台湾のデータプライバシー法

0
1928

データプライバシーを管理する台湾の主要な法令は、2015年12月を最後に改正され、2016年3月15日に発効した個人情報保護法(PDPA)です。台湾での個人データの収集、処理、使用は、PDPAが定めた、PDPAの施行規則、関連当局が発行した関連する規制および裁定です。

data
James Huang
台北のLee and Li法律事務所のパートナー
T: +886 2 2763 8000 (ext. 2157)
E: jameshuang@leeandli.com

PDPAは政府機関と非政府機関を区別し、個人データの収集、処理、および使用のためのデータ管理者として機能するため、異なる規則を採用します(ただし、「管理者」という用語はPDPAでは使用されません)。非政府機関には、台湾政府機関ではない個人または機関が含まれます。外国人または法人による台湾国民の個人データの収集、処理、使用もPDPAの対象となります。

PDPAの枠組みの下では、独立した監督当局は存在しません。2018年7月25日以前は、法務省がPDPAの解釈を担当する主要な機関であり、現在、そのような権限は国家開発評議会(NDC)にあります。さまざまな業界の管轄当局も、関連業界のデータ管理者に適用される裁定や規制を発行できます。

個人と機密データ

data
Maggie Huang
台北のLee and Li法律事務所のアソシエイトパートナー
T: +886 2 2763 8000 (ext. 2205)
E: maggiehuang@leeandli.com

PDPAでは、個人データとは、自然人の名前、生年月日、IDカード番号、パスポート番号、機能、指紋、婚姻状況、家族情報、学歴、職業、医療記録、医療データ、遺伝データ、 個人の性生活、健康診断の記録、犯罪歴、連絡先情報、財務状況、個人の社会活動に関するデータ、および自然人を直接的または間接的に識別するために使用できるその他の情報です。

自然人の医療記録、ヘルスケア、遺伝学、性生活、健康診断、犯罪歴(機密データ)に関連するデータの収集、処理、または使用には、より高い基準が適用されます(以下を参照)。ただし、PDPAは、機密データに対して個別の規則を明確に規定していません。

個人データの収集、処理、または使用の要件。この記事では、以下の非政府機関の要件に焦点を当てます。非政府機関が個人データを収集、処理、または使用するには、次の要件を満たす必要があります。

data
Andrew Mai
台北のLee and Li法律事務所のアソシエイト
T: +886 2 2763 8000 (ext. 2215)
E: andrewmai@leeandli.com

(1)以下のすべての情報を含むデータ主体への通知があるものとします。(i)収集/処理/使用者の名前。(ii)収集/処理/使用の目的。(iii)収集、処理、または使用される個人データの種類。 (iv)個人データの期間、地域、対象、および使用方法。(v)PDPAの第3条に基づくデータ主体の権利(以下を参照)、そのような権利を行使する方法、およびデータ主体が個人データを提供しないことを選択した場合のデータ主体の権利と利益への影響 。

(2)個人データの収集/処理には、以下の法的根拠のうち少なくとも1つが必要です。(i)収集/処理が法律によって明確に許可されている。(ii)データ主体の同意が得られている。(iii)データ主体の個人データは、データ主体により開示され、または正当な方法で公開されている。(iv)データ主体との契約上の関係または準契約上の関係、および適切な安全対策が採用されている。 (v)データ主体を特定するのに十分な情報が削除されている場合、個人情報の収集/処理は、公益のための学術研究機関による統計、収集または学術研究に必要です。(vi)収集/処理は、公共の利益を促進するのに必要です。(vii)個人データは、一般にアクセス可能なソースから収集されたものです。 (viii)収集/処理はデータ主体に害を及ぼさない。

(3)個人情報の利用については、以下のいずれかに該当する場合を除き、収集した利用目的の範囲内で利用されなければなりません。(i)そのような追加の使用は、法律に基づいて定められた特定の規定に従っています。(ii)公益を促進するために必要です。(iii)データ主体の生命、身体、自由または財産に対するリスクを防止するためのものです。(iv)第三者の権利または利益に対しての具体的危害を防止します。(v)データ主体を特定するのに十分な情報が削除されている場合、公益のための学術研究機関による統計、収集または学術研究のために必要です。 (vi)データ主体の同意が得られている。 または(vii)そのような追加の使用はデータ主体に利益をもたらす。

機密データの収集、処理、または使用に関する要件。次のいずれかの状況でない限り、機密データを収集、処理、または使用することはできません。

  • 法律で特に許可されている場合。
  • 政府機関がその法的義務を果たす必要がある場合、または非政府機関がその法的義務を果たす必要がある場合、およびそのような収集、処理、または使用の前または後に適切な安全対策が採用される場合。
  • データ主体の開示により、または正当な方法で、データ主体の個人データが公開された場合;
  • 統計またはその他の学術研究を実施する必要がある場合、政府機関または学術研究機関は、治療、公衆衛生、または犯罪防止の目的で、データー主体を特定する情報が十分に削除されている前提で、個人データを収集、処理、または使用することができます。
  • 政府機関がその法的義務を遂行するのを支援する必要がある場合、または非政府機関がその法的義務を遂行するのを支援する必要があり、そのような収集、処理、または使用の前または後に適切な安全対策が採用されている場合。又は
  • データ主体が書面で同意した場合、そのようなデータの使用が特定の目的の必要な範囲を超えてはならない、または他の法令に基づく他の制限がない場合。さらに、そのような同意は、データ主体の自由意志に反して取得してはなりません。

データ主体の権利

PDPAの第3条に従い、データ主体は次の権利を有します。これらの権利は事前に契約により放棄または制限されることはありません。(1)個人データを照会および確認する権利。(2)個人データのコピーを所有する権利。(3)個人データを補足または訂正する権利。(4)個人データの収集、処理、または使用を停止する権利。(5)個人データを削除する権利。

個人データの国際転送

PDPAの第21条に基づき、管轄当局は、以下の状況のいずれかにおいて個人データの国際転送を禁止または制限する権利を有します。(1)主要な国益が関係する場合。(2)国際条約または協定がそのような譲渡を禁止または制限する場合。 (3)個人データが転送される国が個人データの健全な法的保護を提供せず、それによりデータ主体の利益に影響を与える、危うくする場合。 (4)個人データの第三国(地域)への転送がPDPAに基づく制限を回避することである場合。

言い換えれば、個人データの国際的な転送は一般的に許可されていますが、所管官庁がケースバイケースでこれを禁止または制限することがあります。また、さまざまな業界の所管官庁は、関連業界のデータ管理者による個人データの国際転送に適用される裁定や規制を発行する場合があります。たとえば、台湾の銀行規制当局は、個人データの国際転送を伴う金融機関による業務のアウトソーシングは特定の要件を満たすことを要求しており、事前の承認を受ける必要があります。

最近の展開

台湾政府は、おそらく今年、PDPAを改正して、EUの一般データ保護規則(GDPR)の基準を満たし、欧州委員会から妥当性の判断を得ることを目指しています。NDCは、PDPAの必要な修正について、欧州委員会の当局と数回の議論を交わしました。NDCによると、修正案には主に次のものが含まれます。(i)さまざまな業界分野にわたるデータ保護に関する規制がより一貫して包括的になるように、独立した規制機関を設置する。 (ii)個人データの国際転送に関する要件または制限を追加する。

Lee and Li - Taiwan Interpretation No. 770 and protection for minority shareholders

Lee and Li
8F, No. 555,
Sec 4, Zhongxiao E Rd,
Taipei, Taiwan
Tel: +886 2 2763 8000
Email: attorneys@leeandli.com
www.leeandli.com