而就台灣來說,以網路零售、金融、航空運輸業可能受到最多的影響。
網路零售: 這是一個會處理大量個人識別資訊(PII)產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於GDPR規範中。
金融: 金融機構持有大量個人識別資訊(PII),每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。
航空運輸: 這很好理解,以台灣華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
目前,台灣個資法第七條對個資收集的同意,仍是採取「推定同意」(當事人如未表示拒絕,相關單位若已提供其個人資料者,則推定當事人表示同意。),而非GDPR的「自願、具體聲明同意」的型態,許多國內專家認為應該要盡速修改為如同GDPR的同意要件。另外,前前後後費時三年,《資通安全管理法》也在5月11日於立法院三讀通過,未來台灣資安發展將邁向制度化,跟上世界各國的資安趨勢。
台灣企業如果擔心自己誤觸GDPR規範,可以聘請專業的第三方機構,來評估數據保護措施,進一步了解公司數據的來源、資料儲存位置、處理的方式,以及是否需要配合GDPR調整內部作業流程,來確保符合相關規範。
GDPR 簡介
規範對象:對歐盟境內人民提供商品、服務、客戶中有歐盟公民、雇用歐盟員工。
個資定義:電話、地址、行動裝置ID、社群網站等會暴露個人身份的資料,及血統、政治意見、宗教、生物特徵、性傾向等個人特徵都算。
當事人權利:更正權、刪除權、個資可攜權、拒絕權。
企業責任:知悉個資遭侵害,需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。
文/高敬原
本文、圖授權轉載自數位時代(原標題:沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR)
責任編輯/趙元