歐盟個人資料保護規則(GDPR)並非僅為一法律框架指引,而是將成為所有歐盟會員國之單一法令,其違法鉅額罰款及所影響之範圍較以往擴大,甚可能影響我國與歐盟市場有所往來之企業,因此實有了解之必要性,提早做準備。
隨著國際電子商務快速展開、不斷變化的資訊科技,改變其交流方式,同時也使得公眾對於隱私權保護更加重視,各國對於隱私權的保護立法亦不斷調整變革,如即將於2018年5月25日在歐盟境內生效實施的歐盟個人資料保護規則(General Data Protection Regulation,GDPR)已於2016年4月經歐洲議會(European Parliament)通過,將會取代實行二十餘年的歐盟1995年資料保護指令(Directive 95/46/EC)。
GDPR與歐盟1995年資料保護指令之規範相比較之下,就本質上來說,歐盟1995年資料保護指令僅對歐盟會員國為指導原則,各會員國之個資保護法規定未能統一,然而,GDPR並非僅為一法律框架指引,而是將成為所有歐盟會員國之單一法令,適用對象將涵蓋外國企業組織等,其影響比以往歐盟1995年資料保護指令更廣更深入。
由於GDPR規範之違法鉅額罰款及所影響之範圍較以往擴大,甚至可能會影響我國與歐盟市場有所往來之企業,因此,實有了解GDPR之必要性,以提早做準備。接下來將會有與歐盟GDPR相關之系列文章,以下將先簡明介紹GDPR的修法重點。
一、適用範圍擴大
GDPR適用於所有蒐集、處理、利用歐盟境內個人資料之公司,不論公司設置位址是否座落於歐盟境內。以往歐盟1995年資料保護指令對於指令適用範圍較為模糊,然而,就GDPR而言,則更加擴大其適用範圍,同時亦適用於資料控管者與資料處理者,不論該資料處理是否在歐盟境內進行,意指若資料控管者或資料處理者蒐集、處理、利用歐盟境內之個人資料,亦適用於GDPR。
因此,相關商業活動如提供給歐盟公民貨品或服務以及在歐盟境內進行監測行為等,均在本適用範圍內。由GDPR適用範圍擴大來看,可明確得知GDPR之目標在於保護所有歐盟公民免受於隱私和資料外洩的影響,且其甚有可能影響到與我國與歐盟往來之企業。
二、 明確個人資料範圍之定義
以保護與管理個人可識別資訊(Personally Identifiable Information,PII)為主。GDPR第4.1條規定與自然人或資料主體相關的任何可直接或間接識別此人,例如姓名、照片、電子郵件地址、銀行資料、社交網站文章、醫療資料等,均為GDPR所規範之個人資料範圍。其他如線上辨識碼和線上定位資料(如Cookie、IP位置、行動裝置ID)藉由接收器所接收到的訊息,與個資當事人可作連結者,亦列為個資範圍。
三、 強化當事人同意規定
依據GDPR第4.11條之定義,所謂的同意(Consent)係指資料當事人透過一項明確的陳述或是合約內容等,表示同意對方可蒐集、處理、利用其個人資料。立法說明(Recitals)第32條說明同意的形式不拘,例如使用書面聲明、電子方式、具體且資料當事人得以知悉了解的口頭陳述等,均為同意之方式。然而,若資料當事人沈默,或是書面或電子文件有預先已打勾的方框,則不應視為同意。
 |
| ▲歐盟個人資料保護規則(GDPR)即將上路,正緊鑼密鼓倒數中。(圖片來源:http://www.eugdpr.org/) |
四、加強告知規定
為有利於資料當事人了解其告知事項,GDPR規定企業不能再使用難以理解之法律用語及條款,必須要用淺顯易懂的形式,如語言、文字等,且要清晰明瞭,告知事項不得同時附有多重目的,如在廣告信中夾雜告知事項,內容應使資料當事人易於了解。
五、強化當事人權利
即將實施生效之GDPR擴大賦予並強化當事人權利,包括資訊取得權(Right to Access)、被遺忘權(Right to be Forgotten)、資料可攜權(Data Portability)等。以下將簡單解釋之:
1. 所謂的資訊取得權係指資料主體應有權使用期被蒐集之個人資料,於合理時間間隔內得以行使該權利,以知悉並確認所被處理之個資合法性情形。
2. 而被遺忘權乃延伸自歐盟1995年資料保護指令第12條b款,歐盟會員國應確保每個資料主題皆能處理不符合該指令規範之資料,尤其是針對本質不完整或不正確之資料,資料主體具有更正(Rectification)、消除(Erasure)或阻絕(Blocking)之權利,在GDPR中,將加強該權利之保障與落實,被遺忘權僅授權予以個人行使,並非任意地消除過去已發生的事件或得以限制新聞自由。
3. 依據GDPR第20條規定,所謂的資料可攜權,係指資料當事人可以要求資料控管者就其個人資料,以共通、機器可讀形式等的檔案,由資料當事人有權接受或將資料傳輸給另一個接收器。
六、 個資外洩事故通報義務
依據GDPR第33及34條,若有個資外洩事故,資料控管者必須在知悉後72小時內通報主管監督機關,若事故發生可能造成資料當事人高度風險,則必須要通報資料當事人。
七、 修訂資料保護影響評估條款
GDPR第35條規定,若有針對個人資料系統性及大規模分析、或大規模蒐集、處理或利用第9.1條規定之特種個資或第10條之前科資料、或可能造成資料當事人自由與權利具有高度風險的資料利用行為等,均須進行事前的資料保護影響評估。
 |
| ▲第三國或國際組織應具備適當資料保護規範及機制。 |
八、設置資料保護專員
GDPR第37至39條要求應設置資料保護專員(Data Protection Officer,DPO),此為修訂後規範的新角色,該章節在修訂過程中引起很大的討論,分別有幾種情形須設置之,如歐盟會員國進行數據蒐集、處理或控管之公務機關(public authority or body)(不包含法院等司法機關)、從事定期且系統性監控活動(regular and systematic monitoring of data subjects on a large scales),或是使用及處理大量特種個資(processing on a large scale of special categories of data)等。前述機關及從事前述活動之受委託方,須設立一具有個資法專業知識及實務經驗,以及可執行GDPR第39條所羅列任務能力之資料保護專員。
九、 跨境傳輸規定之要求
GDPR第45條明訂個資傳輸至第三國或國際組織,第三國或國際組織應具備適當資料保護規範及機制,才得列為GDPR允許進行跨境傳輸的對象。
十、提高罰款金額
依據GDPR第83.4條及83.5條規範,針對部份違法行為如資料控管者(Controller)、監控單位等之責任違反等,罰款上限是1,000萬歐元或前一財務年度全球營業額的2%(兩者以最大值為主);對於嚴重違法如個資處理之基本原則、個資傳輸予境外第三方等,罰款上限是2,000萬歐元或前一財務年度全球營業額的4%(兩者以最大值為主)。
結語
GDPR所適用的範圍擴大,所擴及到的範圍包括非歐盟境內公司,加上現今虛擬無國界情境為全球經貿活動發展趨勢,資料流通量隨著電子商務蓬勃發展會更多,其相關修法重點就產業界而言,須注意資料控管者或處理者之義務,如個資外洩事故通報義務、資料保護影響評估條款、跨境傳輸等與企業切身相關之義務。GDPR於2018年施行後,對歐盟境內之企業組織而言,GDPR予以企業組織一套統一的規範來遵守,基於各會員國不同的法律制度及框架,雖然GDPR為單一法令,但在各國適用上的實務情形仍須持續觀察。
<資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。
本文作者為陳韻竹,現為資策會科法所法律研究員,目前專注在個人資料保護與管理、反托拉斯法、資安法制以及國際經貿法制等議題。
>