歐盟個人資料保護規則(GDPR)施行至今,已有多家國際企業因違反GDPR而遭受裁罰,因此很多台灣公司會擔心,是否只要有歐盟的居民去該公司網站或實體店面進行消費或購買該公司的產品,就需要適用GDPR的規定,若有違反就有可能被處以鉅額的罰款。
今年5月間Facebook母公司Meta因擅自傳送歐盟使用者的個人資料至美國,違反歐盟個人資料保護規則(GDPR)之規定,遭罰12億歐元,而亞馬遜公司也曾於2021年因目標式廣告行為未事先取得用戶同意,違反GDPR之規定,被罰7.46億歐元。此外,Google、WhatsApp、英國航空公司、H&M和萬豪酒店等公司,也都曾因違反GDPR之規定而被裁罰數千萬至上億的歐元。
GDPR對境外公司之相關規定
因GDPR規定,違反其規定者最高可被處以2,000萬歐元或全球年營業額4%(以較高者為準)鉅額的罰款,故會出現前述高達數億歐元之鉅額裁罰。此外,GDPR也規定,即使公司未設於歐盟境內,但只要這些公司對於歐盟境內的居民提供商品或服務,或對他們在歐盟境內所為行為的監控,即須遵守GDPR的規定,且已有多家國際企業因違反GDPR而遭受裁罰,因此很多台灣公司會擔心,是否只要有歐盟的居民去該公司網站或實體店面進行消費或購買該公司的產品,就需要適用GDPR的規定,若有違反就有可能被處以鉅額的罰款。
EDPB對境外公司適用GDPR之說明
對設置於歐盟境外之公司於何種情形下須適用GDPR之規定,歐盟資料保護委員會(EDPB)建議可採用二重判斷法,也就是先確認資料主體是否位於歐盟境內,再認定此運用是否與提供商品或服務或監控資料主體於歐盟內的行為相關,當此二重判斷都符合時,位於歐盟境外之公司才會有GDPR規定之適用。
首先,關於「資料主體是否位於歐盟境內」的判斷,EDPB認為該資料主體的國籍或法律地位並不會限縮GDPR的地域範圍,也就是GDPR中所謂的「位於歐盟境內之資料主體」,並不只限於歐盟國家的公民,只要是位於歐盟境內的每個人,不論其是否為歐盟國家的公民都屬之,因此台灣人到歐盟境內旅遊、洽公時,即可能屬於GDPR中「位於歐盟境內之資料主體」。
其次,關於「對歐盟境內的居民提供商品或服務」,EDPB認為應檢視該公司是否有意以位於歐盟境內的當事人為特定目標,來提供該商品或服務,而非無意或偶然的情形,例如:使用包含一個或多個歐盟國家的語言、使用歐元作為支付貨幣、使用「.eu」、「.de」、「.fr」等歐盟國家的頂級網域名稱、提供歐盟會員國境內的地址或電話做為聯繫使用、可將該商品運送至歐盟會員國、針對位於歐盟的觀眾啟動行銷和廣告活動、提及居住於歐盟境內的消費者或使用者等。
此外,關於「監控資料主體於歐盟內的行為」,應檢視受監控之行為是否發生於歐盟境內,及是否與位於歐盟境內的當事人相關。對於此種監控活動,EDPB認為可能涵蓋的行為包括:行為廣告、地理定位、透過使用Cookie或其他追蹤技術所進行的線上追蹤、線上個別化飲食和健康分析、基於個人檔案進行的市場調查、對個人健康狀況進行監控或定期報告、閉路電視(CCTV)等。
案例說明
案例一:某位定居於德國的台灣人,打算利用回台探親的機會,到位於新北市的台灣某銀行開立帳戶,以供其買賣台灣股票。若該銀行並未於歐盟境內設立分行,則因其活動範圍僅限於台灣而非針對歐盟市場,故縱使用該居住於德國之客戶的個人資料,亦不須受GDPR之拘束,而應適用台灣個人資料保護法之規定。
案例二:由台灣公司所架設,網站之經營、管理亦位於台灣的購物網站,雖僅提供中文的使用者介面,商品金額亦是以台幣標示,也僅能運送到台澎金馬地區,但因有運送業者提供商品集貨並運送至歐盟境內之服務,使該網站受到許多旅居歐盟的台灣人歡迎,經常上該網站購買台灣商品寄至運送業者的集貨倉庫,再由該業者將商品運往歐盟境內各地。由於該網站的使用者介面、使用的貨幣及貨物的運送方式,皆係以台灣為限,無法顯示其有向歐盟境內之個人提供商品或服務的意圖,因此該公司仍無須適用GDPR之規定。反之,如果該網站提供英文、法文、德文、義大利文的使用者介面,商品可選擇以歐元計價,並可運送至法國、比利時、荷蘭、奧地利、德國、義大利等歐盟國家,該公司會被認為有意向歐盟境內的個人提供商品或服務,而應適用GDPR。
案例三:在歐盟境內沒有任何商業活動或據點的台灣公司,推出一款健康和生活方式App,該App允許用戶記錄其睡眠時間、體重、血壓、心跳等健康資訊,並提供給這家公司,該公司則會依這些資訊,每日向用戶提供飲食和運動之建議,這個App可供位於歐盟境內的個人使用,且已有歐盟境內的使用者下載並使用該App。因當位於歐盟境內的個人使用該App而提供其健康資料予該公司時,該公司即係為個別化飲食和健康分析之目的,對歐盟境內個人之行為進行監控,而應適用GDPR。
案例四:在歐盟境內沒有任何商業活動或據點的台灣公司,推出一款旅遊App,提供包含有慕尼黑、巴黎、米蘭等城市的地圖、導覽及旅遊資訊,並會對遊客的所在位置進行個人資料的蒐集運用,以提供該遊客其所在位置附近的旅遊景點、餐廳、旅館及商店的廣告。因該App特別提供慕尼黑、巴黎、米蘭等城市的資訊,顯見其是特別在使用者位於歐盟境內(慕尼黑、巴黎、米蘭)時,為其提供服務,故有GDPR之適用,此外,因該App會運用當事人的定位資料,依其所在地對其提供針對性廣告,亦涉及對位於歐盟境內個人行為之監控,亦有GDPR之適用。
小結
GDPR嚴格的規定及鉅額的罰款,使得許多台灣公司為避免適用該規定,而不接受位於歐盟境內人民的訂單,因而喪失許多商機,亦無法排除第三國人民到歐盟旅遊時可能產生的風險,因此瞭解EDPB對境外公司適用GDPR之說明,並針對其說明設計對應方針,才是比較穩妥之方法。
<本文作者:黃于珊目前為執業律師,輔仁大學圖書資訊與資訊管理雙學士,交通大學科技法律研究所碩士,美國華盛頓大學智慧財產權法碩士,曾擔任系統工程師、專利工程師。專攻領域為智慧財產權法、個人資料保護法、高科技產業議題及資訊通訊法等。>