臺灣博碩士論文加值系統

個人資料保護之重要性在全球化及網路化之影響下日趨重要，目前而言，世界上設有個資保護相關法令之國家多已設有專責機構處理，本次論文將納入德國、英國、日本，以及加拿大在個資專責機關的位階以及職務進行分析，並且藉由了解歐盟對於獨立專責機關體制上的要求，期望透過以上之研究，檢視各國法制以及實務經驗，進而對於我國在個人資料保護上為建置專責機關之不足之處提出建議。本論文建議毋需盲從國外法，原則上應採取「實質上同一」作為我國未來修法上之依循。又考量到立法與修法的急迫性，我國應選擇對當前局勢而言，最有效率卻不失其本質之屬性作為個資專責機關之定位。不論以何種形式作為該機關之屬性，唯有同時兼顧最關鍵之「獨立性」及「專責」之要件，我國於歐盟適足性之認定上之審核始能有更突破性之開展。

The importance of personal data protection is becoming more and more important under the influence of globalization and networking. Nowadays, specialized agencies in many countries with protection laws and regulations in the world have been set up. This article will analyze the roles and executive functions of the supervisory authorities in Germany, United Kingdom, Japan, and Canada, and understand the requirements for the independent supervisory authority of European Union. Hoping that through the above comparative research, suggestions for the inadequacies of the establishing supervisory authority in Taiwan can be came up by examining the legal system and practical experience of the other countries or regional organization. This article suggests that there is no need to blindly follow the foreign law, however in principle, “essentially equivalent” should be turned out as the basis for the future law amendment on the aspect of personal data protection in Taiwan. And considering the urgency for legislation, we should choose the most efficient resolution but keep its essential attribute as the status of our data protection supervisory authority, which means regardless of the status in which the authority will be presented, only when the independent decision-making and staff and financial independence being considered, the European Union’s determination on adequacy level of the protection toward Taiwan will have a better chance to go well.

目 錄
摘 要 I
ABSTRACT II
誌謝辭 III
目 錄 IV
表目錄 VII

一、緒論 1
1.1 研究動機與目的 1
1.2 研究方法 2
1.3 研究範圍及限制 3
1.4 研究架構 4

二、個資保護發展概述及其對我國法之影響 5
2.1 我國個資保護發展重點 5
2.2 區域組織發展現況 9
2.2.1 歐盟《一般資料保護規範》 9
2.2.2 APEC跨境隱私保護規則體系 10
2.2.3 經濟合作暨發展組織 12
2.3 個資保護過程中所浮現之問題 13
2.3.1 適足性要件認定審核之困境 14
2.3.2 個資受到專責機關保護之理由 32

三、 GDPR中「獨立專責機關」之探討 35
3.1 獨立專責機關應具備要件 35
3.1.1 GDPR對於獨立專責機關之要求 35
3.1.2 獨立性 45
3.2 歐盟資料保護機關 50
3.2.1 歐盟資料保護監督組織 50
3.2.2 歐盟資料保護委員會 52
3.3 GDPR與第95/46號指令之異同 54
3.3.1 適足性審核之差異 55
3.3.2 第三方認證機構標準之延續 57

四、個資專責機關成立之比較研究 59
4.1 我國目前個資保護運作方式 59
4.2 歐盟境內國家之個資專責機關介紹 60
4.2.1 德國 60
4.2.2 英國 66
4.3 歐盟境外第三國之個資專責機關介紹 71
4.3.1 日本 71
4.3.2 加拿大 77
4.3.3 美國 81
4.4 各國或區域組織機關之比較 87

五、對於個資專責機關成立之質性分析 91
5.1 質性訪談 91
5.2 訪談重點節錄與比較 91
5.2.1 我國法於GDPR施行後之因應 91
5.2.2 適足性認定對於我國之困境 93
5.2.3 我國產業對於GDPR之因應 95
5.2.4 個資專責機關屬性之建議 97
5.2.5 Privacy Shield之於我國之可能 103
5.2.5 個資專責機關之職權建議 105
5.3 我國個資保護之分析與實務改革空間 106
5.4 小結 108

六、 個資專責機關之成立提議 109
6.1 機關屬性之分析 109
6.2 機關地位之提議 111
6.2.1 獨立機關 111
6.2.2 行政法人化 113
6.3 機關委員應具備之職權 115

七、結論 116

參考文獻 118
附錄一：與談人Ａ之訪談綱要 125
附錄二：與談人Ｂ及與談人C之訪談綱要 126

中文書籍
李震山，《人性尊嚴與人權保障》，元照出版公司，台北（2012）。
林洋港，《西德聯邦憲法法院裁判選輯（一）》，司法院秘書處，台北（1992）。

中文期刊
宋柏霆，〈試析歐盟資料保護規則中境外傳輸之要求與我國個人資料保護法之合致性〉，《經貿法訊》，第196期，頁12-22，2016年5月。
李旺達、劉心國，〈試析我國於APEC跨境隱私保護規則體系下隱私執法機關之設立〉，《經貿法訊》，第228期，頁5-13，2018年3月。
范姜真媺，〈檢視行政機關蒐集利用個資之問題及展望〉，《法學叢刊》，第63卷第2期，頁29-60，2018年4月。
郭戎晉，〈日本個人資料保護法修正重點與去識別化推動剖析〉，《科技法律透析》，第28卷第6期，頁43-52，2016年6月。
郭戎晉，〈個人資料跨境傳輸之法律研究〉，《科技法律透析》，第27卷第8期，頁28-55，2015年8月。
陳宏志，〈網路無國界，跨境個資傳輸如何管－－以APEC CBPRs為例〉，《科技法律透析》，第29卷第8期，頁30-35，2017年8月。
陳榮傳，〈再論資料跨國流通〉，《月旦法學雜誌》，第78期，頁165-177，2001年11月。
楊長蓉，〈APEC跨境隱私保護規則體系下之問責機構介紹〉，《科技法律透析》，第30卷第9期，頁34-46，2018年9月。
劉佐國，〈我國個人資料隱私權益之保護－論『電腦處理個人資料保護法』之立法與修法過程〉，《律師雜誌》，第307卷，頁42-51，2005年4月。
劉靜怡，〈不算進步的立法：『個人資料保護法』初步評析〉，《月旦法學雜誌》，第183期，頁147-164，2010年8月。
劉靜怡，〈淺談GDPR的國際衝擊及其可能因應之道〉，《月旦法學雜誌》，第286期，頁5-31，2019年3月。
蘇柏毓，〈104年之個人資料保護法修正簡評〉，《科技法律透析》，第28卷第4期，頁13-17，2016年4月。

其他中文參考文獻
《電腦個人資料處理保護法》，立法院法律系統，https://lis.ly.gov.tw/lglawc/lawsingle?00301E3C2E0D000000000000000000A000000002000000^01829084071200^00069001001。
APEC介紹，2014年5月5日，中華民國外交部網站， https://www.mofa.gov.tw/igo/cp.aspx?n=5331137415276DD6。
APEC跨境隱私保護規則體系能力建構國際研討會 10月2日在臺北揭開序幕，中華民國經濟部網站，https://www.moea.gov.tw/MNS/populace/news/News.aspx?kind=1&menu_id=40&news_id=72834 （2017年10月2日）。
王慕民，最嚴個資法歐盟GDPR來襲 台灣企業準備好了嗎？！，達文西個資暨高科技法律事務所，http://www.davinci.idv.tw/index.php?page=news&action=detail&type=12&uid=583。
主要業務，國家發展委員會網站，https://www.ndc.gov.tw/Content_List.aspx?n=5654361B474B8EFF。
立法院國會圖書館，資料處理個人資料濫用防制法（Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung），https://npl.ly.gov.tw/do/www/billIntroduction?blockId=1&titleName=外國法案介紹。
行政院第3601次院會決議，2008年5月24日，https://www.ey.gov.tw/Page/4EC2394BE4EE9DD0/cdbb1839-0f26-4cba-9062-ec92eb19c373。
李世德、林秀蓮，〈考察南韓、新加坡個人資料保護法制及相關專責機構之運作實務〉。
法律字第10803500010號法務部函釋，中華民國法務部主管法規查詢系統，https://mojlaw.moj.gov.tw/LawContentExShow.aspx?id=I00100%2c法律%2c10803500010%2c20190110&type=E&kw=個人資料保護法&etype=etype5。
法務部，立法院三讀通過「個人資料保護法」，https://www.moj.gov.tw/lp-21-001-20-60.html。
法務部「歐盟及日本個人資料保護立法最新發展之分析報告」委託研究案成果報告。
個人資料保護專案辦公室，國家發展委員會，https://www.ndc.gov.tw/Content_List.aspx?n=726A44EA5D724473。
院總第一五七〇號 政府提案第一一一五五號，立法院議案關係文書，https://lis.ly.gov.tw/lgcgi/lgmeetimage?cfc8cfcecfcdcfcbc5ccd2cbc6。
院總第一五七〇號 政府提案第四五四四號，立法院議案關係文書，https://lis.ly.gov.tw/lgcgi/lgmeetimage?cfcdcfcecfcdcfcec5c8cfd2cecfcf。
葉奇鑫、王慕民、吳彥欣、陳品安、廖又萱，「個人資料保護專責機關與在地化之法制研究」委託研究計畫結案報告，國家發展委員會（2018）。
歐盟GDPR之相關部會諮詢窗口，國家發展委員會網站，https://www.ndc.gov.tw/Content_List.aspx?n=B332AB962EEB7F6B。
蔡靜怡，大數據時代下APEC跨境隱私保護規則，中華台北APEC研究中心網站：http://www.ctasc.org.tw/02publication/APCE-181-P9-10.pdf。
總統府政府改造委員會，〈獨立機關的建制理念與原則〉，2002年 3 月 30 日。
鍾瑞蘭、徐吉志、李世德，「考察日本因應大數據（Big Data）時代之個人資料保護法制及實務運作情形」，法務部考察報告（2017）。

英文書籍
Leichter, William, GLOBAL GUIDE TO DATA PROTECTION LAWS: UNDERSTANDING PRIVACY & COMPLIANCE REQUIREMENTS IN MORE THAN 80 COUNTRIES (2017).
McGeveran, William, PRIVACY AND DATA PROTECTION LAW (1st ed. 2016).
Wright, David & Paul De Hurt, ENFORCING PRIVACY- REGULATORY, LEGAL AND TECHNOLOGICAL APPROACHES (2016).

英文期刊
Cutler, Samantha, The Face-Off Between Data Privacy and Discovery: Why U.S. Courts Should Respect EU Data Privacy Law When Considering the Production of Protected Information, 59 B.C. L. REV. 1513 (2018).
Gilbert, Francoise, EU General Data Protection Regulation: What Impact for Businesses Established Outside the European Union, 19(11) J. INTERNET L. 3 (2016).
Hintze, Mike, Privacy Statements Under the GDPR, 42 SEATTLE U. L. REV. 1129 (2019).
Levi, Stuart, Regulatory co-operation: data protection and financial regulation, 8 JIBFL 542 (2019).
Linn, Emily, A Look into the Data Privacy Crystal Ball: A Survey of Possible Outcomes for the Eu-U.S. Privacy Shield Agreement, 50 VAND. J. TRANSNAT'L L. 1311 (2017).
Palmieri III, Nicholas F., Data Protection in an Increasingly Globalized World, 94 IND. L.J. 297 (2019).
Schwartz, Paul M., Preemption And Privacy, 118 YALE L.J. 902 (2009).
Schwartz, Paul M., Legal Access to the Global Cloud, 118 COLUM. L. REV. 1681 (2018).
Tzano, Maria, European Union Regulation of Transatlantic Data Transfers and Online Surveillance, 17(3) HUMAN RIGHTS L. REV. 545 (2017).
Wugmeister, Miriam, Global Solution for Cross-Border Data Transfers: Making The Case for Corporate Privacy Rules, 38 GEO. J. INT'L L. 449 (2007).

其他英文參考文獻
Annex 1, Supplementary Rules under the Act on the Protection of Personal Information for the Handling of Personal Data Transferred from the EU based on an Adequacy Decision, available at https://ec.europa.eu/info/sites/info/files/annex_i_supplementary_rules_en.pdf.
APEC CBPRs, Accountability Agent Recognition Criteria, available at https://cbprs.blob.core.windows.net/files/Accountability%20Agent%20Recognition%20Criteria.pdf.
APEC, SURVEY ON THE READINESS FOR JOINING CROSS BORDER PRIVACY RULES SYSTEM-CBPRS (FINAL REPORT) (2017).
APEC, Template Notice of Intent to Participate in the CBPR System, https://cbprs.blob.core.windows.net/files/Template%20Notice%20of%20Intent%20to%20Participate% 20in%20the%20CBPR%20System.pdf (last visited Jul. 5, 2017).
Elements of Independence of the Data Protection Authorities in the EU, Data Protection Authorities’ Funding and staffing, https://www.asktheeu.org/en/request/2398/response/9765/attach/3/21.FRA%20Focus%20Data%20protection%20authorities%20independence%20funding%20and%20staffing%20ATTACHMENT%20FRA%202013%20Focus%20DPA.pdf.
European Commission Press Release Database, European Commission adopts adequacy decision on Japan, creating the world's largest area of safe data flows (Jan. 23, 2019), http://europa.eu/rapid/press-release_IP-19-421_en.htm.
European Commission Press Release Database, European Commission launches EU-U.S. Privacy Shield: stronger protection for transatlantic data flows (Jul. 22, 2016), https://europa.eu/rapid/press-release_IP-16-2461_en.htm.
European Commission Press Release Database, International data flows: Commission launches the adoption of its adequacy decision on Japan (Sep. 5, 2018), https://europa.eu/rapid/press-release_IP-18-5433_en.htm.
European Commission, REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the second annual review of the functioning of the EU-U.S. Privacy Shield (Dec. 19, 2018).
European Commission Vice-President Reding, Strong and independent data protection authorities: the bedrock of the EU's data protection reform, Speech, Luxembourg, 3 May 2012, available at www.springconference2012.lu/ files/10/6/document_id32.pdf.
European Commission, Adequacy decisions, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en.
European Commission, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (Jan. 25, 2012), http://eur- lex.europa.eu/LexUriServ/LexUriServ.do?uri= COM:2012:0011:FIN:EN:PDF.
European Data Protection Boards, Members, https://edpb.europa.eu/about-edpb/board/members_en.
EU, US Clinch Political Deal in "Safe Harbour" Talks, BRIDGES, ICTSD, vol.20, no.4, http://www.ictsd.org/bridges-news/bridges/news/eu-us-clinch-political-deal-in-safe-harbour-talks.
Find the right organization to contact about your privacy issue, Office of the Privacy Commissioner of Canada, https://www.priv.gc.ca/en/report-a-concern/leg_info_201405/.
Geminn, Christian L., The New Federal Data Protection Act—Implementation of the GDPR in Germany, pp.2 & 3, https://blogdroiteuropeen.files.wordpress.com/2018/06/christian-1.pdf.
Government of Canada, How access to information and personal information requests work, https://www.canada.ca/en/treasury-board-secretariat/services/access-information-privacy/access-information/how-access-information-personal-information-requests-work.html.
Government of Canada, Update report on Developments in data protection law in Canada (2001–2017), https://www.ic.gc.ca/eic/site/113.nsf/eng/h_07641.html.
JIPDEC, https://www.jipdec.or.jp.
Legal challenges against Privacy Shield begin to mount in Europe, INSIDE US TRADE, Vol.34, No. 43, Nov. 3, 2016, https://insidetrade.com/daily-news/legal-challenges-against-privacy-shield-begin-mount-europe.
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data para7-14, http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#part2.
OECD, About the OECD, http://www.oecd.org/about/.
OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (2013).
OECD, Recommendation of Council concerning Guidelines Governing for Protection of Privacy and Transborder Flows of Personal Date 14, https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.
The European Parliament asks for the suspension of the privacy shield, https://www.dataprotectionreport.com/2018/07/european-parliament-asks-for-suspension-privacy-shield/.
TRUSTe, APEC CBPR Privacy Certifications, TRUSTARC, https://www.trustarc.com/products/apec-certification/.
Working document on Adequacy Referential (WP 254 rev.01), European Commission, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108.