臺灣博碩士論文加值系統

重視人權的歐盟，在1995年制定了個人資料保護指令〈Data Protection Directive〉，為了符合現代時空環境，2016年又通過「一般資料保護規範」〈General Data Protection Regulation, GDPR〉，2018年5月25日，歐盟一般資料保護規範開始實施，改變了一系列雲端廠商蒐集、處理以及處理用戶資料的方式，儘管我國政府與廠商目前還未面臨歐盟一般資料規範的重大影響，但是藉由國外廠商如何因應GDPR可以作為我企業與個資法與國際接軌的榜樣，因此本研究目標將致力探討個資與隱私權對我國各行各業或甚至未來有何影響。
過去研究較少由觀察個案廠商聲明探討法令遵循對個資蒐集處理變革之影響，本研究透過歐盟一般資料保護規範正式執行，觀摩國外知名雲端廠商依照歐盟一般資料保護規範遵循下，雲端廠商的因應措施。本研究希望透過法令遵循原則下，對企業處理個資因應措施之觀察，能了解與發現下列事項：
1.比較我國個資法與歐盟一般資料保護規範上的差異。
2.以應用個人隱私衝擊分析，分析我國企業為遵循歐盟一般資料保護規範所面臨之狀況。
3.比較與分析雲端廠商對於歐盟的一般資料保護規範所提出的聲明以及遵循
本研究採用個案研究，以國外知名雲端廠商在GDPR實施下，透過本研究以下列六大構面分析比較，(1)規範適用、(2)涉及資訊社會服務適用兒童同意之條件、(3) 資料剖析、(4)資料可攜權及被遺忘權、(5)國際傳輸、(6)經由設計的隱私規範，本研究將借鏡國外雲端廠商難以執行的部分，作為我國個資法以及企業以後可以參考的方向。
關鍵字：資訊隱私、歐盟一般資料保護規範、個人隱私衝擊風險、雲端服務風險

The European Union attaches importance to human rights. The European Data Protection Directive of 1995 was created to ensure that data are protected in the same manner throughout the European Union. In order to conform the modern space-time environment, the regulation was ratified in 2016. The General Data Protection Regulation (GDPR) came into force on May 25, 2018. It has changed the way the series of data collection, process and user data processing from cloud service providers. Despite the fact that Taiwanese government and cloud service providers have not been confronted with the huge impact of GDPR, it is the chance to make our government and cloud service providers come up to international standard by observing how foreign cloud service providers comply with GDPR. This research proposes an investigation for the impact of personal data and privacy to Taiwanese various walks of life and future.
In the past literatures, there was a lack of researcher that the effect of legal compliance influence over the collection and procession of personal data from observing declaration of cloud service providers. This research will explore the way in which the GDPR implement by watching famous foreign cloud service providers how they comply with the GDPR and discover what actions should be required. This research intends to discover the followings from data processing and actions requirement of corporation through compliance-based principles:
1.Compare the difference between Taiwanese personal information protection act and GDPR.
2.Apply privacy impact assessment to analyse the situations that Taiwanese corporations encounter from complying GDPR.
3.Compare and analyse the declaration and compliance of cloud service providers to GDPR.
This research is based on case study to discover the followings through famous foreign cloud service providers under GDPR enforcement:(1)regulation scope、(2)Conditions applicable to child's consent in relation to information society services、(3)Data profiling、(4)Right to data portability and Right to erasure、(5)International data transportation、(6)Privacy by deign. Under the hard part that foreign cloud service providers are difficult to execute, there would be an advice and direction - a good example for Taiwanese personal information protection act and corporation.
Keywords: Data Privacy, GDPR, Privacy Impact Assessment, Cloud Risk
 

目錄
摘要 i
Abstract ii
目錄 iv
表目錄 v
圖目錄 vi
第一章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 4
第三節 研究流程 5
第二章 文獻探討 7
第一節 資訊隱私 7
第二節 歐盟一般資料保護規範沿革及架構與重要原則 10
第三節 個人隱私衝擊分析 15
第四節 雲端服務風險 19
第三章 研究方法 24
第一節 研究策略與架構 25
第二節 研究方法與個案選擇 25
第四章 個案探討 29
第一節 歐盟一般資料保護規範對我國產業影響 29
第二節 歐盟一般資料保護規範對FACEBOOK影響 33
第三節 歐盟一般資料保護規範對GOOGLE的影響 59
第四節 FACEBOOK與GOOGLE執行差異的影響與討論 80
第五章 結論與建議 89
第一節 結論 89
第二節 研究限制與未來研究方向 92
參考文獻 94

參考文獻
英文文獻：
Ansoff, I. H. (1991). The Design School： Reconsidering the Basic Premises of Strategio Management, Strategic Management Journal, (12), 136-148.
Barnard, C. F. (1976). in H. Simon ed. Administrative Behavior, New York： Free Press.
Cooper, D.R. & Schindler, P.S. (2006) Business Research Methods. 9th Edition. New York： McGraw-Hill.
Directive, E. U. (1995). 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Official Journal of the EC, 23(6)..
Eisenhardt, K. M,(1989). Building theories from case study research. Academy of Management Review, 14(4), 532-550.Andrews，1951
EU GDPR.ORG The EU General Data Protection Regulation (GDPR) is the most important change in data privacy regulation in 20 years. https：//eugdpr.org/
Goodwin, B. (1994). How the Leopard Changed Its Spots, London： Phoenix.
Graham Greenleaf (2012), "The Influence of European Data Privacy Standards Outside Europe： Implications for Globalisation of Convention 108", Vol.2, No.2, International Data Privacy Law, pp.68~92
Greenleaf(2012)，Global Data Privacy Laws： 89 Countries, and Accelerating
Greenleaf(2018)，Global Convergence of Data Privacy Standards and Laws： Speaking Notes for the European Commission Events on the Launch of the General Data Protection Regulation (GDPR) in Brussels & New Delhi
J. Holvast, (1993) "Vulnerability and Privacy： Are We on the Way to a Risk-Free Society?", in： J. Berleur et al. (Eds.)： Facing the Challenge of Risk and Vulnerability in an Information Society, Proceedings of the IFIP-WG9.2 Conference, Namur May 20-22, 1993, Elsevier Science Publishers B. V. (North-Holland), 1993. International Organization for Standardization, ISO/IEC 29100：(2011), Information technology—Security techniques—Privacy framework
Kloza, D., Van Dijk, N., Gellert, R. M., Borocz, I. M., Tanas, A., Mantovani, E., & Quinn, P. (2017). Data protection impact assessments in the European Union： complementing the new legal framework towards a more robust protection of individuals： d.pia.lab Policy Brief 1/2017. d.pia.lab Policy Brief (pp. 1-4).
Lincoln, Y. S., & Guba, E. (1985). Naturalistic inquiry. Beverly Hills, CA： Sage.
Mira Burri and Rahel Schär (2016), "The Reform of the EU data Protection Framework：Outlining Key Changes and Assessing Their Fitness for a Data-Driven Economy", Journal of Information Policy, Vol.6, pp.479~511.
National Institute of Standard and Technology(NIST), (2006) , ”Guide to Computer Security Log Management”.
Pennanen, K., M. K. Paakki, et al., 2008, Consumers' views on trust, risk, privacy and security in e-commerce： a qualitative analysis, Trust and New Technologies： Marketing and Management on the Internet and Mobile Media： 108.
Preparing for the General Data Protection Regulation (GDPR)：12 steps to take now V2.0, Information Commissioner's Office(ICO)May25,2017
PricewaterhouseCoopers LLP, (2018) Persona Data Breach Framework- Putting You In The Best Position To Deal With Challenge,
Rosenberg, R. S. (2013). The social impact of computers. Elsevier.
Shackley S., B. Wynne＆C. Waterton, (1996). Imagine Complexity： The Past, Resent and Future Potential of Complex Thinking, Futures, Vol 28, 201-225. Silverman, D. (2001). Interpreting Qualitative Data. Methods for Analysing Talk. Text, and Interaction, 2nd ed., London： Sage publication.
Toulmin, S. (1990). Cosmopolis： the Hidden Agenda of Modernity, Chicago, IL： University of Chicago Press
Tsoukas, H.,＆Hatch, M.J. (1996). The Firm As a Distributed Knowledge System：a Constructionist Approach, Strategic Management Journal, Vol. 17,11-25
Tsoukas, H.,＆Hatch, M.J. (2001). Complex Thinking, Complex Practice： the Case for a Narrative Approach to Organizational Complexity, Human Relations, 54(8), 979-1013.
Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR). A Practical Guide, 1st Ed., Cham： Springer International Publishing.
Yin, R. K. (1994). Case study research： Design and methods。
Yin, R. K. (2003). Design and methods. Case study research, 3.
Yin, R. K. (2003). Case study research： Design and methods (Vol. 5)。

中文文獻：
李柏毅，(2013)，認識雲端服務與安全，清流月刊10，頁24。
李震山，(2007)，資訊權-兼論監視錄影器設置之法律問題，多元、寬容與人權保障-以憲法未列舉之保障為中心，台北，元照出版，頁193-260 。
林其樺，(2017)，因應2018年GDPR，歐盟將推資料保護衝擊影響評估，台灣，科技法律透析，第29卷第6期，頁6-8。
林冠宏，(2010)，區間值模糊層級分析法於雲端運算服務之應用顉域的可行性評估研究，國立聯合大學碩士論文。
林思惟，（2016），歐盟新規：個人資料保護規則-數位防護的新縱深，金融聯合徵信，第29期，頁14-22。
林哲民，(2013)，整合 ISO 27001 & 27011 與新版個資法於電信業客戶個資管理之個案研究-以中華電信為例，國立宜蘭大學多媒體網路通訊數位學習碩士在職專班論文。
邱木祥、薛招治，(2016)。以整合性科技接受模型探討企業使用雲端儲存服務行為。管理資訊計算，4(2)，頁29-46。
苑舉正，（1999）。公民社會與法治教育。東海哲學研究集刊，6，頁243-266
徐彪豪，物聯網時代的資料保護防線-以歐盟GDPR為中心，科技法律透析，第28卷第10期，頁56-71。
張陳弘，（2016）。個人資料之認定-個人資料保護法適用之啟動閥。法令月刊，67(5)，頁67-100。
王澤鑑，（2007），人格權保護的課題與展望（三）-人格權的具體化及保護範圍（6）-隱私權（中），台灣本土法學雜誌，97期，頁35-36。
曹朱榜(2010)。利用雲端運算概念以包裝軟體元件之研究。未出版之碩士論文，國立臺北教育大學資訊科學系，台北市。
郭戎晉，(2008)，日本「個人資料保護管理體系」與「隱私標章」制度之初探，科技法律透析，頁2-12
陳之逵，(2018)，歐盟一般資料保護規範則對企業的法律影響與研析，東吳大學法學院法律系碩士在職專班科技法律組碩士論文葉基仁、陳翠華，(2019)，APEC與歐盟個人資料保護法對消費者保護權益之貢獻，消費者保護研究第23輯，頁91-116，行政院消費者保護會，行政院編印，2019年3月18日。
董皇志，陳思聰，(2007)，設計研究方法（Design Research Methods），2009，全華圖書，頁36-52
廖緯民，(1996)，論資訊時代的隱私權保護─以「資訊隱私權」為中心，資訊法務透析，第8卷11期，頁20-27。
廖緯民，(2009)，論搜尋引擎的隱私權威脅，月旦民商法雜誌，第24期，頁23-39。
蒲樹盛，(2005)，資訊安全管理系統(ISMS)ISO17799/BS7799 國際認證體系與稽核驗證介紹，研考雙月刊，29 卷，1 期，頁91-104。
蒲樹盛，(2010)，全球風險下的個人資訊保護方案 BS 10012：2009 個人資訊管理系統Personal Information Management System(PIMS)，品質月刊，46 卷，6 期，頁28-29。
劉靜怡，(2001)，網路上資訊隱私權保障問題之研究，二十一世紀，63期，頁17-27
蔡敦浩、利尚仁、林韶怡，(2008)，創業研究的新趨向—敘說探究之應用，中山管理評論 ，第十六卷第二期，頁321-350。
蔡朝安與張馨云，(2018)，歐盟個資法（GDPR）將上路-企業因應之道，會計研究月刊，第389期（4月）：頁54-59。
戴豪君，2018，認識歐盟GDPR，資訊工業策進會科技法律研究所。

謝志明，(2013)。雲端運算健康資訊相關法律問題研究(未出版之碩士論文)。私立東吳大學，台北市。
 
網站及書籍：
Initium Media端傳媒，(2016)，微軟表態支持受爭議的《歐盟-美國隱私護盾》協議，取自如下
https：//theinitium.com/article/20160412-dailynews-ms-privacy-shield/
ISACA ，(2016) ，Privacy Principles and Program Management Guide, USA，取自如下
https：//www.isaca.org/Journal/archives/2018/Volume-1/Pages/isaca-privacy-principles-and-program-management-guide.aspx?utm_referrer=
ISACA ，(2017)， GDPR DATA PROTECTION IMPACT ASSESSMENTS，取自如下
http：//www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/GDPR-Data-Protection-Impact-Assessments.aspx
ISACA ，(2018)， How To Audit GDPR，取自如下
https：//www.isaca.org/Journal/archives/2018/Volume-3/Pages/auditing-data-privacy.aspx
ISACA ，(2018)， Volume 3, IS Audit Basics： Auditing Data Privacy ，取自如下
https：//www.isaca.org/Journal/archives/2018/Volume-3/Pages/auditing-data-privacy.aspx
ISACA，(2016)， Audit Plan Activities： Step-By-Step，取自如下
https：//m.isaca.org/cobit/documents/Audit-Plan-Activities_res_eng_0316.pdf
Taylorwessing， (2017)， GDPR Audit Checklist，取自如下
https：//united-kingdom.taylorwessing.com/en/insights/global-data-hub-gdpr-checklists
吳志洋、林冠伭、林鼎鈞，(2017)，企業雲端環境之風險管理及因應對策，勤業眾信風險管理諮詢 (股) 公司。
李世德，國發會法制協調中心，GDPR與我國個人資料保護 法之比較分析
花俊傑，(2010)，初探 BS 10012 個人資訊管理標準簡介，因應個資法修法，建立有效的個人資訊保護制度，網管人雜誌，51 期。取自如下
https：//www.netadmin.com.tw/article_content.aspx?sn=1004140001
花俊傑，(2013)，ISO 27001：2013 國際標準草案(DIS)版，民國102年3月20日。URL：http：//jackforsec.blogspot.tw/2013/03/iso-27001.html
洪瑋廷、曾豐偉律師， (2018)，歐盟GDPR與台灣個資法之比較分析，安律法律事務所。取自如下
http：//hungwtlawyer.pixnet.net/blog/post/209426609-%E6%AD%90%E7%9B%9Fgdpr%E8%88%87%E5%8F%B0%E7%81%A3%E5%80%8B%E8%B3%87%E6%B3%95%E4%B9%8B%E6%AF%94%E8%BC%83%E5%88%86%E6%9E%90
張腕純，(2018) 。英國資訊專員辦公室發布資料保護影響評估(DPIA)指導文件，財團法人資訊工業策進會科技法律研究所。
章鈺，BS 10012，( 2017) 年版個人資訊管理系統標準，BSI英國標準協會，取自如下
https：//www.bsigroup.com/LocalFiles/zh-tw/e-news/No161/BS-10012-2017-BSI-Oscar-Chang.pdf
陳萬淇，(1995)，個案研究法，華泰書局，台北。
曾士熊，(2016)，認識雲端計算與雲端服務，中央研究院，取自如下
http：//newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3716
歐盟GDPR與我國個人資料保護法之重點比較分析，國家發展委員會，取自如下
https：//www.ndc.gov.tw/Content_List.aspx?n=92A54D2FBC1D329E
衛生福利部，(2016)，兒童網路個人資料保護法草案 專案報告，取自如下
file：///C：/Users/J/Downloads/1050411-%E5%8F%B8%E6%B3%95%E6%B3%95%E5%88%B6-%E5%85%92%E7%AB%A5%E7%B6%B2%E8%B7%AF%E8%B3%87%E4%BF%9D%E6%B3%95_0054309001%20(1).pdf
戴豪君、林其樺，(2018)，政府與產業因應GDPR之調適措施，資訊工業策進會科技法律研究所。