Please enable JavaScript.
Coggle requires JavaScript to display documents.
人性尊嚴, 財產權, 資源最適配置 - Coggle Diagram
人性尊嚴
人格發展自由
隱私權
資訊隱私權
空間隱私權
個資保護權/資訊自決權
事前控制
同意
事後控制
近用權(第15條)
透明性
更正權(第16條)
資料正確性
不正確
不完整
限制處理(第18條)
資料最小化
控制者核實資料正確性
違法/不必要處理
資料主體反對刪除
停止處理(第21條)
行使條件
處理事由
政府行使職權(第6條第1項第e款)
利益衡量
控制者正當利益(第6條第1項第f款)
利益衡量
直銷
絕對權利
科學、歷史研究、統計
與資料主體之特定情況相關的理由
停止合法處理
行使對象
控制者
刪除權(第17條)
資料正確性、資料最小性
撤回同意/違法處理/法律規定
終局刪除
不必存在損害
豁免
言論自由、資訊自由
法院裁判書公開(法組法§83)
通知接收者
接收者的行為義務?
資料可攜權(第20條)
個資保護&競爭法
拒絕自動化決定權(第22條)
防止人類屈從於機器決定
人類不應成為電腦決定的「單純客體」,而應享有「公正程序權」
機器學習
研發&部署(個資蒐集&使用方式)
探勘
知識(模式)
預測/決定
1 more item...
個人檔案、群體檔案
自動、深度學習+雲端運算
資料主體權利
知情權
拒絕權
合法、公正、透明
合法
DPIA
挑戰
複數資料來源
資料最小化
個人剖繪
1 more item...
群體剖繪
2 more items...
透明
黑箱程度不一
決策樹
非演繹性的神經脈絡演算
公正
偏誤
直接偏誤
間接偏誤
設計者價值
關聯性 vs 因果關係
責任 → 因果
關聯性 → 可靠性
1 more item...
DPIA
非權利
只是程序上的附加條件
原則禁止、例外容許
第2項
適當保障措施
特種個資
「自動化」的「個人化」「決定」
決定
最終結果
初選/預決
搜尋結果?
智慧家電?
剖繪
人格特徵
評價
複雜性要求
個人化
涉及一個以上的具體個人
自動化
使用電腦軟體
沒有人類介入
真正、實質的人類介入
決定的重要性
產生法律效果
單方/形成行為
Legal Tech Apps
行政行為
契約終止
類似的明顯侵害
事實效果
保障值得保護的利益
人為介入
陳述意見
撤銷決定
獲得解釋(立法說明第71點)
一般決定運作資訊,非持定決定推論
控制者/處理者的義務
技術&組織保障措施(第24條)
by disign & by default(第25條)
特定處理目的
必要範圍
蒐集數量
處理範圍
保存期間
可近用性
個人介入作為不特定多數人近用個資的必要條件
認證機制
by design vs by default
by default
資料最小化
保密性
結果取向
by design
程序取向
資料安全(第32條)
確定並執行安全措施
持續性的保密性、完整性、可用性、韌性
在物理性或技術性事件中,即時回復個資的可用性、近用性
定期測試、評估、衡量技術和組織措施的有效性程序
假名化、加密
安全程度評估
識別處理行為的風險
意外
違法
行為守則、認證機制
控制者+處理者
111憲判13判決(理由61)
資料洩漏通報
控制者->監管機關(第33條)
到底是誰洩漏台灣2300萬筆個資?數發部為何攔阻不了?
內容
洩漏事件性質:資料主體類型、數量&資料類型、數量
告知DPO聯絡細節
洩漏的可能結果
預計採取措施
分階段提供
控制者->資料主體(第34條)
權利&自由高風險
方式
清楚淺白的語言
豁免
內容
洩漏性質
減輕潛在負面影響的建議
資料保護影響評估 (DPIA)(第35條)
對自然人的權利、自由造成高風險
esp. 使用新技術
處理行為的本質、範圍、脈絡、目的
高風險
以自動化處理為基礎,對自然人之個人面向進行系統性的廣泛評估(含剖繪)
基於該評估作成對自然人發生法律效果或其他類似重大影響的決定
大規模處理特種個資或犯罪個資
大規模監控公共場所
監管機關應建立並公布高風險而應進行DPIA的處理行為清單
監管機關得建立並公布毋須進行DPIA的處理行為清單
評估
客體
呈現相似高風險的一系列相似處理
程序
尋求資料保護官(data protection officer, DPO)的建議
適當時得徵詢資料主體的意見
諮詢監管機關
內容
預計的處理行為及其目的
處理行為與目的間的必要性&比例性
資料主體權利與自由風險的評估
預計採取的應對風險措施
控制者/處理者遵守行為守則的情形
審查&再評估
必要時
處理的風險發生變化
組織保障(獨立監管機制)
多層次機制
歐盟個資保護委員會(EDPB)(第68條以下)
任務
一致性
成員
歐盟
各國DPAs
獨立性
獨立監管機關 (DPAs)
合作(第60條以下)
提供互助
資訊
監督
授權、諮詢、檢查、調查
聯合作業
交換資訊
成員國&歐盟的行政管制
資料保護官 (DPOs)
連結DPA和控制者/處理者
DPA(第51條以下)
獨立性
完全獨立
受監管機關構
外部影響
歐盟、成員國行政組織
直接影響
1 more item...
間接影響
1 more item...
不排除
政治任命
司法審查
成員
禁止職務不相容行為
利益衝突
任命
主觀資格條件
任期
解職
保密義務
提供充足資源
任務
雙重目標
監督法律遵循
個資保護權
單一市場內的個資自由流動
四種角色
領導者
技術監測+政策或作業建議/指引
傳播者
提升公眾認知
授權者
控制者問責的例外
DPA事前授權(第58條第3項)
執行者
調查、糾正(第58條)
罰鍰(第83條)
申訴處理者
強制要求
基於獨立性決定任務優先性
申訴處理
洩漏通知
職權
最低職權門檻,以確保GDPR的一致性適用
調查權
查明事實
糾正權
法律遵循
強化+歐盟化
裁罰權力
權利救濟
資源配備
DPO(第37-39條)
指定
強制指定
公務機關
不包法院審判(含司法行政)
大規模系統監控
大規模特種個資處理
自願指定
共同指定
成本考量
職位
獨立性
非完全獨立
DPO無執行能力
組織上融入指定者
不受他人指示
利益衝突
內、外部DPO的衝突壓力
充分資源
高層管理者支持
部門、設備、技術、財務、人力持續培訓
職權
相對指定組織
審核
相對資料主體
權利行使
調查、處理申訴
相對監管機關
促進合作
財產權
市場取向
爭議
讓渡範圍&程度
處分限制?
權利的原始配置標準不明
公共財?
複數資料主體?
權利客體
觀察資料?推論資料?
權利的可分割性(人格權vs使用權)
家長主義?
控制力(應然)
公共領域
個人控制的公共限制
控制力(實然)
權力/資訊對等性、技術環境
財產權路徑的預設:完全競爭市場
市場失靈
削弱資料主體的控制
決策超載
非理性決策
使用與損害未知
脈絡化的個資決策
受縛理性(議價過程)
後勤限制
個人無法控制(技術環境)
組織、技術
信任控制者/處理者權能
可分割性
可讓渡性
差異定價
資源最適配置