「史上最嚴個資法」跟我們有關嗎?台灣政府與企業如何應對?6個QA了解歐盟「GDPR」

2018-05-27 12:10

? 人氣

2018年5月25日,歐盟正式實施被譽為史上最嚴的《通用資料保護規則》(GDPR),衝擊臉書、Google多家跨國企業,台灣企業也恐遭受衝擊。(AP)

2018年5月25日,歐盟正式實施被譽為史上最嚴的《通用資料保護規則》(GDPR),衝擊臉書、Google多家跨國企業,台灣企業也恐遭受衝擊。(AP)

歐盟本月25日正式實施全名為《通用資料保護規則》,號稱史上最嚴的新版個資法,將讓歐洲公民擁有掌握個人資料的權利。新法一出,全球各家公司忙於更新隱私權條款,或是將用戶的資料管轄權移出歐盟。為什麼歐盟的個資法跟我們有關?對於公司的衝擊又是什麼?以下為您整理針對這部最嚴個資法的6個問題。

為什麼最近常收到一堆隱私權條款變更的訊息?

您若常註冊許多國際公司的帳號,或是登入社群網站,最近上網時可能會發現,民宿出租平台愛彼迎(Airbnb)、評論網站yelp、以及新聞媒體《美聯社》(Associated Press),不約而同寄出隱私權條款變更的通知信。常用的搜尋網站Google、社群網站臉書(Facebook)也出現隱私權變更的提示,這不是因為您的信箱被垃圾信攻擊,也不是您的電腦中毒,而是各家公司為了因應本月25日,歐盟28國全面生效的《通用資料保護規則》(General Data Protection Regulation,GDPR)所做出的調整。

GDPR規定公司要做什麼?

GDPR旨在保障歐盟民眾的個人資料使用權、隱私權,規定公司必須使用淺顯易懂的文字,讓用戶了解公司如何蒐集並使用他們的資料,並尋求使用者確實同意,才能使用資料。因此各家公司必須改寫隱私權條款,Google更利用影片來講解隱私權政策。

GDPR的重點在於強化用戶使用資料的權利,讓用戶個資不再僅被公司掌控,公司必須讓使用者容易取得並使用自己的資料(近用權),並有權利將資料打包帶走(個資可攜權),使用者也有權利要求公司更正或刪除自己的資料(更正權、被遺忘權)。若用戶個資外洩,出現駭客入侵等事故,公司也必須要在72小時之內告知用戶。不能像搜尋網站雅虎(Yahoo!)等了2年,才於2016年揭露用戶資料外洩,最後更有30億用戶受害。

若公司未遵守GDPR,會遭受什麼處罰?

公司如果未遵守GDPR,將遭受歐盟重罰,最高可處2000萬歐元(新台幣7.09億元)或是該公司全球年營業額4%的罰鍰,取其高者來計算。以富可敵國的臉書(Facebook)為例,去年臉書全球的年營收達到407億美元(新台幣1.22兆元),一旦違反GDPR,最高恐被歐盟處以16億美元(新台幣482億元)的罰鍰,將重創臉書。

2018年5月22日,臉書執行長祖克柏出席歐洲議會聽證會,與歐洲議會議長塔加尼會面。(AP)
2018年5月22日,臉書執行長祖克柏出席歐洲議會聽證會,與歐洲議會議長塔加尼會面。(AP)

歐盟對違反GDPR的公司祭出重罰,促使各家公司必須正視新法,臉書就表示,過去18個月來致力於遵守GDPR,然而臉書4月遭媒體披露,將過去放在愛爾蘭國際總部,除了美、加、歐盟以外15億用戶的資料管轄權,移至美國加州的臉書總部。臉書雖已做好準備,25日新法施行的第一天,奧地利隱私權倡議者施雷姆斯(Max Schrems)仍控告臉書與Google,認為臉書和Google只提供用戶完全同意隱私權政策的選項,否則就不能使用服務,違反GDPR要求公司必須詳細取得用戶同意,才能夠使用客戶資料的規定。

GDPR會影響設籍在歐洲以外的公司嗎?

答案是會!只要公司有任何客戶居於歐盟境內,無論是自然人、法人,即屬於「歐盟境內之資料主體」(data subjects who are in the Union),公司在處理歐盟人民的個資時,就必須遵守GDPR的規定。

設籍於歐盟境內的公司則不僅要保護歐盟境內的使用者,連歐盟境外的使用者都適用GDPR,所以臉書將15億用戶的資料管轄權移出歐盟境內的愛爾蘭,得以讓這些用戶的資料規避GDPR的管轄。

《美聯社》指出,目前仍不清楚造訪歐盟成員國的遊客是否適用GDPR。英國非營利組織「隱私國際」(Privacy International)的法務專員卡蘭德(Ailidh Callander)指出,很多新法的問題需要未來法院的判決釐清。不過可以確定的是,對於歐盟以外的用戶,公司不必直接尋求用戶使用資料的許可,而是等到用戶造訪歐盟成員國時,再跳出公司尋求利用使用者資料的許可。

GDPR實施之後,出現哪些現象?

GDPR實施後,歐盟境內的用戶已無法連上如《洛杉磯時報》(Los Angeles Times)、《芝加哥論壇報》(Chicago Tribune)、《巴爾的摩太陽報》(The Baltimore Sun)等美國媒體。《華盛頓郵報》報導,這些媒體同屬特朗克(Tronc)集團,但特朗克尚未準備好遵守GDPR的規定,索性封鎖歐盟成員國境內的用戶。社群分析網站Klout、整理信箱的程式Unroll.me也都在GDPR實行之後,封鎖歐盟境內的用戶,使得這些用戶權益受損。
 

25日GDPR生效之前,消費者已面臨許多不便,例如電子信箱湧入的資料使用確認信。醫師還必須請病患簽署數頁長的表格,說明醫師如何儲存病患的資料。儘管歐盟居民因GDPR面臨種種不便,實施起來相當耗費成本,但歐盟社會大眾普遍對於隱私權的意識較美國來得高,讓歐盟得以推動史無前例的最嚴個資法,GDPR仍然是全世界個資保護的先驅。

GDPR生效後,台灣政府有什麼作為?

設籍台灣的公司,也可能因為客戶在歐盟成員國境內,遭受GDPR衝擊。台灣已有《個人資料保護法》來保護民眾個資,但現行的個資法未設單一主管機關,採分散管理制度。行政院長賴清德24日於院會指示,請國家發展委員會儘速成立「個資保護專案辦公室」,要讓各部會分工合作,並因應GDPR,提供民眾相關部會的諮詢專線

法務部盤點國內個資法與GDPR的差異,發現GDPR在規範對象上,較台灣的個資法增加「境外企業」。GDPR的個資定義也遠比台灣嚴謹,涵蓋透過網路IP、瀏覽紀錄行程的數位軌跡,連人種、血統、政治意見、生物特徵都屬於個資的範圍。至於在當事人權利部分,GDPR則較台灣個資法多出了「個資可攜權」。

在資料跨境傳輸部分,GDPR採用「原則禁止、例外允許」,也較台灣的「原則允許、例外禁止」來得嚴格。若台灣未來要與歐盟的資料跨境傳輸,台灣必須符合歐盟的「適足性認定」(adequacy decision),認定個資保護水準與歐盟相當,才可跨境傳輸。國發會指出,後續將推動與歐盟洽商適足性認定,但在台灣取得適足性認定之前,從事跨境傳輸的台灣企業,仍要遵循歐盟的GDPR規範。

喜歡這篇文章嗎?

蔡亦寧喝杯咖啡,

告訴他這篇文章寫得真棒!

來自贊助者的話
關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章

你可能也想看