資訊安全 個人資料 個資法 法規 隱私 資安 個資

各國隱私法規與個資保護要求簡介

2013-03-19
雖然隱私的維護要求並沒有國界之分,但各國對於隱私維護所制訂的法規卻有所不同,因此在個資保護方面,也必須依照不同國家的法律規定,評估可能面臨的最大風險,再來實施相對應的控制措施。
美國的安全港架構協定

目前有許多的組織,在網站的資料收集和隱私權政策中,經常會提到它們會遵守所謂的「安全港架構」(Safe Harbor Framework),到底這是什麼樣的架構?和隱私保護有什麼關係?必須要遵循哪些事項?恐怕清楚知道的人就不多了。

根據維基百科的定義,安全港架構是一項法律的協定,可以減少或消除當事人在法律的責任,但其要件是當事人的各項行為,必須能夠履行良好的誠信原則,或者符合所定義的法規標準。目前美國和歐盟都有通過彼此認可的安全港架構,主要是因各國對於隱私和個人資訊保護所採取的措施皆不同,為了避免資料在跨國傳輸時,被認定為保護措施不足而受到限制,歐盟在2000年時認可了只要是符合安全港架構的組織,歐盟的成員國就可允許其傳送、儲存或使用歐盟成員國民的個人資訊,也就是將符合安全港原則的組織也視為符合其「資料保護命令」(The European Commission’s Directive on Data Protection)的標準。

如果想要符合美國和歐盟的安全港計畫,組織可以加入一項自我律定的隱私計畫,每年以書面方式向相關單位證明確實遵循了安全港的隱私原則,以達到美國和歐盟的安全港架構的要求,或是也可以制訂本身所監管的隱私政策,以符合美國和歐盟的安全港架構。關於安全港的隱私原則,共有以下七項要求:

  1. 1. 告知:組織必須告知當事人關於其個人資料的蒐集和使用目的,組織也必須提供個人在有任何疑問時,如何與該組織連繫或投訴、向第三方揭露資訊的方式,以及提供可用來限制使用和揭露的選擇。
  2. 2. 選擇:組織應給予個人選擇同意或退出的機會,選擇是否提供可將個人資訊透露給第三方或用於不符合當初蒐集目的的授權,組織必須尊重當事人依其權利所做出的選擇。
  3. 3. 轉送:若組織要將個人資訊揭露給第三方,必須符合以上提到的告知和選擇原則,同時若作為轉讓資訊的代理人,必須確保第三方同樣遵守安全港隱私保護原則,像是訂立書面協議,要求第三方至少也要提供相同水準的隱私保護方式。
  4. 4. 存取:個人擁有合理存取在組織中所持有個人資訊的權利,而且能夠要求更正、修改或刪除不正確的個人資訊,除非此要求將產生和個人隱私不相稱的風險,或是會侵犯到其他人的權利,組織才可拒絕提供。
  5. 5. 安全:組織必須採取合理的預防措施,保護個人資訊不會遺失、被濫用,以及受到未經授權的存取、洩露、竄改和毀壞。
  6. 6. 資料完整性:個人資料必須使用於和蒐集有關的目的上,組織必須採取合理的步驟來確保資料的可靠性,以達成預期合理的使用、正確完整和及時更新。
  7. 7. 執法:為了確保符合安全港的隱私保護原則,組織必須:(a)建立易於獲得的獨立申訴機制,使每個人的投訴和糾紛可進行調查和解決,提供適用於法律或隱私部門的損害賠償;(b)確認公司承諾遵守安全港原則的程序已被實施;(c)若未遵守原則時,必須負起矯正所產生問題的義務,同時制裁措施必須夠嚴格,未符合要求就無法列入安全港組織清單中。組織如果未能提出年度的自我認證書,也會被從參與者名單中除名,該組織遵守安全港的利益也將無法被保證。

追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!