GDPR適用與否？——「誰」的「什麼行為」受到規範呢？｜張陳弘

GDPR適用與否？——「誰」的「什麼行為」受到規範呢？｜張陳弘

今年早些時候有個熱鬧的消息，各個網站都有大動作要求訂閱戶重新確認，並明確授權個人資料的分享，到底發生了什麼事呢？

事實上，原來是基於保護自然人的基本權利和自由，尤其是個人資料（以下簡稱「個資」）保護的權利，並為有效因應新興科技就個資使用的變化，歐洲聯盟（European Union）（「歐盟」）於2016年通過「一般性個資保護規則（General Data Protection Regulation, GDPR）。[1]

這部新規定於2018年5月25日開始全面施行，是為了取代1995年通過的舊有個資保護指令（以下簡稱「95指令」）。[2]

GDPR的立法目的乃在設立關於「蒐用（process，相當於臺灣個人資料保護法所規範之蒐集、處理、利用）」自然人個資時的保護規則。另為兼顧衡平在歐盟境內的個資自由流通所帶來的利益，避免一昧為了保護資料主體的權利，就使得個資流通受到過度限制或禁止。[3]

此外，為了確保整個歐盟對自然人個資保護的一致性，並防止保護規範的歧異，而阻礙個資在內部市場的自由流動，歐盟認有必要制定一部規則，為經濟經營者（包括微型與中小型企業）提供明確且透明的規範，並給予會員國內之自然人法律上同樣程度可執行的權利，也讓個資蒐用者或保護者負起一定義務與責任，確保對個資蒐用行為能受到一致的監督。[4]

GDPR規範「誰」的行為？

過往個資保護的規範方式，不夠契合數位網路時代下跨境個資流通的保護需求，例如Google和Facebook等網路科技巨擘即曾不斷爭執他們不受歐盟各國的個資保護法律規範，理由是他們並未在當地設立公司，儘管他們的確在當地蒐用其產品或服務使用者之個資。[5]

此次GDPR擴張適用範圍的變革，反映了解決此類歐盟管轄爭議的想法。也就是說，GDPR的規範對象除了考量「個資蒐用者的『設立地域』」外，也同時考量「個資被蒐用者（或網路使用者）」的觀點。由保護歐盟境內人民的個資觀點來看，縱使蒐用歐盟境內人民個資的公司設立在歐盟境外，該個資蒐用行為仍有可能受到規範。

承上思考，GDPR規範的個資蒐用活動如後：

規範「設立在歐盟境內」的資料管控者或蒐用者

GDPR規範設立在歐盟境內進行個資蒐用活動的資料管控者（controllers）或蒐用者（processors）[6]，不論該個資蒐用活動是否發生於歐盟境內。[7]按照GDPR前言第18點說明：

所謂「設立於歐盟境內」的要求，乃以資料管控者是否透過穩定的安排，有效且確實地開展活動；至於「安排」的法律形式，無論是通過分支機構（分公司）或是具有法人資格的子公司，都不是判斷此點的決定性因素。

規範「設立於歐盟境外」之資料管控者或蒐用者之可能

依GDPR第3條第2項規定，GDPR除了規範設立在歐盟境內進行個資蒐用活動的資料管控者外，亦可能在下列三種情形下，擴及規範設立於歐盟境外的資料管控者：

• 基於提供商品或服務所需，針對歐盟境內之資料主體進行個資蒐用行為

設立於歐盟境外的資料管控者，基於提供商品或服務所需（無論提供資料的人是否需要付款購買此商品或服務[8]），針對資料主體進行個資蒐用行為，仍須受到GDPR規範。[9]

至應如何判斷資料管控者的個資蒐用行為，是為了提供歐盟境內資料主體「商品或服務」所需？

按GDPR前言第23點所述，應該要確認是否可以「明顯」看到資料管控者欲向一個或多個歐盟會員國內之資料主體提供服務；例如資料管控者是否提供一種或多種歐盟會員國通常使用的語言或貨幣選擇，令其得以訂購商品和服務的可能性，或提供之內容提及居住於歐盟境內的客戶或用戶之情形，皆可能符合「明顯性」的判斷。

• 基於「監控」歐盟境內自然人行為所需，對資料主體進行個資蒐用行為

設立於歐盟境外的資料管控者，基於「監控」發生在歐盟境內之自然人行為所需，而針對資料主體所為的個資蒐用，仍須受到GDPR規範。[10]

在判斷該個資蒐用活動是否構成「監控」資料主體之行為時，應確認：該自然人是否在網路上被追踪，包括利用個資處理技術對於個資的潛在後續使用，例如包括「描繪（建檔）」（profiling）[11]自然人，尤其為了做出與他有關的決定，或分析或預測他的個人偏好，行為和態度。[12]

• 進行個資蒐用行為的資料管控者雖非設立於歐盟境內，但所設立之處依據國際公法適用歐盟會員國法律，亦適用GDPR。[13]

分析歐盟的規定後，讓我們回到台灣的脈絡。

與臺灣個人資料保護法規範「境外（域外）效力」之比較

按臺灣個人資料保護法（以下稱「個資法」）第52條第2項規定：公務機關及非公務機關[14]，在臺灣領域外對臺灣人民個人資料蒐集、處理或利用者，亦適用本法。公務機關理當指「我國」之公務機關，則依論理解釋，非公務機關亦應指設立於臺灣之非公務機關或臺灣國民。

循此，則個資法得發生境外效力之情形即針對：設立於我國或具備我國籍之資料管控者，於臺灣境外蒐用臺灣國民個資之行為。此項規定乃延續傳統立法常見就「境外效力」的規範思維，以「國籍」作為境外效力發生的聯繫因素。

相較而言，GDPR為因應網路科技無國界的規範需求，以及資料蒐用科技的無國籍差別運用特性，在「域外效力」發生的聯繫因素設計上，不使用「國籍」，而改以對歐盟境內人民的個資蒐用行為，是否基於提供商品或服務所需，或基於監控目地所為，來決定GDPR的適用。亦即，蒐用人或被蒐用人是否具備歐盟公民身分，並非GDPR域外效力發生與否的決定因素。[15]

中小型企業仍須適用GDPR

適用GDPR規範之企業並不區分規模大小。亦即，GDPR並未排除中小型企業(small and medium-sized enterprise, “SME”)的適用。不過，SME在符合兩項要件下：

1. 個資蒐用行為並非企業營運之核心部分；
2. 企業活動並未對個人的自由、權利形成具體威脅（例如監控個人或蒐用敏感個資）：得減輕其所負擔之GDPR規範義務。例如，公司可以不用設置「個資保護長（Data Protection Officer, “DPO”)；[16]員工人數少於250人的公司不需要保存其個資蒐用活動的記錄，除非蒐用個資乃公司的日常運作、對個人的自由、權利構成威脅，或者涉及敏感個資或犯罪記錄。[17]

小結：舉例說明

假設甲公司設立在臺灣境內、開設線上中文語言學習中心，招生對象瞄準歐盟境內之西班牙語系大學之學生（日後規劃欲至中國或臺灣發展事業者）。只要學生在甲架設的學習網站註冊使用者姓名及密碼，就可以獲得甲提供免費的相關建議。

雖然甲係小型公司，且對其所提供的諮詢服務未收取對價，甲仍應適用GDPR規範，因甲乃基於提供商品或服務所需，針對歐盟境內之人民進行個資蒐用行為。

假設乙公司也是設立在臺灣境內、開設線上中文語言學習中心，但招生對象瞄準的是亞洲各國境內非中文語系之人民（日後規劃欲至中國或臺灣發展事業者）。丙係住在菲律賓之人民，其於乙網站註冊使用該服務。

可以想像丙可能在某日旅遊至歐盟境內國家，連線登入使用乙網站服務。縱使此情形發生，亦不會使得乙公司因此須適用GDPR規範，蓋乙公司提供的商品、服務所瞄準的客戶群，並非居住於歐盟境內人民，丙只是暫時經過歐盟境內的旅客。

GDPR規範「何種」行為

GDPR所規範的個資蒐用行為，乃指：

1. 全部或部分以「自動化方式」所為的個資蒐用行為；
2. 雖「非以自動化方式」所為的個資蒐用行為，但蒐用之目的乃為形成或意圖形成資料「檔案系統」的一部分。[18]

依據GDPR第4條定義性規定之第6款，所謂「檔案系統」乃指：可以使用「特定條件」存取的「結構化之個資集合（資料庫）」，無論是集中式、非集中式，或以功能或地域為由的分散式資料庫。

此檔案系統定義的規範重點乃「得以一定方式檢索使用的個資集合」。故倘若以非自動化方式蒐集了一堆個資，但未經系統化處理，係雜亂無章而無從依循特定條件檢索使用者，縱使是大量的個資集合，亦不構成GDPR所稱之個資檔案系統。

依據GDPR第2條第2項規定，下列個資蒐用行為不適用GDPR規範：

• 非屬歐盟法規範範圍內之個資蒐用活動；
• 歐盟會員國在開展屬於歐洲聯盟條約（Treaty on European Union , TEU）第5篇第2章範圍的活動時；
• 自然人因純粹的個人或家庭活動所為與職業或商業活動無關的個資蒐用行為；[19]
• 主管機關基於預防，調查，偵查或起訴刑事犯罪或執行刑事處罰（包括保護和防止對公共安全的威脅）之目的所為的個資蒐用行為。由於此類型的個資蒐用行為通常會對當事人自由與權利造成較大威脅，故此款排除GDPR適用規定，當然並非意指此類個資不應受保護，而只是因為此類個資蒐用行為之目的係為了保護特定的重大公益，因此對於蒐用行為的規範應另外量身訂作更符合規範需求的特別法。[20]

是否適用GDPR的假設案例說明：代結論

假設，A為登記設立於臺灣的電動機車製造公司。為了精進電池效能，A公司於製造機車時，設計安裝智慧裝置（例如智慧電池及車身感應器），以蒐集能源使用數據、機車行使路線與里程、檢查車況等，並藉由機車上的無線傳輸配備，即時地將所蒐集資料傳輸至A公司設置於臺灣的資料庫中心，進行資料的處理、分析，以掌握智慧雙輪的一切大小事。[21]

由於A公司所製造的電動機車除了在臺灣銷售外，其主要外銷地域為歐盟各會員國，隨著GDPR於2018年5月25日起開始施行，A公司想要瞭解其電動車產品所蒐用資料之行為，是否受GDPR所規範。

首先就受GDPR規範對象此點來看，A公司若於歐盟境內設立有一個穩定的營業據點，且有效、確實地進行營運活動，依GDPR第3條第1項規定，A公司屬GDPR欲規範之對象。

然而，縱使本案之A公司未於歐盟境內設立營運據點，但據案例所述，A所生產的智慧電動機車主要銷往歐盟各會員國，為歐盟境內人民所使用；A為提供其銷售之智慧電動機車更好的服務或效能提升，會蒐用機車使用者的相關使用數據（例如機車行使路線與里程）。按GDPR第3條第2項第a款規定，A仍須受到GDPR規範。

其次，A具有決定蒐用歐盟境內人民使用機車之個資的目的與方式之權力，且A同時為實際執行者，故A該當於GDPR第4條第7款及第8款所定義之個資管控者。

最後，從受GDPR規範之行為類型來看，按假設案例所述，A係使用自動化方式蒐用機車使用之個資，屬GDPR第2條第1項所欲規範之個資蒐用行為，且不具備同條第2項各款所規定排除適用之情形。

綜據上述，A公司蒐用歐盟境內人民使用其銷售之電動機車之個資行為，須受GDPR規範。

---

[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, 2016 O.J. (L 119) 1.

[2] Directive 95/46/EC, of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995 O.J. (L 281) 31.

[3] 參閱GDPR第1條規定。

[4] 參閱GDPR前言第13點說明。

[5] Court of Justice of the European Union, Judgement in Case C-131/12, Google Spain SL vs Mario Costeja González, 13 May 2014; Reuters, Facebook wins privacy case against Belgian data protection authority, June 2016.

[6] 依據GDPR第4條之定義性規範，第7款規定所謂個資「管控者」，乃指對於個資蒐用之目的與方式具有自己決定權或與他人具有共同決定權之自然人或法人，與國家組織；同條第8款則規定個資「蒐用者」，乃指代表管控者蒐用個資的自然人或法人，及國家組織。依據上述定義規定，當有權決定個資蒐用之人與實際執行個資蒐用之人為相同人時，則資料管控者與個資蒐用者兩概念將重疊；反之，則應加區分。故通常情形只有資料管控者；若有「找人」幫忙蒐用個資，才會多出資料蒐用者。

[7] 參閱GDPR第3條第1項規定。

[8] 無須對價要求的設計，乃規範例如假設居住於歐盟境內人民甲使用設立於美國境內之Google公司所提供的免費Gmail服務，Google藉此蒐用甲之個資的行為。

[9] 參閱GDPR第3條第2項第a款規定。

[10] 參閱GDPR第3條第2項第b款規定。

[11] 關於「描繪」（profiling）定義，參閱GDPR第4條第4款規定。

[12] 參閱GDPR前言第23點說明。

[13] 參閱GDPR第3條第3項規定。

[14] 按個資法第2條第7款與第8款規定，公務機關乃指依法行使公權力之中央或地方機關或行政法人；非公務機關乃指公務機關以外之自然人、法人或其他團體。

[15] 按GDPR前言第2點說明，個資蒐用的保護原則或規範，乃基於基本權利和自由之保護，尤其是個資保護的權利，並不問被保護人的國籍或住居所。

[16] European Commission, Does my company/organisation need to have a Data Protection Officer (DPO)?.

[17] European Commission, Who does the data protection law apply to?.

[18] 參閱GDPR第2條第1項規定。臺灣個資法原則上規範所有個資蒐用行為，不因「非自動化蒐用方式」而不予規範。

[19] 依據GDPR前言第18點說明，此款規定的解釋適用須加上「不得與職業或商業活動有關」的要件限制。相較而論，臺灣個資法第51條第1項第1款規定：「有下列情形之一者，不適用本法規定：一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。」則缺少了此一要件限制，而使得排除適用個資法規範的情形，有不當擴大之虞。

[20] 參閱GDPR前言第19點說明。

[21] 以Gogoro電動機車為例，車上共有30個感應器，電池裡也有高達25個感應器，因此車身有任何擦撞或是傾倒全都會寫入電池紀錄中，以10分鐘為間隔回報資訊給伺服器，當駕駛回充電站換電池時，充電站螢幕就會提示車子的狀況，例如車子的尾燈不亮、是否有零件需要進廠維修、或是車子曾在駕駛不知道時發生其他損害等。參閱洪詩詩，Gogoro電動車的「智慧」解密：車身有30組感應器，用 App 在手機直接車況診斷，T客邦，2015年4月23日。