以避免損害。
- 2. 告知原則:在蒐集個人資料時,應告知當事人被蒐集的目的、資料類型、蒐集者的聯絡方式與當事人可主張的權利。
- 3. 限制蒐集原則:個人資料的蒐集應與被告知的目的相關,要求採取公正的方式進行,並且限制其所蒐集的範圍。
- 4. 利用原則:個人資料的利用應獲得當事人的同意,並且僅限於當初所蒐集的目的範圍內,不可任意作為其他的用途。
- 5. 選擇原則:當事人應被提供可選擇的權利,能夠針對其個人資料的蒐集、處理和揭露,主張其個人的意願和選擇。
- 6. 完整原則:個人資料務必確保其正確與完整,並且要持續地更新以維護當事人的權益。
- 7. 安全原則:保有個人資料的組織,應針對可能的安全風險,實施對應的安全控制措施,以避免個人資料受到不當的揭露與損毀。
- 8. 存取和更正原則:組織應提供個人資料的當事人,可在合理的時間內,以適當的方式對其個人資料提出查詢和閱覽的請求,並且不得無故拒絕其補充或更正的申請。
- 9. 責任原則:保有個人資料的組織,應負責遵守法規和個資保護的責任,尤其當資料需傳輸至第三方和不同國家時,務必要求以對等的保護方式來維護當事人的隱私和資料安全。