產經線上避免鉅額裁罰 遭拒歐洲市場之外歐盟GDPR即將上路 企業個資保護責任加重
將於5月25日實施的歐盟個資法GDPR,將衝擊所有與歐盟國家往來的企業。全球最大網路社群平台臉書(Facebook),日前因為廣告數據業者「劍橋分析公司」(CambridgeAnalytica)在未經許可的情況下,蒐集超過5,000萬名美國臉書用戶資料,引發安全性疑慮,導致股價在一天之內重挫近7%,不僅是近4年最大單日跌幅,更導致臉書市值一天就蒸發逾300億美元。
數千萬用戶個資外洩的消息一公開,臉書股價一度重挫,創辦人Mark Zuckerberg也因此發表公開聲明致歉。有鑑於個人資料保護的重要性與日俱增,一向重視人權的歐盟將自今年5月25日起實施更嚴格的個人資料保護規則(European Union GeneralData Protection Regulation,GDPR),取代自1995年開始推行的現有歐盟資料保護指令(Directive 95/46/EC)。由於GDPR不僅適用在歐盟設立子公司或分公司的企業,也包括所有處理歐盟居民個資的歐盟境外公司,等於只要跟歐洲市場有任何往來,都會受到GDPR的影響。一旦企業未遵循法規要求,最重可能遭判2,000萬歐元、或該年度全球營業額4%的罰鍰(從其高者),企業不可不慎。
GDPR不同於台灣個資法
企業須小心面對
安侯建業聯合會計師事務所(KPMG)資深律師鍾典晏指出,GDPR生效後,不僅歐盟28個會員國一體適用,就連即將要脫歐的英國,目前也正制定類似的個資保護法令。由於GDPR有其特定要求,與我國個資法規定不盡相同,企業千萬不可因為已符合我國個資法要求,以為就此能高枕無憂,必須及早盤點公司既有的個資保護政策是否符合GDPR規範。
GDPR認定的適用範圍相當廣泛,鍾典晏指出,企業若經營網路商城(即使是委外),只要介面上用到歐洲相關語系,即符合提供貨物或服務予歐盟境內個人居民的範圍。或是透過歐盟當地代理商販售商品的製造業,一旦產品有瑕疵或故障,當地代理商將商品送到台灣維修,導致台灣業者會間接拿到歐洲當地客戶的資料,同樣會受到GDPR的規範。
相較於B2B型態的公司,提供B2C服務的企業受到GDPR的衝擊會更為明顯,尤其是使用大數據分析與雲端服務,以及會進行跨境資料處理的企業,更要注意GDPR相關規定,如果有控制或處理歐盟消費者資料,尤其是特種個資的企業,更要了解有哪些個資保護須符合GDPR規定。
在個人資料的範圍方面,GDPR定義更為廣泛且明確,只要這個資訊能用來代表某個人,即使是線上定位資料如Cookie、IP位置、行動裝置ID等,都要納入個資的範疇。
GDPR對於特種個資更有明確要求,如企業只要有在蒐集生物資料如指紋、虹膜、刷臉等,就屬於特種個資。此外,GDPR也規範私人企業不能蒐集犯罪資料,反觀台灣個資法就無相關規定,企業一定要明瞭2種個資法的差別。
在蒐集個人資料的合法事由方面,我國個資法屬默示同意,GDPR必須為明示同意,且可為蒐集者的合法權益而蒐集個資,例如發生車禍後,為維護合法權益,在不影響肇事者的權益下,可蒐集肇事者的個資。如果蒐集的對象是未成年人,GDPR會特別要求企業要使用「可理解」及「易接近」的方式,如不能使用只有成年人理解的艱澀文字,換句話說,企業針對成年人及未成年的同意書格式,就可能需要分開設計。
另外,在自動化處理(如ATM操作過程)方面,我國個資法並無相關規定,GDPR則要求企業要做好明確通知,而且要讓當事人可以行使拒絕權,同時須有人為干預機制(Human Intervention)。
強化當事人個資保護權力
在GDPR賦予個資當事人的五大權利中,新增「被遺忘權」(Right to be Forgotten)與「個資可攜權」(Data Portability),被遺忘權是2014年經由歐洲法院判決所衍生的權利,企業在接受個資當事人要求刪除已被公開的個資後,須一併通知所有第三方個資擁有者,刪除所持有相關個資的複本及個資連結。
至於個資可攜權的意義,指的是當事人可向企業要求將其個資,以及其他相關資料轉移至另外一個企業,增加資訊的交互利用,避免個資遭特定服務提供者綑綁或束縛。而且企業在轉移時,不能只提供紙本,還要提供足以讓機器判讀的檔案格式。
第三是強化「資訊取得權」(RightofAccess)。企業必須事先告知個資的處理方式,並取得個資當事人同意後,才得以向個資當事人蒐集及處理其個資;第四是強化「個資處理反對權」(Right to Object),當個資當事人提出反對時,企業應立即停止蒐集處理個資。最後,則是強化「個資處理限制權」(Right to Restriction ofProcessing),個資當事人得以提出意見,限制企業對其個資的處理方式。
GDPR對於資料跨境傳輸也有諸多限制。目前,歐盟同意國際個資傳輸的前提,包括:資料接收方位於歐盟經濟區(EEA)內;同時,本身也是歐盟成員國隱私保護主管機關核准的國家;並在適當保護和特定情況下,才可以跨境傳輸個資。由於我國的個資法跟GDPR仍有落差,目前還不屬於GDPR法規豁免的名單,政府未來可能要透過修法,強化個資法的強度,並積極與歐盟協商取得法規豁免。
因應GDPR企業須建立的個資制度
鍾典晏指出,企業必須設立資料保護長(DPO),督促企業落實個資保護,同時負責通報個資外洩狀況。若組織違反GDPR規範,DPO將負法律責任。企業指定的資料保護長不一定要專職,但必須要「專責」並能委外,且針對GDPR規範保護監理個資,成為企業和監理機構之間的橋樑,因此DPO指定給同一個人或同一個團隊負責皆可。
與歐盟往來之企業皆需評估資料保存環境安全,並盤點個資收集、儲存流程,以免觸法遭判鉅額罰款。GDPR規定,若企業發生個資外洩情形,必須在72小時內通報監理機關,不得過度延遲告知;如果外洩的資料將影響個人隱私、權力或法律利益時,屬於情節重大者,也必須通知當事人。企業則必須保存組織中發生資料外洩的內部註冊表單,證明企業已經採取適當手段,防止個資外洩對個人造成的不利影響。
資料的保存或銷毀方式是否適當,也要加以考量,如企業員工若因為操作不慎造成電腦當機,導致正在處理的資料損毀,根據GDPR規定,因為會有資料正確性問題(不該刪除而刪除),一樣要通報。
評估個資保護現況 完善作業流程
企業除了要檢視既有的IT系統,也需盡快評估管理現況,包括檢視現有管理制度文件,並針對公司個資收集、建檔至保存流程進行盤點,並對盤點結果進行風險評鑑,確保資訊環境安全,且針對GDPR調整制度文件或增補文件。
而在制度落實階段,可透過GDPR諮詢協助企業落實制度,包括個資處理流程紀錄、個資事件通報與因應措施等,並提供風險評鑑報告書與處理計畫,以及因應GDPR調整隱私政策及相關表單,以保護企業在營運中所使用的員工及客戶個資。
只要是對歐洲市場有一定依賴度的企業,都免不了會受到GDPR的衝擊而影響營運。在德國就已發生消費性電子產品因為沒有做好隱私權的控制設計,被德國法院宣告不能進口的案例,針對GDPR即將上路可能帶來的衝擊,台灣企業不可小覷,以免貽誤商機。
