隱私維護沒有國界之分,但在數據就是商機的時代,各國看待個資不盡相同,如日本就家咖啡店Shiru可用個資換咖啡;而韓國政府則因為身分證號碼外流太嚴重,民眾可因特殊原由申請變更身分證13碼中的後6碼。
歐盟通用資料保護規則(General DataProtection Regulation,GDPR)自2018年5月25日施行,由於歐盟是全球重要經濟體,GDPR不僅會成為潛在的國際資料安全保護的基準線,隨著全球化、往來無國界的趨勢,各國企業想要跟歐盟做生意,如果不能符合GDPR對於歐盟公民個資保護的相關規範,GDPR就會成為企業進軍歐盟市場最關鍵的貿易壁壘。
以亞洲鄰國為例,日本在2014年向歐盟提出申請適足性認定的意願,接著於2015年展開修正日本個人情報保護法,並在今年1月取得適足性認定。
同時,日本針對非公務機關的個資,於2016年成立獨立專責機關-個人情報保護委員會,但公務機關的個資管理尚無獨立專責機關,仍由總務省(類似台灣內政部)作為法規解釋機關。
日本目前仍未完全達到GDPR的所有規範,其中,日本個人情報保護法未要求企業必須設置個資保護長(DPO);關於當事人權利部分,當事人就其個人資料有請求閱覽、更正、停止利用及刪除等權利,但沒有資料可攜及被遺忘權,與台灣個資法的規範相似。
觀察日本經驗,跨境傳輸議題部分,日本針對來自歐盟的個資,以補充規則另為規定,使其符合GDPR標準,但日本的國內仍適用原本個資法,為新創事業發展保留部分彈性。
如成立於2013年的日本連鎖咖啡店「Shiru Cafe」,以日文「知る(知道)」發音Shiru為店名,只要大學生在Shiru的網站上留下姓名、生日、電郵地址、電話、興趣、就讀科系及預計畢業年份等資料,就能換得一杯店內免費的咖啡、茶或果汁。
Shiru在日本已經開了10多家分店、大部分在東京大學、京都大學、早稻田大學等名校附近,其收集到的學生的個資會提給像日產、鈴木、微軟和摩根大通銀行等企業,讓這些企業能根據學生資料精準行銷。
曾到日本考察個資保護措施,中華民國消費者文教基金會董事、律師游開雄解釋,可能是日本利用個資詐騙的情形很少,在日本個資是可以當成交易標的,容許業者販售電話號碼、出生年月日等個資。不過,他強調,台灣利用個資詐騙屢見不鮮,民情不同不能當作借鏡。
AppWorks董事長暨合夥人林之晨則認為,個資保護最好情況是讓小的公司有一定的彈性找尋商業模式,中大型企業要有嚴謹的治理與GDPR接軌,但業者仍有不同的意見,
韓國在2015年向歐盟提出申請電信通訊領域的部分適足性認定,但隨著雙方諮商持續推展,目前韓國已轉為申請全面性的適足性認定,韓國個人資料保護法現正於韓國國會審議,歐方表示雙方已進入諮商後期。
韓國目前已有個資保護專責機關,但沒有裁罰權,現在也在修法中。
值得注意的是,近年韓國個資洩漏情況也非常嚴重,例如2014年韓國三大信用卡公司客戶資料外洩,成為韓國史上最嚴重的個人資料洩漏事件。根據統計,全南韓5000萬人口,就有4000萬人的身分證字號及個人資料掌握在駭客手裡,高達8成,不少韓國金融界人士、知名企業家,以及藝人都未能倖免於難。
為加強控管,韓國政府於2015年7月通過最新個人資料保護法修正案(Personal InformationProtection Act, PIPA)。修正案新增懲罰性損害賠償及法定損害賠償規定。
因為個資外洩實在太嚴重了,韓國政府在2014年就曾一度考慮要花7000億韓元(約新台幣200億元)及10年時間重建身分證系統;且為保護因身分證號碼外流,導致生命財產受到威脅,或有受害可能的民眾,韓國政府在2017年5月30日開始實施身分證變更制度,有需要的民眾可申請變更身分證13碼中的後6碼。
至今年7月,韓國身分證號碼變更委員會共收到1653件申請,其中1499件通過,主要是各種詐騙、家暴、身分盜用、約會暴力等案件受害者,為避免再次受害而提出申請。