本報告之目的係針對歐盟會員國如何落實GDPR之情形加以觀察並分析,本報告分別對德國聯邦個人資料保護法與英國2018年資料保護法之內容及二國各自落實GDPR之實際情形提出說明,且另就擇定之我國目前較急迫或具有重要性之議題分析英國、德國與我國個資法之異同。這幾個議題分別是監管機關之中央與地方權限、個資特定目的外利用之要件、去識別化之要件、程序、認定方式等規定、特殊處理情形(GDPR第9章)、自動化機器做成之決策,以及當事人權利之議題相關的法律制定與政策落實等。
本報告認為我國在法制上如要完善個資保護法制,甚至企圖實現良好的資訊治理,實有必要將法制更加以完備。而一個獨立專責且能量充足的監管機關,是推動個資保護法制的必要機構性之保護架構。對此,最基本的關鍵在於本報告所分析的所有相關爭點,都需要仰賴這個專責機關依照其所被賦予的職權,例如教育宣導、法令解釋、監督管理、執法制裁等各方面具有充分能量的行政作為,來實現個資法制上對於當事人權利之保護,以及對於資料控管者義務之監督。
此外,目前個資法缺乏利益衡量之條款,也使得僵化而機械的文義解釋經常被提出,令社會產生對於個資保護法制之疑懼,擔心其落實會限制數位科技之應用,而紛紛希望以去識別化之方式脫離個資法範圍,又或期待創設各種例外豁免(特種)個資保護之規範,更任意依照主觀心證解釋所謂「公共利益」之範圍與內涵。
最後,在追求至少跟得上GDPR腳步而落實相關法制的同時,或許面對我國對數位經濟發展政策的渴望,在個資保護法制上對包括人工智慧(機器自動化)決策、通訊傳播與健康研究應用等不同領域上,可以考慮「超前部署」,以其作為我國資訊治理政策的起點。