【只要手上有歐洲民眾個資，不論大小企業都需合規】歐洲最嚴個資法GDPR來了，你只剩9個月能因應

號稱是有史以來，外洩個人資料罰金最高、個資涵括範圍最廣，以及處罰規定最嚴格、罰金最高的「歐盟通用資料保護規則」（ EU General Data Protection Regulation，GDPR），即將於2018年5月25日正式實施。

剩下不到九個月的時間，不管你的公司或組織是否座落在歐盟共28國境內，只要你的網站或服務會提供歐盟民眾瀏覽使用，或者是會搜集、處理和利用歐盟公民資料的企業或組織，都將強制遵守這個歐盟新版個資法的規定。

一旦爆發有歐洲民眾的個人資料遭到外洩，外洩的企業或組織，除了必須要在72小時內通報資料保護主管機關（Data Protection Authority）外，更有甚者，依照外洩個資情結輕重，還可能被罰款1千萬歐元（新臺幣3.6億元）或全球營業額2％作為罰款，或者是被罰款2千萬歐元（新臺幣7.2億元）或全球營業額4％作為罰款（取其金額較高者，作為罰款）。

這股來自歐洲的法遵壓力早就悄悄吹進臺灣，除了早就主動因應歐盟法遵要求的少數跨國企業之外，第一波感受到這股法遵壓力的產業，大致是以航空海運貨運承攬業、連鎖飯店業、高科技製造業和金融業，以及有設立歐洲分公司或子公司的企業為主。

反倒是許多具有會員申請功能的電商網站、網路服務，幾乎沒人意識到GDPR的嚴重性。

因為一旦你的網站有歐洲民眾來申請，留下了他們的個資，不論是否在歐洲設立公司，網站負責企業、組織或政府單位，都在循歐盟通用資料保護規則的規範範圍。當然，不只臺灣，全球都得面臨GDPR的規範和衝擊。臺灣勤業眾信風險諮詢顧問公司總經理萬幼筠甚至直言說：「GDPR就是歐盟對世界各國的資料保護規定。」

臺灣勤業眾信風險顧問公司總經理萬幼筠表示，歐盟通用資料保護規則（GDPR）其實就是，歐盟對世界各國的個資保護要求，所有只要有機會蒐集處理和利用歐洲民眾資料的企業組織甚至個人，都受到該法規的規範。

為何歐盟GDPR有這麼大的威力？

為什麼一個效力及於歐盟28個成員國的規章（包含已經從2017年3月29日已經啟動脫歐程序的英國），會有這麼大的影響力？世界各國都必須重視這樣的規章呢？

最重要的原因當然和經濟實力有關係，歐盟目前人口超過5億人，是全世界人口密度第三高的經濟體；人口多表示具有購買力，全球購買力排名第18名。

加上歐盟長期以來的傳統，向來關注民眾的個資隱私保護，也使得歐盟通用資料保護規則（GDPR）從2016年5月25日正式生效，並給歐盟各國2年的緩衝過渡期，預計在2018年5月25日正式實施。

歐洲傳統對於個人隱私保護的規範就相對其他國家嚴格，1953年9月生效的「歐洲人權公約」中的第8條，就是明確規範保障隱私權的條文，條文中便規定：「每個人的私人及家庭生活、其家庭以及其通訊隱私的權利與自由必須受到尊重，若需要對此做出限制，則必須符合法律規定且為民主社會所必需。」

歐洲人權公約顯示歐洲民眾對個人隱私保護悠久的歷史，到了1995年則制定了歐盟個人資料保護的法規基礎「歐盟個人資料保護指令」（EU Directive 95/46/EC : the Data Protection Directive），這也是歐盟後來許多個資保護相關法律規範的基礎。

不過，隨著科技進步，歐盟執委會也發現原本的歐盟個人資料保護指令已經不符所需。

因此，歐盟執委會便在2012年1月，希望可以提出新版的歐盟通用資料保護規則（GDPR），作為可以整合歐盟個人資料保護指令、歐盟電子通信隱私保護指令（EU Directive 2002/58/EC : Privacy and Electronic Communications）和歐盟指令EU Directive 2009/136/EC的新版法規。

不過，因為GDPR對於歐盟公民個資和隱私保護的規範相當嚴格，更因應科技發展，納入以往不曾視為個資的IP位址和Cookie等內容，這也造成許多科技公司在經營和應用上可能面臨的困難，許多科技公司也都透過各種遊說方式，希望可以降低相關的衝擊。

歐洲議會在經歷過4年的討論後，最後在2016年4月27日通過GDPR，並於2016年5月25日生效，2018年5月25日全面實施。臺灣BSI總經理蒲樹盛說：「GDPR在全面實施之前，原本的歐盟個人資料保護指令仍然適用，」

蒲樹盛進一步解釋，以往歐盟通過與個資隱私保護的指令（Directive），在歐洲議會通過後，仍須由各國制定相關的國內法作為因應，也容易出現時程上和內容上無法配合或有出入的狀況。因此，歐洲議會這次通過的歐盟通用資料保護規則，則希望透過提高管理強度，將以往必須各國制定國內法配合的指令，提高為全歐盟會員國都可以直接適用的規則（Regulation）。

蒲樹盛強調，歐盟這個直接適用全部會員國的規則，各國國會不需要對此內容另外進行立法，反而要針對各國原先的個資或隱私保護的法律規章進行修正調整，使各國的法律條文都能夠符合GDPR的內容規範。

「這也是為什麼GDPR在2016年5月25日生效之後，還會給包含英國在內的28個歐盟會員國2年緩衝期，作為法規調適的時間。」他說。

美國例外，改用隱私盾協議取代GDPR來管歐美跨境個資

雖然這是歐盟制定的法規，但法規適用涵蓋的範圍很大，幾乎是全球各國都適用，其中唯一的例外就是美國。

誠如GDPR公布時的內容說明所示，世界各國並未包含美國在內，美國先前和歐盟資料保護的法律參考依據，原先是以2000年簽訂的安全港（Safe Harbor ）協議為主，但2015年10月歐洲法院判定安全港協議並無法確保歐洲民眾的隱私而宣布失效，最後則改由2016年7月簽訂隱私盾（Privacy Shield）協議，到2016年第三季後，美國與歐盟雙方跨大西洋的資料傳輸的法律準則，都以隱私盾協議為主。

萬幼筠進一步解釋，由於美國各州都有隱私權的規定，但對外主要都是由美國聯邦政府代表各州政府，對外和歐盟簽訂與歐洲民眾資料保護相關的協議，作為歐洲民眾個資從美國和歐盟進行跨境傳輸的法律參考依據，但相關法律適格並沒有改變。

目前隱私盾協議算是一個變通的應變措施，不僅定義了橫跨大西洋資料流的框架，更成為歐盟要求美國企業必須致力保護歐洲民眾個資的法律參考依據，美國也設置美國商務部及美國聯邦貿易委員會（FTC）作為額外監督和執行單位。

由於隱私盾協議不僅規定，對於獲取歐盟包括個資在內的資料監督的局限性和要求，萬幼筠指出，該法更加重視組織透明度，也為針對個資保護有隱憂而提出投訴的歐洲民眾，創造了爭議解決途徑。「總體而言，隱私盾協議是比安全港協議要嚴格得多。」他說。

只不過，在遵守隱私盾協議的過程中，對於要遵守該協議的美國企業而言，也必須做到自我認證（Self-Certification）以及驗證（verification）的部份。

萬幼筠表示，尤其是對於一些原本並沒有任何隱私政策規範的美國企業而言，如果要想和歐盟任何一個國家做生意，不僅要做到公司系統的調整，連企業文化也都必須要重新翻轉成看重資料和隱私保護才行。

GDPR是以資料為中心的資料保護規則，不論公司大小都要遵守

「歐盟通用資料保護規則GDPR，是一個以資料為中心的法規，」臺灣微軟法務長施立成說道。

他進一步表示，只要是屬於歐洲民眾的個資，不管是在臺灣的任何一家公司、組織，甚至是各種網路服務業者，也不論公司規模大小，甚至也不管是提供付費或免費服務，只要有針對歐洲民眾個資進行相關的蒐集、處理或利用，不管這些單位是不是在歐洲有設有據點，一律都必須遵守GDPR對於資料保護的相關規範。「GDPR是在界定個人隱私權，以及個資保護的重要里程碑。」他說。

也因為只要有可能處理到歐洲民眾的個資，都必須遵守GDPR的官定，臺灣勤業眾信風險管理顧問公司協理林彥良表示，即便遠在亞洲的臺灣，包括高科技製造業、品牌業者（3C產品或是腳踏車都是）、空運海運貨運承攬業者、國際連鎖飯店、電子商務、金融業甚至是醫療服務業者等，因為都有機會蒐集、處理和利用到歐洲民眾的個資，也都必須設法落實相關的法規遵循。

林彥良以臺灣的金融業者為例，多數都在英國倫敦和美國紐約、洛杉磯設置分行，目前只有兆豐銀行有法國巴黎以及荷蘭有分行；合作金庫則在比利時設分行，兆豐銀行和合作金庫則是直接受到GDPR影響的金融業者。

不過，要擁有多少比例以上的歐洲民眾個資，才會強制受到GDPR規範呢？

林彥良指出，在GDPR規定中，企業所擁有的歐洲民眾個資數量，必須符合一定的比例原則，不會整個100GB的資料庫，只因為有一筆歐洲民眾個資，就以GDPR最高的資料保護等級，作為該公司蒐集、處理和利用歐洲民眾個資的方式。

但是，他指出，因為目前GDPR並沒有一個明確的比例數字可以作為參考，可能都仍得看各國調適的法規中，是否有相關的規定。

臺灣微軟法務長施立成指出，要因應GDPR法遵要求是一件高難度的工作，連微軟都出動全球法務部門，前前後後總共花了一年多的時間，從頭檢視所有合約，才有辦法做到符合GDPR法遵規定。

因應科技發展，新版個資納入Cookie和IP位址等內容

但那GDPR究竟是什麼呢？

林彥良表示，從框架來解釋，GDPR適用的主體包括自然人、法人、公務機關、機構和其他組織，可以分成資料的控制者（Data Controller）或資料的處理者（Data Processor）；規範的客體就包括「全部或部分以自動化方式蒐集、處理或利用的個人資料。」

他舉例，最明顯的例子就是，因應科技發展修正了個資的定義，包括：Cookie、IP位置、GPS定位等等，都屬於新增的個資項目；-新增以往沒有堤過的「去連結」（Pseudonymisation）資料的定義，並強調不可回復的去識別化資料定義。

至於，GDPR規定適用的地域範圍，林彥良指出，不只包括設立在歐盟境內的資料控制者，或是資料處理者所進行的個資處理活動，不管處理個資的活動是否發生在歐盟境內都算。

當事人和組織在符合GDPR的規範上，有不同的切入點，施立成也從個人隱私、控管與通知、透明政策以及IT和培訓等4個面向，解釋GDPR的特色。他表示，GDPR強調許多當事人（Data Subject）的權利，主要包括個人有權取得個資、更正錯誤個資、刪除個資、反對個資控制者或處理者處理當事人個資，甚至是轉移當事人個資等，在個資轉移的部份也和跨境傳輸以及資料可攜性有密切關係。

至於組織可以扮演控制者或處理者的不同角色，在負起控管和通知的責任面向上，施立成表示，組織必須使用適當的安全措施保護個資；外洩個資時，必須在72小時內通報個資主管機關；當事人必須同意組織使用其個資；所有個資處理細節的紀錄，都必須詳細保存。身為資料控制者的角色時，有義務重新清楚定義委外合約的權利義務和角色。

此外，施立成認為，組織也必須要有透明的個資保護政策，必須提供當事人明確的資料蒐集通知，並明確說明資料處理目的及使用情況，也要定義資料保存和刪除政策；「同意書要做到像是白紙黑字寫下來一樣的清楚，才是重點。」他說。

因為GDPR是更嚴格的個資保護規範，他也提醒，組織也必須要培養全公司員工都具有隱私保護的意識，也必須定期稽核和更新資料保護政策；必須聘僱新的資料保護長（DPO），也必須重新檢視相關的合約規範是否合乎GDPR規定。

像微軟也是雲端服務供應商，就必須重新檢視所有與客戶之間的合約。

施立成說：「這是一個非常高難度的工作。」連微軟都出動了全球法務部門同仁，花了一年多時間，全部重新檢視相關的合約內容，才能確保今年9月1日起，微軟Azure雲端平臺和Office 365雲端服務的線上合約，都能符合GDPR的規範。

歐盟通用資料保護規則GDPR的法規遵循的難度，可見一斑，對大型企業或跨國服務供應商更是如此。

到明年5月25日正式生效之前，只剩下不到9個月，企業或網站主們，是時候該好好思考，要如何因應GDPR了。

 歐盟GDPR發展時間表 

 1995年     

歐盟頒佈「歐盟個人資料保護指令」

 2000年    

美國聯邦政府代表各州與歐盟簽訂「安全港協議」，規範歐美個資跨境傳輸

 2012年      

歐盟執委會提案修法，整合包括歐盟個人資料保護指令在內的規章，因應個資保護的數位新挑戰