觀點

歐洲與德國個人資料保護監理機制簡介

2009 / 03 / 06
廖崇宏
歐洲與德國個人資料保護監理機制簡介

個人資料遭洩頻傳,估計每年所造成的個人財產損害驚人,本文藉此簡介歐洲與德國相 關制度發展歷程,做為未來修法之參考。

近年來個人資料遭洩頻傳,據估計每年因此所造成的個人財產損害數額
驚人,而我國關於個人資料保護之法規自1995年通過「電腦處理個人資料保
護法」至今超過十年,其間社會變化劇烈,現行法律已遠不足以因應現況,法
務部從2001年起即著手法律修正案,並於1994年經行政院會通過報請立法院審
議。未料經通過一讀程序後,即於政黨協商階段遭擱置數年。現因國會改選修
正草案須送回行政院於新國會中重新提出,未來通過立法機會前途未卜。本文
擬藉此簡介歐洲與德國相關制度發展歷程,做為未來修法之參考。

歐洲與德國關於個人資料保護機制的發展歷程
1. 國際與歐盟相關規範的發展:
美國從1960年代開始即有對隱私權的討論,隨著資訊科技的發展對個人資料的保護帶來更高的風險,歐洲在這方面的討論也越來越熱烈。雖然歐洲各國對於個人資料保護已有相關的法律規定,歐盟成立後,即產生統合各會員國相關法律與促進相關工作合作的必要。
國際經濟合作發展組織(OECD)為促進資訊的自由流通、避免不合理的貿易障礙,於1980年通過個人資料保護指導原則以統合會員國的相關規範,歐盟各國隨即於1981年簽署資料保護條約,為全世界第一個關於個人資料保護的正式國際條約。並於1995年頒佈歐盟資料保護指令(95/46/EG)做為各會員國制訂相關規範的最低標準。
1997年歐盟阿姆司特丹協定中規定,歐盟應設立獨立的資料保護機構,監督歐盟相關組織與機構關於個人資料保護工作的執行,並對之提供專業的諮詢,但這項規定直到2001年才落實,歐盟選出資料保護官,並於布魯塞爾設立
其辦公室,歐盟的個人資料監理機制才算建立。
歐盟基於對個人資料保護的重視, 於2000年的人權憲章中特別明文規定保障個人資料(第八條),規定個人資料處理須有法律基礎,並得到當事人同意,且僅限於特定目的,而要落實此任務目標,需設立獨立的監督機構來監督資料保護規定是否被切實遵守。在關於同意歐洲憲法簽署的條約中,亦包含資料保護的規定;其中第I-51條款規定,每個人都有權要求保護其個人資料,也再度重申應成立獨立
機構監督資料保護規定的執行。

2. 德國相關法律的發展:
德國基本法(憲法)並未明文規定隱私權為基本人權,但德國聯邦憲法法院在1983年以判決確定其憲法基本人權的地位,並提出「資訊自決權」(informationelle Selbstbestimmungsrecht) 的概念,肯定個人有權決定其個人資料的給予
與使用。更早之前西德的黑森邦(Hessen)已於1970年制訂該邦的資料保護法,這項規定為全世界第一部關於個人資料保護的成文法典。
在此法典制訂之前,有關個人資料保護的規定以散見於各種關於醫事、稅務、郵務的規範之中,足見其有關隱私權的觀念啟蒙甚早。
聯邦議會於1977年首度制訂規範效力及於各邦的聯邦資料保護法 (Bundesdatenschutzgesetz),規範重點在於資料保護機構設立的要件以及個人資料保護的首要地位。依此規定,聯邦層級應設立聯邦資料保護官(Bundesbeauftragter für den Datenschutz),負責監督聯邦的公務機
關與私人企業其日常電信與郵務所產生的個 人資料保護任務的執行。而各公、私機構內部也可指定資訊保護人,但仍應受保護官的監督;私人企業或其他機構符合一定要件,則強制設立營業資料保護人(betriebliche Datenschutzbeauftragte )。
各邦也陸續通過資料保護法,規定設立各邦的資料保護官,負責監督各邦公務機關資料保護任務的執行。設立在各邦的私人企業,其資料保護業務則由聯邦資料保護監理局駐在各邦的資料保護單位管轄。不過,各邦關於資料保護官的規定不盡相同,歐盟最高行政機關歐盟執行委員會即曾於2005年指責德國各邦層級的資料保護單位受各邦政府指揮,並不獨立,違反歐盟資料保護條約得規定,並對此於歐洲法院提起訴訟。

個人資料保護官(保護人)相關制度的建立
1. 歐盟資料保護官
歐盟對各會員國雖然通過許多資料保護的指令,但多數對歐盟本身的組織與單位並無適用。1997年歐洲共同體會員國依照阿姆斯特丹協定通過成立一獨立的資料保護監理機關,並於後來的補充條款擴大其規範範圍;歐盟關於資料保護的指令自1999年1月起,除了各會員國之外,還適用到歐體的組織與單位,而且在此期限之前歐盟議會應成立獨立的資料保護監理機構。不過實際上歐洲議會直到2001年12月才成立新的資料保護機關,即稱為「歐洲資料保護官」(European Data Protection
Supervisor)。
歐洲資料保護官辦公室設於布魯塞爾,有專屬自己的執行機構,其所屬人員亦應遵守保密義務。
近年來,每年預算超過300萬歐元,人員編制超過 10人。其不僅為歐盟資料保護條約第29條成立的歐盟資料保護團體的成員(歐盟2001年12月18日指令
45/2001規範其任務內容),自2004起亦屬國際資料與隱私權保護官會議的成員,屬於歐盟的獨立行政機關,但不隸屬於任何歐盟機構,亦不受其指示,如同歐洲法院法官有豁免權。其任期為5年,在職期間不得兼任其他職務,卸任後亦應遵守利益迴避原則。
依照上述協定,歐盟的組織與單位在處理個人資料時,能需確實保障、尊重自然人的基本權利與基本自由,特別是隱私權,而這項任務則需透過設立歐洲資料保護官監督歐盟組織與機構相關工作的執行,並對之提供諮詢顧問來落實。為此,特別
授權資料保護官取得資訊的權利,得干預歐盟相關單位並對其下指令,相關機構處理資料有洩漏可能時得禁止之,甚至得下令刪除違法儲存的資料,警告應負責的單位,並得參與歐盟法院相關的訴訟程序。 根據這項協定,歐盟區任何人感覺其受此項協 議保障的權利,特別是隱私權受到損害時,得尋求歐盟資料保護官提供諮詢,歐盟所屬機構也可隨時尋求諮詢,不受內部組織規範的限制。其功能與德國的資料保護官類似,並應與各會員國或國內各邦 的資料保護官合作,但其對後者並不拘於上級的地位,且無指揮、監督的權力,其權限僅限於歐盟這樣的超國家組織的層級。

2. 德國聯邦資料保護官
根據聯邦資料保護法,聯邦應設立獨立的監理機構,負責公、私立機構資料保護的監督,即聯邦資料保護官,其由聯邦政府提名,經國會表決同意後由聯邦總統任命,任期5年,得連任1次,薪資由聯邦政府支付,比照法官與高級公務員,但其
法律地位為所謂的「公法的職務關係」(oeffentlichrechtliches
Verhaeltnis),而非「公務員關係」(Beamtenverhaeltnis)。聯邦資料保護官為行政上的特別單位,有獨立的預算權與人事權,依照法律規範獨立行使職權,除關於法律遵守受聯邦政府監督、組織行政上受內政部監督外,並無業務監督單位。
聯邦資料保護官的職務為監督聯邦公務機關、其他聯邦公法單位、電信與郵政資料保護工作的執行,並對之提供諮詢顧問。此外,其亦須依聯邦安全審查法(Sicherheitsueberpruefungsgesetz des Bundes)對安全審查事項之執行提供諮詢顧問,無論是對公務機關或私人企業。根據聯邦資料保護法第26條,
聯邦資料保護官每兩年必須對國會及社會大眾提出有關資料保護重要發展的業務報告,刊登在國會公報以及其自己的網站上。
2006年通過聯邦資訊自由法(das Informationsfr eiheitsgesetzes des Bundes)後,聯邦資料保護官同時負責資料保護與資訊自由的任務,稱為「聯邦資
www.informationsecurity.com.tw 資安人2008.5 ︱ 89 料保護與資訊自由官」(Bundesbeauftragte für den Datenschutz und die Informationsfreiheit),一般仍簡 稱資料保護官。其屬於聯邦與各邦資料保護官會議 (die Konferenz der Datenschutzbeauftragten des Bundes und der L?nder)成員,同時為歐盟資料保護指令第29 條所稱之資料保護團體(Artikel-29-Datenschutzgruppe)
會議以及國際資料保護會議的德國代表,並共同參與歐盟警察局(Europol)與申根資訊系統(Schengener Informationssytem, SIS)資料保護會議的運作。

3. 德國各邦資料保護官(Landesbeauftragte fuer den Datenschutz)
為各邦關於資料保護的最高單位,負責監督並對各邦之公務機構提供機詢顧問。其法律地位與職務範圍依照各邦有關資料保護的法律規定各有不
同:部分邦資料保護官在其業務範圍內獨立行使職權,並不受其他指示拘束;有些邦的資料保護官並且負責非公務領域資料保護的監督職責,其並受該
邦政府的法律監督,但部分則由邦政府的內政主管機關負責監督。各邦資料保護官並與聯邦資料保護官共同成立聯邦與各邦資料保護官會議。

4. 私人企業的營業資料保護人
關於公機構或私人企業中設立負責資料保護之人,其法律基礎為聯邦資料保護法第4條f與g,其任務主要是監督資料處理的流程與處理人員的監控。依此規定,私人機構,例如企業、人民團體、 律師、會計師事務所、醫療院所等,若其組織中有
超過10個人負責個人資料(包括員工、客戶或其他利害關係人等)的處理工作,或可接觸到個人資料,則應設立營業資料保護人。個人資料若非自動化處理
者,則其處理人數超過20人時須配置資料保護人。其他如以自動化系統處理的個人資料依法須有事先管控,或該組織業務主要為個人資料流通者,則不
管人數都須配置資料保護官。 上述個人資料保護人的責任是確保組織處理個
人資料遵守相關法令,但並不具備如同資料保護官之指示權。其任務主要是監督電腦與其程式的正確使用,確認有權使用個人資料者只能在使用目的範圍內處理個資,並確保資料所有人對其資料有諮詢請求權,要求修改、封鎖或刪除的權利,同時負責培養員工有資料保護的意識。依照法律,資料保護人在其領域中獨立於機構主管的指示權之外,不得因為執行職務而受不利益對待。法律對解雇資料保
護人有保障的規定,但監理機構得因為其不具所需專業知識或信賴性不足而解除其職務。企業選定資料保護人後,若監理機關反對,或有民法626條規定
的重大原因,企業得撤銷其選任。資料保護人須具備業務所需的專業知識,並
且有相當的公信力,選任應以書面為之。為了貫徹其任務,個人與機構不得有利益關係,一般而言, 選任外部專業的資料保護人更符合經濟效益,也更專業、更獨立。而企業負責人、人事或資訊主管原則上不應被充任資料保護人。每位資料保護人都應參加德國資訊保護人同業公會(Berufsverband der Datenschutzbeauftragten Deutschlands),除此之外,德 國還有其他私人的協會、組織等,提供資料保護人
專業的資訊與教育訓練,並與資料保護官合作推動個人資料的保護。

結語
觀之我國現行「個資法」僅僅誡命式的規範部 分公、私立機構特定資料保護之義務,以及違反此規定之法律效果,多屬於事後懲罰的規定。而歐盟與德國個人資料保護制度則更積極的賦予公權力主動監督與提供諮詢的責任,並且在適當的範圍內則成各公、私立機構經由獨立的專業人士從機構內部落實保護個人資料的工作,其對個人資料保護如此重視與用心,背後的思維、理念應有值得我國推動個人資料保護制度參考之處。