臺灣勤業眾信風險管理顧問公司協理林彥良(攝影/洪政偉)

儘管只剩下不到9個月的時間,臺灣企業如同全球其他國家的企業一樣,都得因應明年5月25日正式實施的歐盟通用資料保護規則(GDPR),但是,不少企業或網站主,在實務上該如何落實才能符合GDPR的規範,仍有許多疑問。臺灣勤業眾信風險管理顧問公司協理林彥良也針對常見的10個問題,提出建議。

   GDPR連Cookie和IP位址都視為個資納管,企業該如何因應?

 答  科技變遷,歐盟在GDPR的個資範圍中,首度將包含隱私資料的Cookie納入隱私資料範疇,因為涉及隱私資料蒐集、處理及利用,GDPR都需要告知當事人後並取得當事人明確同意。

GDPR針對資料蒐集、處理和利用有三種角色,分別是當事人(Data Subject)、資料控制者(Data Controller)和資料處理者(Data Processor),企業或網站開發者必須要先意識到,究竟要取得當事人哪些資料,告知與取得同意是第一步,只不過並不限制是哪一種形式,接下來就必須要能夠證明已經取得當事人同意。

目前常見的做法是,在瀏覽過程一開始,即由網站提供當事人告知及同意的視窗,先確定當事人的同意,並留存相關告知及同意之紀錄;如果使用GA服務或其他廣告的嵌入,則需按照提供服務類型評估因應方案,可考量下列幾點:

1. 確認現行服務有哪些與GDPR隱私資料有關;

2. 現行服務類型會蒐集、處理及利用的GDPR隱私資料類型;

3. 評估現行隱私保護控制方式;

4. 評估現行服務架構差異,包含服務提供方式、服務內容、跨境傳輸及網站架構等。

   GDPR個資蒐集有比例原則嗎?不到1成顧客是歐洲公民,要遵守嗎?

 答  按GDPR,資料控制者和資料處理者如果涉及歐盟公民隱私資料的蒐集、處理及利用等行為,都應該要符合GDPR。不過,在GDPR的說明中,第4點有提到類似比例原則的概念,但仍採取較高層的描述,考量比例原則,可能會是控管的廣度不變但深度有差別,實務做法則需依照不同案例來看。

   資料保護長(DPO)因有法律責任,只能找本國人擔任嗎?

 答   GDPR沒有資料保護長需在地化要求,也沒有限制資料保護長一定要是資料控制者或資料處理者的員工,但它要求需提供資料保護長容易於聯絡的連絡資訊,不過,歐盟各會員國可能還有與資料保護長議題有關的本地法規要求,因此這項問題目前沒有具體要求,需要確認未來各會員國的修法狀態。

    GDPR對新聞媒體的報導有例外條款嗎?

 答  新聞自由這部份涉及公共利益,可參考GDPR第85條規定,目前是交由各會員國自行立法。

   如何去識別化和去連結化?有標準作法嗎?

 答  這部份議題目前可參考ISO組織ISO 29100建議及ISO 29191國際標準。

   遇到資料刪除請求時,資料分析結果能否因已去識別化或去連結化,就不用刪除了呢?

 答  按照GDPR說明第26條,去識別化資料(Anonymous Information)不屬於隱私資料且不受GDPR保護,而GDPR第4條第5項則提到去連結化(Pseudonymisation)仍然是隱私資料,因此需先釐清這兩者的區別。

去識別化指:隱私資料經不可逆方式處理後的匿名資料;而去連結化是指:一段隱私資料分開存放。因此,去識別化或去連結化應該是資料分析採取的資料保護手段,採用何種保護手段,則需依據資料分析方法及技術而定。

如果採用去識別化資料的資料分析結果,自然沒有隱私保護問題;若是去連結化資料的資料分析結果,則仍需評估及持續追蹤去連結化的有效性及相關隱私保護問題。資料分析結果可能會衍生多種場景,仍需視分析結果而定。

   在機器學習或是大數據應用上,如何落實當事人想刪除個資、不被分析的權利呢?

 答  有關當事人刪除,依據GDPR第17條至第19條,這部份跟臺灣現行個資法近似。其中GDPR第17條包含刪除權及被遺忘權。

有關不被分析的權利,主要是反對權。依據GDPR第21條至第23條,其中第22條即有關自動化分析相關機制的反對權,包含資料分析(Automated Individual Decision-Making)及個人檔案剖析建立(Profiling)等活動,資料當事人除三項除外條件外,有權於任何時間行使反對權。

刪除與反對是兩種不同的權利,刪除可以要求刪除相關資料分析衍生的隱私資料,而反對則是不再繼續參與自動化分析機制。

   跨境資料傳輸應該注意哪些面向呢?

 答  同樣考量GDPR的三種角色,跨境傳輸需考量下列幾點:

1. 屬於資料控制者(Data Controller)或資料處理者(Data Processor);

2. 確認是否涉及GDPR隱私資料類型,即GDPR第2條、第3條內容;

3. 確認GDPR隱私資料傳輸目的地是否離開歐盟境內,如是,則相關蒐集、處理及利用的告知需涵蓋跨境這項議題;

4. GDPR針對隱私資料跨境傳輸為原則禁止、例外允許,針對第三國的考量則為隱私保護水準的一致性,主要為GDPR第五章(第44條~第50條)的要求,特別是第45條及第46條,第49條為跨境傳輸例外情況如當事人明確同意;

5. GDPR第45條第1項提到可直接傳輸的條件,類似白名單的概念,目前沒有亞洲國家,原本美國也不在名單上,在歐盟同意隱私盾協議後列入。目前歐盟只同意共11個國家可跨境傳輸,包含安道爾、阿根廷、加拿大、瑞典、法羅群島、根西、以色列、曼島、澤西、紐西蘭及美國(基於隱私盾協議);

6. 針對隱私資料跨境傳輸議題,APEC組織於2012年起推動的Cross Border Privacy Rules System(CBPR)也在積極整合區域的跨境資料傳輸議題,目前共有包含美國、日本、加拿大、墨西哥、韓國等五個國家加入,臺灣也有意願加入,目前參與國主要著眼於未來CBPR與GDPR介接的可能性,目前APEC成員國約20家公司取得CBPR認證,未來可能也是種發展趨勢。

   安全港協議失效後,隱私盾協議是現在歐美資料跨境傳輸的唯一準則嗎?GDPR有詳細規定嗎?

 答  目前僅有的是2016年7月12日歐盟認可的隱私盾協議(Privacy Shield),一般法規不會將單獨或例外的協議納入,因此GDPR也沒有提到有關隱私盾的部份,但隱私盾僅可作為隱私資料跨越大西洋傳輸的一項協議,不代表美國企業符合GDPR。

   應該如何做到Privacy by Design或是Privacy by Deafult?

 答  Privacy by Design & Default的部份,需要在服務開發或服務設計時就納入,基於當事人對於隱私保護的期待,依據服務類型定義出對應的隱私資料類型、處理方法及風險控制程序,實務上,Privacy by Design不僅是資訊作業流程的調整,更是整個服務規劃流程的調整。

Privacy by Design的核心涵蓋:主動非被動、預防非防治;寓隱私保護於設計中;隱私保護作為預設模式;全部功能正和而非零和;尊重用戶隱私,確保以用戶為中心;自始至終的安全,遍及全程的保護;保持能見及透明度,做到保持開放。

按照GDPR第25條提到,有關資料控制者、資料處理者對於Privacy by Design落實情況,可考量採用第42條提到的認證機制證明以落實Privacy by Design。

而第42條所稱認證機制,指GDPR鼓勵歐盟各會員國的隱私保護監管機構,可實施GDPR落實情形的認證機制,作為企業或組織已符合GDPR要求之論證方法。

熱門新聞

Advertisement