本報告第一章針對歐盟依據GDPR第97條第1項規定所提出的GDPR施行兩周年評估報告進行分析,發現整份評估報告具備以下兩項主軸:當事人權利意識的提升與行使的強化,以及創立新的治理模式、樹立新的資料運用文化。歐盟此一全球性資料運用文化的推展趨勢,臺灣勢必無法置身事外,因此,臺灣立法者於個資保護法律制定或修正時,尤應特別注意與全球接軌之需求。 本報告第二章乃說明GDPR關於自動剖析決策行為之規範。本報告認為GDPR將特別透明性要求僅適用於會對當事人產生法律影響或類似重大影響之全自動剖析決策類型的立法決定,對於個資保護有所不足;於未修法前,本報告主張可透過將演算法資料認定為個資的方式,解決適用範圍不足問題。此外,本報告主張,單純揭露演算法並不等於提供關於運算邏輯之有意義資訊;反之,未揭露演算法原貌亦不等於未提供運算邏輯之有意義資訊。透明化自動剖析決策的關鍵在:使當事人有挑戰該決策之可能。就此透明目的之達成而言,與其讓當事人理解複雜的演算法運算邏輯,不如將不被一般人所親近的程式語言轉化為具體影響因子之說明或解釋(例如供作剖析決策的資料類型、這些類型資料如何地與剖析決策相關、該決策會如何地影響當事人),俾當事人能合理預見剖析決策對其之可能影響,並有透過自己能力改變決策結果之可能。至於是否要就當事人得近用這些資訊內容之權利,給予一個新名詞「請求解釋權」為稱呼,抑或繼續沿用「近用權」一詞,應非重要。 本報告第三章乃說明有關GDPR規定非公務機關之正當利益(legitimate interest)權衡條款作為個資運用合法事由之適用範圍,以及相關歐盟法院判決之整理。本報告乃藉由就WP29於2014年提出的「95指令第7條第f款規定之資料控管者之正當利益概念之意見書(Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller under Article 7 of Directive 95/46/EC)」與歐盟法院(Court of Justice)自2011年至2017年間作成相關於正當利益權衡條款裁判之整理觀察,說明GDPR第6條第1項第f款之正當利益權衡事由適用之要件,以及正當利益權衡時應考量之因素。本報告希冀藉由正當利益權衡條款的論述,能更清晰地突顯個資運用合法事由的設計結構:運用行為的合法基礎建立在運用行為所追求的正當利益凌駕於當事人因此行為所損傷之權益,得對於臺灣個資法就個資運用合法事由設計不足之處,提供未來修法參考。 本報告第四章比較及分析歐盟及美國對於生物特徵資料(biometric data)之規範趨勢及實際案例。關於歐盟GDPR部分,主要釐清構成GDPR第9條第1項規定之特種個資的生物特徵資料,必須是將生物特徵資料用以獨特性地識別特定自然人始屬之;並說明GDPR針對構成特種資料之生物特徵資料的運用,存在哪些特別保護規範。美國法部分,關於保護生物特徵資料的一般性保護規範,最著名的乃伊利諾州(State of Illinois)於2008年制定的生物特徵資料隱私法(Biometric Information Privacy Act, BIPA)。本報告乃說明BIPA對於資料控管者運用生物特徵資料之行為的相關要求及BIPA適用之實際案例情形。