這幾天登入Google、FB或其他帳號時,是否發現紛紛跳出「編輯您的隱私選項」的按鍵?各大網站為因應歐盟最新上路的「個人資料保護規則」(General Data Protection Regulation, GDPR),相繼做出個資及隱私政策調整,以符合歐盟最新個資法的規定。
GDPR是2016年4月27日經歐盟議會及歐盟理事會通過的歐盟法規Regulation (EU) 2016/679,於2018年5月25日生效施行,取代的前身法規是1995年的「歐盟資料保護指令」(Data Protection Directive)。歐盟素來十分重視「個人資料」的保護,我國「個人資料保護法」也是受歐盟影響下立法,此與美國法著重「隱私權」的保護,雖屬不同脈絡卻殊途同歸。近年來,隨著全球化及科技快速發展,甚至大數據的趨勢,資料的流通、處理的規模擴大,自有必要修改法規來規範「保護個人資料」與「資料自由流通」的均衡。
GDPR的規範對象
臺灣必須關心歐盟個資法的修正,是因為GDPR擴大了適用範圍,除了歐盟境內的資料控制者與資料當事人之外,也規範到歐盟「境外」的機構,在跨境提供商品或服務的過程中,蒐集/處理關於「歐盟境內之資料主體」(data subjects who are in the Union)時,也在GDPR的規範範圍內。理論上,臺灣的公司縱使沒有在歐盟境內設立分公司,只要相關業務處理到任何歐盟人民之個資時,都必須遵守GDPR的規定。像是Google、FB、Apple等全球性科技巨擘,自然必須跟著修正相關條款。
GDPR規範的個人資料範疇
GDPR對個人資料的定義係「有關識別或可得識別自然人(資料主體)之任何資訊」。包含姓名、身分證統一編號、位置資料、網路識別碼,或該自然人之身體、生理、基因、心理、經濟、文化、或社會認同等具體因素之識別工具。規範相當廣泛,而且例示了網路識別碼(IP位址、cookie碼等),此為我國個資法尚未明確規定的。再者,如同我國個資法第6條對「特種個資」有特別規定,GDPR規定之特種個資包含種族/人種、政治意見、宗教或哲學信仰、工會會員,以及基因資料、生物特徵識別資料、與健康相關、性生活或性傾向資料,規範範圍較我國法更廣。
GDPR修法重點
首先,GDPR提高了行政裁罰的上限,違反GDPR規定之資料處理原則、侵害資料主體權利等違反義務者,最高處以2000萬歐元之行政罰鍰,如為企業,最高處以前一會計年度全球年營業額之4%,取其高者,此鉅額的罰鍰應可促使各大企業謹慎依法處理取得之個資。其次,GDPR明確規定如企業發現有任何個資侵害事故發生(如駭客入侵)時,必須在72小時內通知主管機關,並即時通知當事人,因此隱蔽或延遲通知都是違法的。
GDPR對當事人(即資料主體)的保護相當周全,當事人對自己的個資之相關蒐集、處理、利用,有相當完整掌控權,包含近用權(right of access)、資料攜取權(Data Portability)等,以及著名的「被遺忘權(right to be forgotten)」,即當事人有權要求更正、刪除自己的個資,此權利也使Google開放民眾申請將特定搜尋結果下架,這些權利是我國個資法相對較不足之處,未來修法勢必也應借鑑於GDPR。另外,GDPR也要求一定條件以上的機構要設置專責的資料保護官(data protection officer)來監督管理個資。臺灣目前尚未設立個資保護專責機構,此部份是有待加強的。
歐盟GDPR已經生效上路,對臺灣會產生如何的具體影響還有待觀察。不過,全球化的年代,無論是跨國企業或中小型企業經營者,多少都會因此受到影響,國人了解個資保護的最新觀念,乃有其必要,始得避免無知違法。
*作者為陽昇法律事務所所長
