新時代之個人資料保護法制：歐盟GDPR與臺灣個人資料保護法的比較說明

序　i
參考文獻引用與名詞使用說明　iii
第1章　「誰」的「何種行為」將受規範──立法管轄權範圍之界定　1
第2章　規範「何種資料」的蒐用行為──個人資料之定義　17
第3章　個資蒐用行為應遵循之一般性合法原則要求　59
第4章　蒐用一般（非特種）個人資料之合法事由規範　81
第5章　個人資料蒐用之「目的限定原則」──兼論「目的外使用」個人資料行為之合法性控制　121
第6章　蒐用敏感性（特種）個人資料之合法事由規範　141
第7章　資料主體之權利　165
第8章　資料管控者（或蒐用者）之義務　239
第9章　境外傳輸個資──將個人資料傳輸給第三國或國際組織　285
第10章　資料管控者及蒐用者之法律責任與資料主體之救濟權利　297

序

　　新興資通訊科技的發展讓個人資料的蒐集、處理、利用更不受時間、空間的拘束，形成資訊隱私保護的隱憂：愈來愈難得知「誰」在蒐集個資及個資將「如何」在「何時」被「誰」使用。因此加深人民生活在未知的恐懼中。當人變成一個「數位人(digital person)」而透明化後，程度不一的隱私傷害將不斷推陳出新的發生。甚且，當人透明化後，人的行為模式將發生受到操控的危險性。舉例而言，假設A餐廳向Google公司購買廣告服務，Google乃透過Google智慧型眼鏡提供的導航功能，引導配戴者盡可能地路經該餐廳地點，並發送促銷折價券。又假設B藥廠推出心臟藥新品，並向Google購買廣告服務。Google透過Google智慧手環的偵測心跳功能，對於心律不整的配戴人發送B藥廠心臟藥新品廣告，並附上折價券。凡此，人民的飲食、用藥習慣，都可能在人為操控下，產生轉變；演變到極端，人們將逐漸麻痺而陷入喪失自主決定能力的危險境地。

　　當然，透明化的世界，會帶給人們許多便利與期待，至於因此所造成人的透明化，只要確保此透明是出自於人的自主選擇，或許也沒有什麼好指責的。然而，問題的困難在於數位技術連結網路的世界，使得人們永遠無法預測關於自己的資料，會在未來的「何時」，被「如何地」使用在「何種」用途？如果無法預見，又如何能夠有效的自主決定？更大的危險是，縱使你選擇不參與此些資訊科技的使用，你也無法置身事外，就好像Google眼鏡是不挑選攝錄對象的。

　　要如何有效因應新興資通訊科技對於個資保護所帶來的影響，即歐盟制定GDPR以取代95 Directive的主因。

　　GDPR施行對於個資保護法制的影響，不僅侷限在歐盟境內，更由於GDPR關於個資跨境傳輸之「適足性」要求規定，讓其施行影響擴及與歐盟各會員國有個資傳輸需求之全球各國與組織，臺灣亦然。

　　GDPR於2018年5月25日上路後，行政院即指示國家發展委員會（以下簡稱「國發會」）在同年7月成立個人資料保護專案辦公室以為因應。國發會在同年12月完成歐盟GDPR適足性評估報告、送交歐盟。歷經3個多月，於2019年3月上旬，獲得了歐盟正式回應，表示正在研析臺灣送交的GDPR適足性自我評估報告。國發會表示，待歐盟給予進一步的資訊後，雙方將就個資保護相關議題展開技術性對話。
　　
　　若要取得歐盟的個資保護適足性認定，無可避免地，臺灣必須按照歐盟的回覆資訊，進行所需必要的個人資料保護法修正。立法院也正好藉此機會，一併調整修正個資法一些已無法因應科技變化的過時條文。

　　適逢此際，本書乃就歐盟GDPR與臺灣個資法進行比較說明之撰寫，目的除了幫助讀者瞭解新時代之個人資料保護法制外，也期盼能對於個資法修正與取得歐盟適足性認定事務提供助益。

　　由於本書寫作重點為歐盟GDPR與臺灣個資法的比較說明，因此在內容的安排上，將捨棄兩法各自獨有而無比較說明需求之規定的論述，例如GDPR第六章關於「獨立監管機關(independent supervisory authorities)」之地位、組織成員、設立規則、權限、任務等規定（第51～59條），因個資法無此獨立專責監管機關之設計，此部分論述即予節略。因此，本書並非歐盟GDPR與臺灣個資法的逐條釋義書。惟雖非逐條釋義書，但本書內容確已含括兩法之八成以上規定論述，足以擔負個資保護法制研習的基礎用書之用。