臺北市政府法務局

數位轉型之個資保護政策與GDPR

歐盟個資保護-GDPR簡介

 General Data Protection Regulation(縮寫作 GDPR)，是歐盟「個人資料保護規則」，本法案在2016年4月27日通過，兩年的緩衝期後，在2018年5月25日起施行。是歐盟法律中對所有歐盟個人關於資料保護和隱私的規範，涉及了歐洲境外的個人資料出口。GDPR主要目標為取回個人對於個人資料的控制，以及為了國際商務而簡化在歐盟內的統一規範。

GDPR規範範圍，包含有關處理歐盟內部資料主體的個人可識別資訊的條款和要求，適用於與歐洲做生意的所有企業，不論實體位置何在。處理個人資料的業務流程必須在設計和預設情況下構建資料保護。 

個人資料處理者必須清楚地披露任何資料收集，聲明資料處理的合法基礎和目的，保留資料的時間以及是否與任何第三方或歐盟以外的國家共享資料。用戶有權以通用格式請求處理器收集的資料的便攜式副本，並有權在特定情況下刪除其資料。公共主管部門和以核心活動為中心定期或系統地處理個人資料的企業需要雇用資料保護官員（DPO）負責管理GDPR的合規性。如果資料洩露對用戶隱私產生不利影響，企業必須在72小時內報告任何資料洩露。

GDPR規範的重點主要是擴大了適用的範圍，除了在歐盟境內設立據點的企業外，還包括對歐盟境內人民提供產品、服務或監測歐盟境內人民網路行為的境外企業。其次，在個資跨境傳輸的部分，由於歐盟是採「原則禁止、例外允許」模式，因此只有在符合例外之情形下，個資才能進行跨境傳輸，而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施，例如企業自行擬定具約束性企業規則，並報請歐盟個資主管機關許可、取得特定認證；或取得個資當事人明確同意等方式。

此外，GDPR亦規定對第三國個資保護水平是否達到GDPR標準的適足性認定制度，取得此一認定資格的國家，即可自由與歐盟間進行個資跨境傳輸。基此，行政院於107年5月24日第3601次院會責成國發會成立「個人資料保護專案辦公室」，以加強跨部會因應GDPR事宜之協調整合，並負責統籌各部會向歐盟申請適足性認定事宜；其任務包括整合因應GDPR相關事宜，與向歐盟申請適足性認定工作及配合檢討個人資料保護法，協調整合並加強各部會落實執行個資法之一致性。

 Read More

國家發展委員會個人資料保護專案辦公室-歐盟一般資料保護規則專區

愛沙尼亞數位治理與個資保護

愛沙尼亞的數位治理有二個主要方式，分別說明如下：

1.數位身分證

愛沙尼亞政府把握時機，先於1999年2月制定「身分證法」(Identity Documents Act,IDA)，再於2000年3月制定「數位簽章法」(Digital Signatures Act)，作為數位身分證(下稱eID)的法律基礎 ；至2002年1月，開始正式發給民眾使用。

2.電子化政府技術骨幹－X-Road

X-Road為愛沙尼亞中央政府開發的開源數據交換解決方案，使各公、私部門可以藉由網路交換資料，主要功能包括：控管網址、資訊發送與訪問權限；對傳輸各方進行組織與設備等級認證；執行傳輸加密、數位簽章；加註時間戳記，及進行錯誤管理等。該方案作為愛沙尼亞全國性的資料傳輸平台，屬於該國「公眾資訊法」所定應由中央政府立法維運之國家級資訊系統。公、私營部門均可將其資訊系統與X-Road相連，或使用相容架構建置部門內部系統，以節省資源，進一步提升公部門間、私部門間及公、私部門間的數據交換效率。又對於民眾及消費者而言，透過X-Road能夠穿梭不同網路門戶，使用各種服務，同時掌握自己在各公、私部門之資料運用情形。

此外，愛沙尼亞政府在蒐用民眾個人資料時，遵守「一次蒐集」及「公開透明」兩大原則。一筆或一項個人資料，僅由單一蒐用機關保有；同一民眾至其他機關申辦業務所提供之資料，如對於留存於他機關之資料有需求，則透過X-Road系統流通取得。例如，對於資料當事人而言，其得隨時登入系統查閱資料被各類公、私部門查詢及利用之軌跡。如發現確有不當蒐用行為，資料當事人得逕洽蒐用者了解原因，或請求個人資料保護專責機關查處。

 Read More

1.2020年臺北市柯文哲市長訪歐團出國報告