歐洲議會在2016年4月27日通過了「歐盟通用資料保護規則」,簡稱GDPR(EU General Data Protection Regulation),預計在2018年5月25日全面實施。

號稱歐洲最嚴格的新版歐盟個資法(GDPR)規範,所有只要有蒐集、處理和利用歐洲民眾個資的臺灣企業,都必須遵守該法對於企業組織應該如何落實對歐盟民眾個資保護的規範。

而新版歐盟個資法GDPR即將在2018年5月25日全面實施,對於有處理到歐盟民眾個資的個各產業,在臺灣包括航空海運貨運承攬業、連鎖飯店業、高科技製造業和金融業等,或者是網站提供歐洲民眾瀏覽,在歐洲有設立分公司或子公司的企業等,都只剩下不到5個月的時間,必須因應GDPR對於企業處理歐盟民眾個資的所有資安規範。

GDPR於2018年5月全面實施,新增科技衍生的個資保護內容

雖然有許多人將GDPR簡稱為新版歐盟個資法,但嚴格說來,GDPR全稱應該「歐盟通用資料保護規則」(EU General Data Protection Regulation),由歐洲議會在2016年4月27日通過,並於2016年5月25日生效,預計在2018年5月25日全面實施。

歐盟的GDPR和以往各國必須配套修改國內法因應個資保護作法的「個資隱私保護的指令(Directive)」不同,透過提高管理強度,GDPR屬於全歐盟會員國都可以直接適用的規則(Regulation),各國國會不需要對此內容另外進行立法,反而要針對各國原先的個資或隱私保護的法律規章進行修正調整,使各國的法律條文都能夠符合GDPR的內容規範。這也是為什麼,GDPR明明在2016年5月25日就已經生效,為什麼還會給包含英國在內28個歐盟會員國2年的緩衝期,就是為了提供歐盟各國有相關法規調適的時間。

GDPR除了保護歐盟民眾個人可識別資料(PII)外,「全部或部分以自動化方式蒐集、處理或利用的個人資料」都包含在內,所以,因應各種新興科技發展所衍生的某一些個人資訊資料,像是Cookie、IP位置、GPS定位等等,都屬於這次GDPR新增受保護的個資內容之一。

而在GDPR的法規中,也同時新增以往沒有提過的「去連結」(Pseudonymisation)資料的定義,並強調不可回復的去識別化資料定義。按照GDPR規定,連結化(Pseudonymisation)的資料仍然是隱私資料,是指一段隱私資料分開存放;而去連結化資料的資料分析結果,仍需評估及持續追蹤去連結化的有效性及相關隱私保護問題。

採高額罰金迫使企業守法

GDPR之所以影響深遠,也跟高額的罰金有關係,只要企業或組織有爆發歐洲民眾的個人資料遭到外洩,外洩的企業或組織都必須在72小時內通報資料保護主管機關(Data Protection Authority),並且會依照外洩個資情節輕重,處於不同金額的罰鍰,像是個資外洩情節較輕者,可能被罰款1千萬歐元(新臺幣3.6億元)或全球營業額2%作為罰款;情節較重者,則是被罰款2千萬歐元(新臺幣7.2億元)或全球營業額4%作為罰款(取其高者作為罰款)。

對臺灣企業而言,像是航空海運貨運承攬業、連鎖飯店業、高科技製造業和金融業,以及有設立歐洲分公司或子公司企業等,都是直接受到GDPR規範的企業和組織,但除此之外,如果企業網站或提供的服務會提供歐盟民眾瀏覽使用,或者是會蒐集、處理和利用歐盟公民資料的企業或組織,不管你的公司或組織是否座落在歐盟共28國境內,不論是否有在歐洲設立公司,企業或組織仍有義務遵循歐盟通用資料保護規範的方式,以確保歐洲民眾的個資不會遭到濫用或外洩。

由於臺灣先前曾經經歷過,企業必須因應個人資料保護法規定,重新調整企業內部的系統,以符合臺灣個資法的規範,在當時,便有許多企業趁機導入一套個資保護的系統和制度,作為企業長期檢視個資保護的機制。

對於這些受到GDPR規範影響的企業而言,就可以在原本因應個資法的系統與制度的基礎上,重新檢視企業內原本個資保護的系統以及相對應的個資保護政策,是否已經可以滿足GDPR的規範。如果,臺灣企業可以在原本個資保護基礎上,新增原先臺版個資法沒有規範到的項目,像是科技衍生的隱私資料等,也可以大幅降低企業必須從頭因應歐盟GDPR的高門檻。


Advertisement

更多 iThome相關內容