1. 適用範圍與優先順序
| 優先級 | 法域 | 本治理中心提供之資源 |
|---|---|---|
| P0 | 台灣個資法(PDPA) | 本對照表 + Taiwan PDPA Notes |
| P0 | EU GDPR + Swiss nFADP | 本對照表 + EU GDPR & Swiss nFADP Notes |
| P0 | Singapore PDPA | 本對照表 + Singapore PDPA Notes |
| P1 | Japan APPI | 僅列入本對照表之關鍵差異欄位 |
| P1 | Korea PIPA | 同上 |
| P1 | UK GDPR | 同上 |
當研究合作對象屬 P1 法域且進入正式合作階段時,本中心將該法域升級為 P0 並建立對應之 Jurisdiction Notes。
2. 對照表
表格內容以「該法域核心要求」與「Uedu 對應作法」兩列並陳。「Uedu 對應作法」之具體實作細節參見 資料治理框架、隱私與資料保存政策、次處理者清單。
| 議題 | 台灣 PDPA | EU GDPR + Swiss nFADP | Singapore PDPA | Japan APPI | Korea PIPA | UK GDPR |
|---|---|---|---|---|---|---|
| 合法基礎 | §19 蒐集/§20 利用:契約/當事人同意/法律明文規定/學術研究等 | GDPR Art. 6:六款基礎;瑞士 nFADP 同等架構,但個資定義略廣於 GDPR | 同意義務(Consent Obligation)為原則;豁免情形列舉 | 原則需取得本人同意;個資使用目的需明確化並通知 | 原則需個別同意;目的、項目、保留期間需告知 | 與 EU GDPR Art. 6 實質相同 |
| 服務性使用依使用者註冊時所同意之服務條款;研究性使用以個別 IRB 同意書取得 | 同左;對特別類別個資(生理感測)採 Art. 6(1)(a) + Art. 9(2)(a) 雙重同意 | 同上;新加坡使用者於註冊頁直接同意 | 與台灣作法一致;新蒐集研究以個別同意取得 | 同上 | 與 EU 作法一致 | |
| 告知與透明度 | §8 告知義務:蒐集者、目的、類別、利用期間、利用對象、利用方式、本人權利 | Art. 13-14:詳列必告知事項;含 controller 身份、保存期、權利、跨境機制 | Notification Obligation:告知蒐集目的 | 利用目的明確化並通知或公告 | 告知項目較 GDPR 更詳細 | 同 EU GDPR |
| 同意書與註冊頁告知;隱私政策於本治理中心公開 | 同左;本治理中心對外公開揭露 controller 身份(個人,非機構)、Privacy Contact、跨境傳輸機制 | 同上;隱私政策提供英文版(待 EN 翻譯定稿後上線) | 同上 | 同上 | 同上 | |
| 特別類別個資 | §6 特種個資(醫療、基因、性生活、健康檢查、犯罪前科);原則禁止,但書情形得處理 | Art. 9:種族、政治、宗教、工會、基因、生物、健康、性生活、性傾向;原則禁止 | 無 GDPR 式之 special category 概念,但對特定資料設特殊條件 | 「要配慮個人情報」:醫療、犯罪前科、種族、宗教等;原則需明示同意 | 「敏感個人資料」:思想、信仰、工會、健康、性生活等;原則禁止 | 同 EU GDPR Art. 9 |
| 生理感測(HRV、睡眠)與性別認同調查屬此類;以 IRB 同意書取得個別明示同意 | 同左;以 GDPR Art. 9(2)(a) 「明示同意」為合法基礎;研究使用同時援引 Art. 9(2)(j) + Art. 89 | 健康與生理資料以個別同意取得;屬「sensitive personal data」之較高保護標準 | 「要配慮個人情報」之蒐集以個別同意進行 | 同上 | 同上 | |
| 保存期限 | §11 保存期間屆滿應主動或依請求刪除 | Art. 5(1)(e) 儲存限制原則;Art. 17 刪除權 | Retention Limitation Obligation:目的達成後即不得保留 | 未明定固定期限,依目的達成原則 | 保存期間屆滿或目的達成後 5 日內銷毀 | 同 EU GDPR |
Uedu 採三層保存策略(適用於所有法域):
|
||||||
| 跨境傳輸機制 | §21 中央目的事業主管機關得限制跨境傳輸;目前對教育類資料無禁令 | Art. 44-49:充足性決定/SCCs/BCRs/derogations;瑞士 nFADP 有獨立之充足性名單 | Transfer Limitation:須確保接收地有同等保護標準(透過合約或當事人同意) | 原則需取得本人同意或符合 PPC 認定之同等保護基準 | 需事先取得個別同意或符合特定豁免 | 同 EU GDPR,由 ICO 維護 UK 自己的充足性名單 |
|
Uedu 對歐洲合作之 LLM 推論得改路由至 Microsoft Azure OpenAI Service 之 Switzerland North / West Europe region(依 Microsoft EU Data Boundary 承諾)。對美國(OpenAI)之傳輸已啟用 Zero Data Retention。Email 經 Mailgun EU 區。詳見 次處理者清單。
本欄位之具體文件化作業(如 SCCs 簽署、瑞士 FDPIC 之充足性名單對台灣之認定等)留待 partner institutions 之 DPO 或該法域律師於合作啟動時共同審閱補完。 |
||||||
| 資料主體權利 | §3:查詢/請求閱覽/請求製給複製本/請求補充更正/請求停止蒐集處理利用/請求刪除 | Art. 15-22:存取、更正、刪除、限制、可攜、反對、自動決策反對 | Access & Correction Obligations;無明文資料可攜權 | 開示、訂正、利用停止請求權 | 熱情完善之主體權利清單,含損害賠償請求 | 同 EU GDPR |
| Uedu 對所有資料主體一致提供:(1) 帳號刪除自助介面(已實作);(2) 來信 [email protected] 行使其他權利,30 日內回應。資料可攜權(GDPR Art. 20)目前未提供 self-service 介面,以書面申請受理。詳見 隱私與資料保存政策 §7。 | ||||||
| 未成年保護 | 未滿 7 歲:法定代理人代為意思表示;7-20 歲:得法定代理人允許 | Art. 8:直接提供資訊社會服務予未滿 16 歲(成員國可降至 13)者需父母同意 | PDPA 對未滿 13 歲處理需父母同意 | 未明定具體年齡,依民法與 PPC 指引 | 未滿 14 歲處理需法定代理人同意 | 未滿 13 歲處理需父母同意 |
| Uedu 主要使用情境為大專院校;多數使用者已滿 18 歲。涉及高中合作(首間為臺北市立南港高中)之未成年使用者時,採法定代理人同意(家長同意書)+ 本人獨立同意;不對未成年使用者進行 profiling 或自動化決策。詳見 隱私與資料保存政策 §9。 | ||||||
| Breach 通報期限 | §12:以適當方式通知本人;無 72 小時明文規定 | GDPR Art. 33:72 小時內通報主管機關;瑞士 nFADP:「盡快」(as soon as possible)通報 FDPIC | PDPC Mandatory Data Breach Notification:3 日內通報 PDPC(涉 500+ 人或重大傷害時) | 「迅速」通報 PPC;本人通報亦為原則 | 72 小時內通報 PIPC + 本人 | 同 EU GDPR:72 小時通報 ICO |
| Uedu 採行各法域之最嚴格期限:發生個資外洩時,於 72 小時內通報所有受影響法域之主管機關,並依事件嚴重程度依各法域之要求通知資料主體。Breach 通報窗口為 [email protected](主旨標 [URGENT BREACH NOTIFICATION])。 | ||||||
| 監理機關 | 個人資料保護委員會(PDPC,2025 年起;目前由國家發展委員會個人資料保護處執行) | EU:各成員國 DPA(如愛爾蘭 DPC、德國 BfDI 等);瑞士:FDPIC | Personal Data Protection Commission(PDPC, Singapore) | 個人情報保護委員会(PPC, Japan) | 개인정보보호위원회(PIPC, Korea) | Information Commissioner's Office(ICO, UK) |
| Uedu 透過 [email protected] 處理主管機關之來函查詢;對涉及多法域之事件,由 Privacy Contact 統一協調並維持各窗口之獨立通報。Uedu 未設 GDPR Art. 37 意義下之 DPO(已於 資料治理框架 §7 揭露)。 | ||||||
3. 法律性質與限制
- 本對照表為治理立場之高階揭露,不構成法律意見書。各法域具體適用條件、責任認定與訴訟風險,請就各個案諮詢適格之法律顧問。
- 本對照表所引用之條文編號為 Uedu 治理立場形成時所依據之版本;各法域可能於本對照表更新之後修法,使用者應自行確認當下法規版本。
- 「Uedu 對應作法」欄位之揭露是 Uedu 平台之單方陳述,不構成對各法域監理機關之承諾,亦不取代各法域要求之正式通報、登記或許可程序。
- 當研究合作涉及之資料處理超出本對照表所涵蓋之情境(如生物樣本、臨床醫療資料、未成年密集監測等)時,本對照表不適用,須個案重新評估。
4. 更新機制
- 本對照表於下列情形更新:(i) 任一法域之重大修法;(ii) Uedu 平台之治理立場變更;(iii) 新增 P0 法域
- 更新採資料治理框架 §6 之版本制度
- 對既有合作對象之重大變更於 30 日前以 email 通知
- 對草案狀態之解除(取得外部法律顧問背書後),將以版本跳升並於本中心首頁公告
5. 聯絡窗口
| Privacy Contact | [email protected] |
|---|---|
| 對本對照表內容之異議或補正建議 | [email protected](主旨註明 [COMPLIANCE MATRIX FEEDBACK]) |
本對照表為 Jurisdiction Notes 之索引文件;對 P0 法域之深入說明請參見對應之單獨頁面。