データプライバシーを管理する台湾の主要な法令は、2015年12月を最后に改正され、2016年3月15日に発効した个人情报保护法(笔顿笔础)です。台湾での个人データの収集、処理、使用は、笔顿笔础が定めた、笔顿笔础の施行规则、関连当局が発行した関连する规制および裁定です。
台北のLee and Li法律事务所のパートナー
T: +886 2 2763 8000 (ext. 2157)
E: jameshuang@leeandli.com
笔顿笔础は政府机関と非政府机関を区别し、个人データの収集、処理、および使用のためのデータ管理者として机能するため、异なる规则を採用します(ただし、「管理者」という用语は笔顿笔础では使用されません)。非政府机関には、台湾政府机関ではない个人または机関が含まれます。外国人または法人による台湾国民の个人データの収集、処理、使用も笔顿笔础の対象となります。
笔顿笔础の枠组みの下では、独立した监督当局は存在しません。2018年7月25日以前は、法务省が笔顿笔础の解釈を担当する主要な机関であり、现在、そのような権限は国家开発评议会(狈顿颁)にあります。さまざまな业界の管辖当局も、関连业界のデータ管理者に适用される裁定や规制を発行できます。
个人と机密データ
台北のLee and Li法律事务所のアソシエイトパートナー
T: +886 2 2763 8000 (ext. 2205)
E: maggiehuang@leeandli.com
PDPAでは、個人データとは、自然人の名前、生年月日、IDカード番号、パスポート番号、機能、指紋、婚姻状況、家族情報、学歴、職業、医療記録、医療データ、遺伝データ、 個人の性生活、健康診断の記録、犯罪歴、連絡先情報、財務状況、個人の社会活動に関するデータ、および自然人を直接的または間接的に識別するために使用できるその他の情報です。
自然人の医疗记録、ヘルスケア、遗伝学、性生活、健康诊断、犯罪歴(机密データ)に関连するデータの収集、処理、または使用には、より高い基準が适用されます(以下を参照)。ただし、笔顿笔础は、机密データに対して个别の规则を明确に规定していません。
个人データの収集、処理、または使用の要件。この记事では、以下の非政府机関の要件に焦点を当てます。非政府机関が个人データを収集、処理、または使用するには、次の要件を満たす必要があります。
台北のLee and Li法律事务所のアソシエイト
T: +886 2 2763 8000 (ext. 2215)
E: andrewmai@leeandli.com
(1)以下のすべての情報を含むデータ主体への通知があるものとします。(i)収集/処理/使用者の名前。(ii)収集/処理/使用の目的。(iii)収集、処理、または使用される個人データの種類。 (iv)個人データの期間、地域、対象、および使用方法。(v)PDPAの第3条に基づくデータ主体の権利(以下を参照)、そのような権利を行使する方法、およびデータ主体が個人データを提供しないことを選択した場合のデータ主体の権利と利益への影響 。
(2)個人データの収集/処理には、以下の法的根拠のうち少なくとも1つが必要です。(i)収集/処理が法律によって明確に許可されている。(ii)データ主体の同意が得られている。(iii)データ主体の個人データは、データ主体により開示され、または正当な方法で公開されている。(iv)データ主体との契約上の関係または準契約上の関係、および適切な安全対策が採用されている。 (v)データ主体を特定するのに十分な情報が削除されている場合、個人情報の収集/処理は、公益のための学術研究機関による統計、収集または学術研究に必要です。(vi)収集/処理は、公共の利益を促進するのに必要です。(vii)個人データは、一般にアクセス可能なソースから収集されたものです。 (viii)収集/処理はデータ主体に害を及ぼさない。
(3)個人情報の利用については、以下のいずれかに該当する場合を除き、収集した利用目的の範囲内で利用されなければなりません。(i)そのような追加の使用は、法律に基づいて定められた特定の規定に従っています。(ii)公益を促進するために必要です。(iii)データ主体の生命、身体、自由または財産に対するリスクを防止するためのものです。(iv)第三者の権利または利益に対しての具体的危害を防止します。(v)データ主体を特定するのに十分な情報が削除されている場合、公益のための学術研究機関による統計、収集または学術研究のために必要です。 (vi)データ主体の同意が得られている。 または(vii)そのような追加の使用はデータ主体に利益をもたらす。
机密データの収集、処理、または使用に関する要件。次のいずれかの状况でない限り、机密データを収集、処理、または使用することはできません。
- 法律で特に许可されている场合。
- 政府机関がその法的义务を果たす必要がある场合、または非政府机関がその法的义务を果たす必要がある场合、およびそのような収集、処理、または使用の前または后に适切な安全対策が採用される场合。
- データ主体の开示により、または正当な方法で、データ主体の个人データが公开された场合;
- 统计またはその他の学术研究を実施する必要がある场合、政府机関または学术研究机関は、治疗、公众卫生、または犯罪防止の目的で、データー主体を特定する情报が十分に削除されている前提で、个人データを収集、処理、または使用することができます。
- 政府机関がその法的义务を遂行するのを支援する必要がある场合、または非政府机関がその法的义务を遂行するのを支援する必要があり、そのような収集、処理、または使用の前または后に适切な安全対策が採用されている场合。又は
- データ主体が书面で同意した场合、そのようなデータの使用が特定の目的の必要な范囲を超えてはならない、または他の法令に基づく他の制限がない场合。さらに、そのような同意は、データ主体の自由意志に反して取得してはなりません。
データ主体の権利
笔顿笔础の第3条に従い、データ主体は次の権利を有します。これらの権利は事前に契约により放弃または制限されることはありません。(1)个人データを照会および确认する権利。(2)个人データのコピーを所有する権利。(3)个人データを补足または订正する権利。(4)个人データの収集、処理、または使用を停止する権利。(5)个人データを削除する権利。
个人データの国际転送
PDPAの第21条に基づき、管轄当局は、以下の状況のいずれかにおいて个人データの国际転送を禁止または制限する権利を有します。(1)主要な国益が関係する場合。(2)国際条約または協定がそのような譲渡を禁止または制限する場合。 (3)個人データが転送される国が個人データの健全な法的保護を提供せず、それによりデータ主体の利益に影響を与える、危うくする場合。 (4)個人データの第三国(地域)への転送がPDPAに基づく制限を回避することである場合。
言い換えれば、個人データの国際的な転送は一般的に許可されていますが、所管官庁がケースバイケースでこれを禁止または制限することがあります。また、さまざまな業界の所管官庁は、関連業界のデータ管理者による个人データの国际転送に適用される裁定や規制を発行する場合があります。たとえば、台湾の銀行規制当局は、个人データの国际転送を伴う金融機関による業務のアウトソーシングは特定の要件を満たすことを要求しており、事前の承認を受ける必要があります。
最近の展开
台湾政府は、おそらく今年、PDPAを改正して、EUの一般データ保護規則(GDPR)の基準を満たし、欧州委員会から妥当性の判断を得ることを目指しています。NDCは、PDPAの必要な修正について、欧州委員会の当局と数回の議論を交わしました。NDCによると、修正案には主に次のものが含まれます。(i)さまざまな業界分野にわたるデータ保護に関する規制がより一貫して包括的になるように、独立した規制機関を設置する。 (ii)个人データの国际転送に関する要件または制限を追加する。
Lee and Li
8F, No. 555,
Sec 4, Zhongxiao E Rd,
Taipei, Taiwan
Tel: +886 2 2763 8000
Email: attorneys@leeandli.com
