號稱歐洲最嚴格個資法「歐盟通用資料保護規則」(EU General Data Protection Regulation,GDPR)即將於今年的5月25日正式實施,然而,許多企業在因應GDPR時,都仍然抱持還有很長緩衝期的心態,態度顯得不疾不徐,一點都不緊張。

隨著GDPR實施的時間逐步逼近,這時候,才有很多企業開始在四處詢問,自家公司到底是否受到GDPR規範?而歐盟距離臺灣十萬八千里遠,即便嚴格,有辦法處罰嗎?

甚至,也有很多臺灣律師直接解讀GDPR的條文,認為企業不會受到影響,因為他們認為,依照GDPR條文精神,只要沒有在歐盟設立分公司或是子公司的企業,歐盟既然管不到臺灣企業,當然也就罰不到,因此使得許多企業心存僥倖,認為GDPR即便已經要正式實施,對於臺灣企業並不重要,在他們的認知裡,GDPR就像是紙老虎。

但事實上,GDPR真的如某些律師而言,只要臺灣企業沒有在歐盟設點,就不受GDPR規範嗎?誰能真正回答這個問題?解決這樣的疑惑,對於臺灣勤業眾信風險管理諮詢公司總經理萬幼筠,可說是家常便飯,我們也想問,到底是什麼樣類型的臺灣產業,是適用GDPR的規範呢?而這也是他近半年來,幾乎每天都被打爆手機、被詢問過無數次的問題。

而針對適用於GDPR規範的企業,到底有哪些?萬幼筠也具體告訴我們有5種類型,下列將一一介紹。

第一類:在歐盟設點的企業

因此,是不是未在歐盟設點的企業,就不受GDPR的規範,是否處罰不到臺灣企業呢?萬幼筠說:「這答案是對,也不對。」

怎麼說呢?萬幼筠表示,首先,GDPR條文的第三條「領土適用範圍」條文,的確很清楚的規定,如果是設立在歐盟境內的分支機構,不論這些機構所處理的隱私資料的發生地點,是否發生在歐盟境內,全都受到GDPR條文的規範。

這些分支機構則是指透過穩定安排,從事於有效且實際的活動,但這些機構的法律形式,並不會因為是成立分公司或是子公司等不同的法人身分,而有不同。這也是臺灣目前最常聽到的,只要在歐盟地區設立分公司或子公司,即便處理的個人隱私資料不是發生在歐盟,也受到該法的規範。

萬幼筠也引述一起美國紐約地檢署起訴美國微軟公司的案例,做為例證。美國地檢署檢察官要求美國微軟公司,提供毒販的電子郵件作為犯罪調查之用,但美國微軟因為該機房座落在歐盟愛爾蘭境內,受到歐盟個資隱私保護包括GDPR等法規要求的限制,拒絕檢察官交出相關電子郵件的要求而引發訴訟。他表示,這起案件已經進行到美國最高法院,一旦形成判例,未來對於線上隱私保護與調查將會造成極大的衝擊。

萬幼筠認為,從歐盟對於個資隱私資料保護的高標準來看,「個資的使用目的,仍然是最重要的,」也就是說,如果個資隱私資料無法做到資料落地,必須要透過跨境傳輸,在此同時,卻又必須符合足夠的監理或執法情報需求下,更必須要嚴格遵守目的限制才行。

第二類:針對歐盟公民提供產品或服務的業者

其次,即便沒有在歐盟境內設點,但會針對歐盟境內的公民提供產品或服務,不論歐盟公民是否需要付款,則受到GDPR規範。

萬幼筠進一步解釋,歐盟現在雖然有28個會員國(包含已經於2017年3月29日啟動脫歐程序的英國在內),因為網路無國界,歐盟視為單一的數位市場,而架設的網站又可以全球存取,所以,若該網站是針對歐洲公民提供產品或服務的電子商務業者網站,就包含在GDPR的規範之內。

要如何判斷這個電子商務業者的網站,是針對歐盟公民提供產品和服務呢?根據GDPR相關條文的解釋,如果該網站主要使用的語言,是歐盟單一或多個會員國所使用的語言,或者是使用歐盟國家頂級網域名稱,例如德國.de、荷蘭.nl等,並可以透過該語言的網站頁面訂購相關的產品或服務,同時是以歐盟通行貨幣或歐盟會員國當地貨幣計價的話,就可以認定這個是面對歐盟公民提供商品或服務的業者或網站,因此,這些就受到GDPR的規範。

第三類:監測歐盟公民網路行為的業者

萬幼筠指出,企業如果針對在歐盟境內公民的網路行為進行各種監測模式,即便這些業者未設立在歐盟境內,但從歐盟法院的判例來看,只要這些作為對於業者可以帶來財務的增加,或者是提供免費網路服務換取使用者繳交會費或訂閱,甚至可以利用使用者資料獲利的話,都在GDPR的法律規範之中。

也就是說,網路業者針對歐盟公民各種網路行為,進行追蹤、建檔、分析等種種處理行為,可以利用現有技術得出歐盟公民的偏好、態度、或做出行為預測等,並且會收集網路使用者從各種地點、興趣、偏好資訊,甚至掌握使用者的健康狀況等各種數據,進一步提供相關業者對於銷售或各種決策分析有助益的資料等,這些廠商即使不在歐盟設點,但只要他們收集、分析歐盟公民的個資的話,全部都受到GDPR的規範。

舉例而言,像是網站廣告的使用者行為追蹤與分析;或者是觀光旅行業者追蹤歐盟公民使用大眾交通系統的行為,以及執行數據分析;甚至是針對歐盟公民信用卡持卡人做各種信譽評分,作為未來各種保費收取的基礎,或藉此預防各種網路金融詐欺和反洗錢的業者;或者是取得各種行動裝置、App的地理資訊分析;以及穿戴式裝置的健康資訊分析等等。這些相關業者收集歐盟公民的各種隱私個資資料並作相關的資料分析,都會受到GDPR的規範和限制。

第四類:針對歐盟公民提供產品或服務的營收占有顯著比例

此外,歐洲公民雖然會全球移動,但萬幼筠認為,並不是只要收集單一或少數歐盟公民個資的企業,都會受到GDPR規範,仍必須根據提供的產品或服務來判斷,例如,這些服務帶來的收益,如果已經占該公司整體營收的顯著比例的話,就一定會受到GDPR規範。

舉例而言,如果臺灣有醫美診所針對歐盟公民提供醫療觀光的服務,而這樣的營收也已經占該醫院整體營收一定比例的話,那麼,該醫院對於歐盟公民的個資保護和使用,就必須符合規範。

但萬幼筠也坦言,目前歐盟在5月25日GDPR正式實施後,應該會先針對大型、具有影響力且位於歐盟境內的業者進行稽核,即便是臺灣這樣針對歐盟公民提供醫療服務,且營收占顯著比例的業者,在短期之內,歐盟個資保護單位的確不容易稽核到,不過,一旦爆發嚴重的個資外洩事件,即便對於不在歐盟境內設點的企業,該如何落實處罰的方式還在討論中,但臺灣業者不應該心存僥倖,只要違法的事實成立,最終一定有辦法處罰相關業者的。

第五類:基於合約或資訊鏈涉及歐盟公民個資

萬幼筠表示,另外有一種類型的業者,並非直接受到GDPR的法律規範,但是基於委外合約關係,或者是資訊鏈上下游的關係,會直接或間接收集、處理、利用,甚至跨境傳輸歐盟公民個資的業者,同樣都會受到GDPR的規範。

他進一步指出,有許多資訊服務業者基於委外合約關係,才會處理到歐盟公民的個資,而這些受委託的委外業者,通常就是GDPR條文中所定義的資料處理者,所以,相關的個資處理就必須合乎GDPR規定;另外,有一些業者是供應鏈上下游關係中,基於業務上的資訊分享,所以會提供某些歐洲公民的個資時,而該業者對於相關的個資處理,同樣必須符合GDPR規範。

臺灣除了上述五大類企業,都會直接或間接受到GDPR的規範外,GDPR規範的資料控制者(Data Controller)或是資料處理者(Data Processor)的定義,都囊括自然人、法人、公務機關、機構或其他組織在內,範圍極廣。


Advertisement

更多 iThome相關內容