被譽為史上最嚴的個資法——GDPR在25日正式上路。面對這部影響範圍最廣,個資當事人權利保護最完整,罰則最重的個資保護法,到底對台灣會有什麼影響?台灣的企業主準備好了嗎?
最近這幾個月,你可能會收到來自各類平台、企業所寄出的e-mail,內容不外乎是要針對個資及隱私權政策進行更新。
知名的手機遊戲開發商超級細胞(Supercell)也在遊戲中,給全球玩家發出隱私保護政策的更新公告,並提到「2018年5月25日後,您繼續使用的服務將以新的隱私保護政策為準。」
這些事情都跟全球各大企業的資訊及法務人員正在談論的一個話題有關,那就是號稱史上最嚴格的個資保護令,歐盟的「通用資料保護法規」(GDPR, General Data Protection Regulation)在25日正式上路。
什麼是GDPR?
GDPR的前身是歐盟在1995年實施的「個人資料保護指令」(DPD, Data Protection Directive)。在科技的快速發展下,DPD已經顯得相對落後;同時,歐盟頒布的指令需要經過會員國的國內立法程序才具有效力,導致DPD的執行成效不彰。
因此,GDPR其實就是DPD的延伸及擴充,「它可以更完整的保護當事人對其個人資料的權利,」德勤商務法律事務所資深律師張憲委補充。
GDPR到底有多嚴?
GDPR號稱是史上涵蓋範圍最廣、規定最嚴格、罰則最重的個資法,到底是為什麼?
首先,GDPR在「個人資料」的定義上比過去還要廣泛。過去DPD只把姓名、相片、電話、地址、電子郵件地址,以及個人身分證件號碼這類資料是為個人資料。而在GDPR之下,舉凡生物特徵、社會認同、文化認同、地理位置等,只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料而受到保護。
例如你的身高、體重、指紋,或是你所信仰的宗教,你所支持的政黨,甚至是你的手機衛星定位的位置,都受到GDPR的保護。
除了個人資料所定義的涵蓋面變得更廣,GDPR不僅一體適用於在歐盟註冊登記的公司,任何要販售商品或服務到歐盟的企業,或是會蒐集歐盟公民個資的企業,都將受到GDPR的監管。最明顯的例子,就是擁有歐洲航線的非歐盟籍航空公司。
再者,GDPR賦予個人資料的當事人擁有更多的權利。例如當事人擁有拒絕他的購物習慣、交通習慣被蒐集的「拒絕權」,或是要求資料管理者刪除當事人已公開之資料的「被遺忘權」。例如日前Google在西班牙的案件,西班牙男子岡薩雷斯要求Google刪除他過去財務困難的紀錄,並獲得歐盟法院裁決勝訴,這就是「被遺忘權」的體現。
張憲瑋認為,被遺忘權是一個比較先進的規定,但是對於企業來說,被遺忘權在執行上有一些困難。
「因為如果連資料放在哪裡都不知道,要依照當事人的主張刪除就相當困難,」勤業眾信風險管理諮詢公司總經理萬幼筠解釋。
最後,GDPR擁有史上最高額的罰則。違反GDPR情節重大者,將被判罰2000萬歐元(約7.2億新台幣),或是前一年度全球營業額的4%取其高者。業者一旦違反GDPR,隨之而來的處罰相當嚴苛,企業主不可不慎。
面對史上最嚴格的個資保護令,全球的企業都在繃緊神經。
臉書執行長祖克柏出席歐洲議會聽證會時,多次迴避個資保護問題,讓人質疑臉書仍未做好準備,因應GDPR的施行。(圖片來源:YouTube截圖)
臉書就將原本儲存於該公司位在愛爾蘭的國際總部中15.2億筆非歐盟用戶的資料,移轉回美國總部,藉此降低未來因應GDPR的可能衝擊。不過,臉書執行長祖克伯日前在比利時布魯塞爾,就先前用戶個資外洩問題出席歐洲議會聽證會。但祖克伯對嚴厲問題的迴避,讓人懷疑臉書是否還沒做好因應GDPR的準備。
美國專門研究隱私權及資訊安全政策的智庫Ponemon Institute的一份調查就發現,在1,000家受訪企業中,達半數企業表示尚未準備好因應GDPR,而科技公司有六成表示還沒準備好。
在台灣,誰受影響?
在台灣,有到歐洲設立據點的金融業、製造業品牌商,以及航線有涉及歐洲的大型航空公司,或是會搜集到歐盟公民個資的大數據分析、AI公司,從明天開始,都毫無疑問會是GDPR監管的對象。
包含兆豐銀行在內的數家公股銀行、宏碁電腦、華航、長榮航空等都是確定會適用GDPR的國內企業。
張憲瑋提醒,這些類型的企業在業務活動上面可能有涉及隱私權的風險,GDPR規定必須要執行「資料保護影響評估」(DPIA, Data Protection Impact Assessment)。因為企業必須確認業務流程中涉及個資的部分是否符合GDPR。
此外,員工超過250人的企業,也必須設立直接對歐盟個資主管機關負責的資料保護長(DPO, Data Protection Officer)。
「如果沒有執行,將會被直接裁罰1000萬歐元,或是2%的前一年度全球營業額,」張憲瑋補充。
面對如此嚴格的法規,台灣確定會受到GDPR監管的企業,大多也已有相應的法遵準備。
中華航空資料保護長鍾明志表示,華航早在2017年底即成立「個資管理專案小組」,負責GDPR合規的推動,並設置資料保護長。華航也引進國際性風險諮詢顧問公司規劃,協助強化個資隱私保護機制,落實資安的運行。
面對歐盟GDPR的上路,華航早在2017年便成立專案小組,並設置資料保護長,落實相關規定。(圖片來源:華航官方網站)
在歐盟設有分公司的宏碁電腦,也早已完成各項法遵準備,「包含內部員工教育訓練、受規範之個資盤點、個資蒐集、處理與利用方式針對不同產品與服務的相關調適,以及內外相關政策之調整,」宏碁的對外發言體系補充。
對台灣還有什麼影響?
企業除了要小心高額的罰鍰以外,資料的跨境傳輸也在GDPR的限制之列。企業要將為在歐盟的分支機構所搜集的資料回傳歐盟境外的母公司,在原則上是被禁止的。
例如,國內的兩家航空公司華航及長榮,在沒有滿足GDPR對資料跨競傳輸的要求以前,就不能將歐洲航線的顧客資料回傳台灣。
企業如果要使用位於歐盟分支機構的資料,除了增加成本在當地進行以外,就要仰賴台灣對於個人資料的保護,能夠符合GDPR的適足性要求。
「只有歐盟執委會認定台灣或是企業在資料保護上符合標準,資料才能回傳,」張憲瑋補充。
針對歐盟新法規的要求,日本與韓國政府已經和歐盟展開協商,希望獲得適足性的資格。
對此,國發會建議從事跨境個資傳輸的企業,在台灣尚未取得適足性認定前,可以依照GDPR 規範,評估選擇採行標準個資保護契約條款(SCC)、拘束性企業規則(BCR)、行為守則(CoC)及認證(Certification)等四種國際傳輸方式,或符合其他例外情形。(見表2)
而萬幼筠建議,政府在個人資料的保護上,應該要有一個專責的機關負責統合,並代表台灣參加歐盟的資料保護計畫。
「台灣的個資法在2010年出來的時候去全球最先進的個資法之一,我們其實沒有落後GDPR太多,」萬幼筠認為,但台灣政府在個資保護的主管機關上,是二流的組織設計,從臉書的資安外洩事件沒有主管機關跳出來承擔,就可見一班。
對此,國發會在24日發布的新聞稿表示,台灣的個資法採用分散式管理,由各中央目的事業主管機關各自執行。為了協助企業因應GDPR實施可能的衝擊與影響,國發會已經在官網建置專區,各部會就所主管產業盤點現況,並提供企業輔導與諮詢服務,後續則將推動與歐盟洽商適足性認定事宜。
不少歐洲業者擔心,新法將讓數據資料的蒐集和使用變得非常複雜、增加成本,不利企業發展新服務,也不利歐洲發展數據經濟。
「歐盟新法規非常保護個人,但不利於企業與研究人員取得數據資料,可能讓歐洲處於競爭劣勢,」《金融時報》認為,因為其他國家法規沒有歐盟嚴格,尤其是中國。
儘管如此,隨著數據經濟時代的到來,相關法規只會愈來愈多,消費者意識也只會愈來愈高,企業與其被動等待,不如主動制定保護數據資料的管理策略。
「企業應該將政府法視為機會,而不是負擔,」《哈佛商業評論》在〈數位時代的兩難〉報告中建議,「把保護顧客、企業伙伴數據資料的隱私與安全,視為競爭優勢。」
報告認為,消費者如果信賴你的公司有能力保護個資與數位足跡,就會對你愈忠誠,愈願意分享更多數據資料給你,讓你的公司有比競爭對手更多機會開發新產品、新服務,提高競爭優勢。換句話說,不積極在保護數據資料安全與隱私上做投資,不但將失去顧客信賴,也將面臨政府巨額罰款的風險。
「沒有信賴,數據經濟的一切將是空談,」報告強調。(責任編輯:吳凱琳)
【延伸閱讀】