跳到主要內容區塊

研究案摘要

2018年5月歐盟的一般資料保護規則(General Data Protection Regulation, GDPR)強調個人資料(personal data)蒐集與處理原則,以及知情同意管理(consent management)機制。在智慧政府2.0計畫的推動中,以資料價值與個人化服務為目標,涉及個人資料的公共創新服務,如個人化資料自主運用(MyData)平臺(以下簡稱為MyData平臺),無可迴避地應面對民眾對機關單位所留存的個人資料,應擁有知情同意(informed consent)後自主使用、分享與調閱刪除的主動權利及相關服務等。
有鑑於世界各國在個資保護,及數位發展之資料相關應用逐漸起步,本計畫擬蒐集分析並綜整歐盟一般資料保護規則、美國加州消費者隱私保護法、新加坡個人資料保護法、以及亞太經濟合作會議的跨境隱私保護規則(Cross-Border Privacy Rules, CBPR)體系中有關隱私架構(APEC Privacy Framework)之內容,側重有關知情同意機制之研析,綜整其作法,並審視我國目前推行知情同意管理應用之狀況及挑戰,透過訪談、小規模實驗等方法,達成下列四點研析目的:
1.MyData平臺對個人資料保護、知情同意機制、線上授權流程簡化等管理模式的改善建議與改進方向。
2.MyData線上授權的時間區間、單次授權方式、知情同意查閱與存取等機制改進模式與方法。
3.提出精進MyData服務平臺設計原則,及可供政府及第三方服務業者參考之規範準則,以提高公部門、使用者及第三方服務的操作便利性與使用意願。
4.政府應該如何輔導廠商符合GDPR或CBPR體系可以採取的措施,例如提供手冊、諮詢服務,技術指導之政策建議。

 

研究方法

為落實知情同意之機制,本計畫以MyData平臺為例,在符合我國個人資料保護法等相關法規要求之下,研提MyData平臺對個人資料保護、知情同意機制、線上授權流程簡化等管理模式的改善建議與改進方向。為達前述研析目標,本計畫透過(1)文獻回顧,彙整歐盟一般資料保護規則(General Data Protection Regulation)、美國加州消費者隱私保護法(California Consumer Privacy Act)、新加坡個人資料保護法(Personal Data Protection Act)、以及亞太經濟合作會議的跨境隱私保護規則(Cross-Border Privacy Rules)體系所遵循之隱私綱領(Privacy Framework),對個人資料保護機制與法令之影響;(2)知情同意文本實驗,招募309位受試者以測試知情同意文件長度、圖像化呈現方式,對受試者解讀文本正確性的影響,試圖找出較佳的呈現方式與機制;(3)MyData平臺的使用者體驗(User Experience)問題診斷,透過不同服務提供者線上申辦的流程診斷,以找出MyData平臺線上申辦的可能精進之作為;(4)專家訪談與座談,深度了解資料提供者與服務提供者對MyData平臺推動策略、個資保護方式、未來推動之建議;以及對本案所提出知情同意設計與資料保護之改善建議。

研究結果

綜合上述,本計畫規劃並實驗可行之知情同意形式,提出MyData平臺精進之作為,結果發現:(1)知情同意文件可採圖像化與階層化方式呈現,以利民眾閱讀;(2)個資稽核方式宜再優化;(3)同意管理平臺架構之規劃,仍有可精進的方向;(4)平臺服務流程再簡化,應朝資料營運者之目標;(5)因應個資生態系,個資目的外使用應完備。

對前述研究發現,本計畫具體提出短中長期建議如下:短期部分,針對知情同意管理方式建議:(1)MyData平臺的服務條款與隱私保護政策可考慮以圖像化與階層化方式呈現,唯階層不宜過多,以三層為限;(2)可朝「特定期間」或依「年度更新會員制」驗證及授權方式,同時調整隱私權保護政策、個人化資料自主運用平臺介接作業要點等「單次同意」之內容,以減少同意疲勞;(3)優化會員專區功能,如知情同意授權方式、提供同意收執聯等;(4)建議MyData平臺主管機關應對服務提供者落實稽核,或預先推演當民眾發生個資危害事件,的處置規則與流程,如發生人民向主管機關請求作出具體個案解釋時,主管機關應積極回應,以為人民釐清爭議;(5)平臺隱私政策聲明修訂方向建議增加特種資料之合法蒐集、處理或利用與特定目的外之利用;(6)針對使用者體驗建議身分驗證之方式,應由實體卡片放寬,並與各業務主管機關協商,持續精進或放寬資訊委託人或代理人制度、簡化再次造訪民眾之業務申辦流程、降低個人資料重複填寫、減少服務斷點。

中長期部分,建議MyData平臺應可朝向同意管理平臺(consent management platform)角色發展,提供標準化的應用程式介面與規範給服務提供者,集中管理民眾對服務提供者使用資料提供者個資所進行的知情同意。同時規劃未來法規增修方向及增修後平臺發展,如標準化圖示、撤回同意之規定、資料可攜權、接軌國際認證方式與標準、個資稽核指引等作為。

附加檔案