達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

• 美國加州正式啟用DROP平臺：落實《加州刪除法》賦予居民一鍵刪除個資之權利

            美國加州自2026年1月1日起正式啟用「Delete Request and Opt-Out Platform （DROP）」平臺，該平臺係由加州隱私保護局  
    （California Privacy Protection Agency, CPPA）依據《加州刪除法（California Delete Act）》所建置之官方集中化個資刪除請求機
      制。其核心目之在於使加州居民得透過單一政府入口，一次性向所有依法登記之資料掮客（data brokers）提出刪除其個人資料之請
      求，取代過往需逐一向各資料掮客申請之高成本模式。

            依據加州隱私保護局於DROP官方網站之說明，「資料掮客（data broker）」係指在其營業活動中，蒐集、彙整、販售，或以其他  
      方式向第三方提供個人資料，而該等個人資料並非由資料主體直接提供予該業者之事業體。此類業者通常未與資料主體建立直接之服務
      或交易關係，而係透過公開資料來源、第三方資料供應商、線上追蹤技術，或跨資料庫整合等方式取得個人資料，並將其用於出售、分
      享或其他商業性利用。DROP 平臺所適用之資料掮客，係以是否依法向加州隱私保護局完成登記作為判斷基準，僅限於符合加州法規所
      定「資料掮客」定義之業者；至於僅為自身業務目之處理客戶資料，且相關資料係由個人直接提供之一般企業，原則上並不屬於DROP
      機制所規範之資料掮客範圍。

            在運作機制上，DROP平臺採取「集中請求、分散處理」之制度設計。加州居民欲使用該平臺，須先透過加州政府既有之身分驗證
      系統完成身分與居住資格確認。完成驗證後，使用者可於DROP平臺建立個人資料檔案，自行填入姓名、出生日期、電子郵件、電話號
      碼、地址等可供比對之個人資訊；該等資訊係用於協助資料掮客識別其所持有之個人資料紀錄，填寫欄位並非強制，但資訊越完整，後
      續比對與刪除成功率通常越高。使用者提交刪除請求後，DROP平臺即會自動將該請求同步傳送至所有依法向加州隱私保護局登記之資
      料掮客，而無須由個人逐一聯絡各業者。資料掮客自2026年8月1日起負有處理DROP刪除請求之法定義務，並須於規定期限內回覆處理
      結果，包括是否已刪除相關個人資料、是否因法定例外事由無法刪除、是否僅能停止出售或分享資料，或是否未查得對應紀錄；其後並
      須定期（至少每隔45日）持續處理透過DROP提出之請求。整體而言，DROP並非由政府集中儲存或代為刪除個人資料，而是作為刪除
      請求傳遞與程序標準化之中介平臺，藉由結合資料掮客登記制度與集中化刪除請求機制，強化個人行使個資刪除權與拒絕出售權。

• 資料來源：https://www.cnil.fr/en/data-security-nexpublica-france-fined-eur1700000

 

• 解析GDPR第6(1)(f)條：德國漢堡隱私與資訊自由專員（Hamburg Commissioner for Data Protection and Freedom of Information）發布「合法利益評估問答集」

            德國漢堡隱私與資訊自由專員（Hamburg Commissioner for Data Protection and Freedom of Information）於2026年1月6日發
      布「合法利益評估問答集（Questions for a Legitimate Interest Assessment）」，旨在協助資料控制者於依據GDPR第6條第1項第(f)
      款，以「合法利益」作為個人資料處理法律基礎時，進行具體之權衡分析。該文件係依據歐盟資料保護委員會（EDPB）相關指引編
      製，強調「合法利益」並非得任意選用之法律依據，而必須經過實質審查與完整評估。

            該問答集引導資料控制者進行合法利益評估須依序檢視三個核心要件：

1. 須明確辨識並說明該個人資料處理行為所欲達成之「合法利益」，包括其性質、目的以及是否合法正當。
2. 須評估該個人資料處理行為是否對於實現該利益具有必要性與合比例性，例如是否存在侵害程度較低之替代手段、是否符合資料最小化原則，以及資料保存期間是否合理。
3. 須進行利益衡量，審慎評估該處理行為對資料主體基本權利與自由所可能造成之影響，並綜合考量是否涉及敏感性資料、是否處理兒童資料、資料主體對該處理行為之合理期待，以及可能產生之實質不利效果。

            此外，該問答集亦提醒資料控制者，除完成實質衡量外，仍須注意資訊揭露與程序面要求，包括是否已依法向資料主體履行告知義
      務、是否建立資料主體行使異議權或其他權利救濟機制。整體評估過程及結論，均應妥善記錄並保存，以符合GDPR所要求之「可問責
      性原則」，並作為日後接受監理機關查核或內部合規審查之重要依據。

            整體而言，該問答集並非僅提供形式化之勾選清單，而是透過具體問題設計，引導資料控制者在實務上落實合法利益評估
    （Legitimate Interest Assessment, LIA），藉此降低因評估或文件化不足而衍生之法遵風險，對於企業或機關實際運用「合法利益」作
      為資料處理法律基礎，具有高度實務參考價值。

• 資料來源：https://datenschutz-hamburg.de/news/hmbbfdi-veroeffentlicht-fragenkatalog-zur-interessenabwaegung-nach-dsgvo

 

▶ 司法動態 ◀

• 本週無重大司法動態