Deloitte專欄/歐盟新資保法 衝擊全球企業
歐盟通用資料保護規則(General Data Protection Regulation, GDPR)即將於2018/5/25正式生效,取代原有歐盟資料保護指令 (EU Data Protection Directive 95/46/EC)。勤業眾信分析共有超過80項以上的條文新增或修改,影響範圍將超過全球190個以上的國家,罰則也將是史上最高的4%全球營業額。即將脫歐的英國也於2017/9/14公布與GDPR近似的新版資料保護法(Data Protection Bill),預計將於2019/3/29脫歐後實施。
雖然隱私保護早已不是新議題,然而隨著新興科技,包含行動應用App、雲端運算及大數據等的蓬勃發展及運用,加之行動裝置高度普及,隨之而來的是隱私保護、資料安全及跨境傳輸等新興風險議題。GDPR的實施除了強化與整合歐盟成員國隱私保護的法規環境外,更重要的是針對前述新興科技對於隱私資料的蒐集、處理及利用訂下更嚴謹的規則,除了將隱私資料範圍擴大至資料當事人不易感知的IP地址、Cookies、GPS等資料外,更明確規範資料保護官(DPO)的權責、隱私資料控制者與處理者的責任、預設隱私及隱私衝擊分析(DPIA)的執行要求、資料外洩通知的規則及資料跨境的傳輸準則,同時新增資料當事人被遺忘權、資料可攜及拒絕自動化分析決策等權利。
臺灣自2012年實施個人資料保護法後,已有超過200家企業取得第三方隱私保護認證,藉此證明企業已善盡隱私保護良善管理責任。然而面對GDPR帶來的挑戰,除了需考量第三方認證是否可涵蓋隱私資料地圖所有範圍外,自去年4月歐洲議會通過GDPR後,至今尚未有國際標準獲得認可作為國家或產業的隱私保護行為準則(Article 40 Code of Conduct),歐盟地區隱私保護監管機構是否採行與臺灣一致的監管邏輯也是企業需要審慎評估的問題。歐盟針對隱私資料保護設有資料保護工作小組(Article 29 Data Protection Working Party),企業除了參考國際標準外,應更加關注於資料保護工作小組相關產出文件及產業隱私保護行為準則,方能更具體了解GDPR之實施要求。
此外,針對資料跨境傳輸議題,亞太經濟合作組織(APEC)近年來積極推動跨境隱私保護規則(Cross Boarder Privacy Rules system, CBPR),期望透過區域間一致性的隱私資料保護原則,降低資料跨境移轉的障礙及促進隱私資料保護架構的互通性,目前已有美國、加拿大、日本、墨西哥、韓國等加入,我國近年積極推動新南向政策,已於105年底表達加入CBPR之意願,以降低電子商務交易之成本,增強區域內資料傳遞之隱私保護管理。
保障隱私權即是維護人權,勤業眾信從過往的GDPR顧問服務經驗中發現,企業應了解隱私保護不只是框架建立及政策制定,企業需具體分析隱私資料地圖、釐清內外部管理責任及調整整體資訊系統架構,更重要是將預設隱私內化至營運流程,唯有持續落實隱私保護工作形成企業組織文化,才能面對全球新一波隱私保護浪潮所帶來的衝擊。(作者是勤業眾信風險管理諮詢股份有限公司執行副總經理、副總經理)
