周宇修/史上最严个资法!欧盟GDPR上路,台湾怎因应
▲被称为「史上最严格个资法」的欧盟「一般资料保护规则」(简称GDPR),当企业违反规定时,最高可处2千万欧元或全球营业总额4%的罚锾。(图/Pixabay)
2018年5月25日,欧盟正式实施于2016年所通过的「一般资料保护规则」(General Data Protection Regulation,简称为GDPR),取代了1994年所订定的个人资料保护纲领,而被称为「史上最严格个资法」。若读者有注册欧美网站或公司的会员,应该会在5月底左右不停收到不同公司电子邮件告知使用者条款的更动,就可以发现这次GDPR所带来的巨大影响。
台湾对GDPR的关注度虽然不能跟欧美国家相较,但从前年起就已经有部分媒体提及此一议题,国内部分机构也于去年出版了GDPR的中文简介与条文翻译。在资讯已经相当丰富的情况下,笔者挑选几个GDPR的重点部分,供读者参考及注意:
世界性的影响:依照GDPR的意旨,原则上只要你是地球人或组织而有搜集处理或利用资料的行为时,就应该要遵守GDPR的规定,除非前述的资料都与欧盟国的民众没有直接或间接的业务相关,才能豁免GDPR的管制。也因此,如果我国企业在欧盟会员国设有分支机构,或是与欧盟会员国下的企业团体或民众有商业往来,甚至是因故需要接收欧盟国一般资料的企业,都会因此被GDPR所纳管。
个人资料定义的大幅扩张及严格保护:事实上,所谓的一般性资料,就是是否具有「辨识性」而能知道当事人是谁的资料。就此而言,GDPR对资料的范围跟我国《个资法》所规定「直接或间接辨识个人」之资讯便属个人资料相类似。但GDPR明确的表示,透过设备、应用程式、工具及通讯协定,诸如网际网路网址、浏览历程记录或其他工具,能辨认出当事人时,就算是GDPR所称的一般资料。
此外,GDPR也如我国《个资法》设计了特种个资,而给予更强烈的保护;但特种个资的范围则大于我国《个资法》,如政治意见、宗教、工会身分等,皆在GDPR所称的特种个资范围。
当事人的积极同意才能合法使用资料:在GDPR通过前,由于个人资料保护纲领并未有明确规定,使得许多企业在取得一般资料时,以当事人的默示作为一种同意方法。但GDPR明确要求,当事人须具自主性(freely given)、具体(specific)、被告知(informed)及明确(unambiguous)之表示同意下,才能合法取得或控制该资料。如果当事人沉默以对,并不能认为属于合法的同意。如果资料的使用具有多重目的时,应分别就不同目的分别对当事人取得同意。
1. 透明原则:当事人应要被明确告知谁掌有该资讯、该资讯被掌有之目的、可能的风险及受侵害的权利救济管道。
2. 接近使用权:当事人有权要求提供目前资料被使用的情形,以确认该资料有无被不法使用。
3. 更正及删除权:后者又称之为被遗忘权,主要是赋予当事人得请求更正错误资料,以及因撤回同意或因发现资料被非法使用时得删除资料之权利。
4. 可携带权:当事人有权要求原先的资料控管者将该资料移转至其他资料控管者处。
5. 拒绝权:当事人有权拒绝资料控管者对该资料的处理或分析。
资料保护员的设置与风险评估:特定的企业需设立资料保护员(Data Protection Officer,DPO)制度,其应独立运作,且须对此一领域有高度专业。此外,该资料之处理可能造成当事人之权利有高度风险时,资料控管者便应于处理前执行资料保护影响评估(data protection impact assessment),以衡量风险。
侵害通报:若企业发生资料受侵害事件,应于事发后72小时内通报资料主管机关,必要时也应通知当事人。
跨国传输管制:原则上,跨国企业禁止将欧盟会员国之资料传送至欧盟以外国家进行处理,除非该国家或地区被欧盟认定具有适足性,方得为之,否则只能在当地进行使用。台湾目前仍在跟欧盟进行协议,希望在未来能取得适足性的认证。
高额罚锾:当企业违反GDPR规定时,最高可处2千万欧元或全球营业总额4%的罚锾。
GDPR在制定时,确实有受到管制太过严格而阻挠产业发展的批评,但个人资料价值日渐升高的当下,对于资料的取得与使用进行管制,就笔者的立场而言,还是有其必要性。因此,在全球化的今日,我们也难以对其他国家、地区的政策完全置身事外,所以企业行号在未来发展时,必须对此议题的更加重视,方能保障自己的权益。
好文推荐
周宇修/公共电视该被废了吗?
周宇修/外泄个资 被奴役之始
●周宇修,执业律师,哥伦比亚大学法学院访问学人、公益法律全球研究网成员。关注人权议题,参与台湾及国际公益NGO成员之人权策略拟定与推广。以上言论不代表本网立场。88 论坛欢迎更多声音与讨论,来稿请寄editor88@ettoday.net