周宇修/史上最嚴個資法!歐盟GDPR上路,臺灣怎因應
▲被稱爲「史上最嚴格個資法」的歐盟「一般資料保護規則」(簡稱GDPR),當企業違反規定時,最高可處2千萬歐元或全球營業總額4%的罰鍰。(圖/Pixabay)
2018年5月25日,歐盟正式實施於2016年所通過的「一般資料保護規則」(General Data Protection Regulation,簡稱爲GDPR),取代了1994年所訂定的個人資料保護綱領,而被稱爲「史上最嚴格個資法」。若讀者有註冊歐美網站或公司的會員,應該會在5月底左右不停收到不同公司電子郵件告知使用者條款的更動,就可以發現這次GDPR所帶來的巨大影響。
臺灣對GDPR的關注度雖然不能跟歐美國家相較,但從前年起就已經有部分媒體提及此一議題,國內部分機構也於去年出版了GDPR的中文簡介與條文翻譯。在資訊已經相當豐富的情況下,筆者挑選幾個GDPR的重點部分,供讀者參考及注意:
世界性的影響:依照GDPR的意旨,原則上只要你是地球人或組織而有蒐集處理或利用資料的行爲時,就應該要遵守GDPR的規定,除非前述的資料都與歐盟國的民衆沒有直接或間接的業務相關,才能豁免GDPR的管制。也因此,如果我國企業在歐盟會員國設有分支機構,或是與歐盟會員國下的企業團體或民衆有商業往來,甚至是因故需要接收歐盟國一般資料的企業,都會因此被GDPR所納管。
個人資料定義的大幅擴張及嚴格保護:事實上,所謂的一般性資料,就是是否具有「辨識性」而能知道當事人是誰的資料。就此而言,GDPR對資料的範圍跟我國《個資法》所規定「直接或間接辨識個人」之資訊便屬個人資料相類似。但GDPR明確的表示,透過設備、應用程式、工具及通訊協定,諸如網際網路網址、瀏覽歷程記錄或其他工具,能辨認出當事人時,就算是GDPR所稱的一般資料。
此外,GDPR也如我國《個資法》設計了特種個資,而給予更強烈的保護;但特種個資的範圍則大於我國《個資法》,如政治意見、宗教、工會身分等,皆在GDPR所稱的特種個資範圍。
當事人的積極同意才能合法使用資料:在GDPR通過前,由於個人資料保護綱領並未有明確規定,使得許多企業在取得一般資料時,以當事人的默示作爲一種同意方法。但GDPR明確要求,當事人須具自主性(freely given)、具體(specific)、被告知(informed)及明確(unambiguous)之表示同意下,才能合法取得或控制該資料。如果當事人沉默以對,並不能認爲屬於合法的同意。如果資料的使用具有多重目的時,應分別就不同目的分別對當事人取得同意。
1. 透明原則:當事人應要被明確告知誰掌有該資訊、該資訊被掌有之目的、可能的風險及受侵害的權利救濟管道。
2. 接近使用權:當事人有權要求提供目前資料被使用的情形,以確認該資料有無被不法使用。
3. 更正及刪除權:後者又稱之爲被遺忘權,主要是賦予當事人得請求更正錯誤資料,以及因撤回同意或因發現資料被非法使用時得刪除資料之權利。
4. 可攜帶權:當事人有權要求原先的資料控管者將該資料移轉至其他資料控管者處。
5. 拒絕權:當事人有權拒絕資料控管者對該資料的處理或分析。
資料保護員的設置與風險評估:特定的企業需設立資料保護員(Data Protection Officer,DPO)制度,其應獨立運作,且須對此一領域有高度專業。此外,該資料之處理可能造成當事人之權利有高度風險時,資料控管者便應於處理前執行資料保護影響評估(data protection impact assessment),以衡量風險。
侵害通報:若企業發生資料受侵害事件,應於事發後72小時內通報資料主管機關,必要時也應通知當事人。
跨國傳輸管制:原則上,跨國企業禁止將歐盟會員國之資料傳送至歐盟以外國家進行處理,除非該國家或地區被歐盟認定具有適足性,方得爲之,否則只能在當地進行使用。臺灣目前仍在跟歐盟進行協議,希望在未來能取得適足性的認證。
高額罰鍰:當企業違反GDPR規定時,最高可處2千萬歐元或全球營業總額4%的罰鍰。
GDPR在制定時,確實有受到管制太過嚴格而阻撓產業發展的批評,但個人資料價值日漸升高的當下,對於資料的取得與使用進行管制,就筆者的立場而言,還是有其必要性。因此,在全球化的今日,我們也難以對其他國家、地區的政策完全置身事外,所以企業行號在未來發展時,必須對此議題的更加重視,方能保障自己的權益。
好文推薦
周宇修/公共電視該被廢了嗎?
周宇修/外泄個資 被奴役之始
●周宇修,執業律師,哥倫比亞大學法學院訪問學人、公益法律全球研究網成員。關注人權議題,參與臺灣及國際公益NGO成員之人權策略擬定與推廣。以上言論不代表本網立場。88 論壇歡迎更多聲音與討論,來稿請寄editor88@ettoday.net