五月二十五日,經過兩年準備後,歐盟《一般資料保護規則》(GDPR)正式生效,這個規則除了被稱為全球最嚴格的個資保護規範外,在諸多面向也改變了個資保護的實質規範內容,擴大了GDPR的域外(extra-territorial)適用範圍,並且對於資料的跨境傳輸設下嚴格條件。GDPR的生效將對台灣經濟有重大影響,而觀諸我國目前因應GDPR的準備,帶來的衝擊恐不容樂觀。
事業非設立於歐盟同樣適用
GDPR除一七三段序文外,共分為十一章,計有九十九條文。GDPR的影響力之所以無遠弗屆,是因為它強化了域外效力。
對於設立在歐盟境內的事業(establishment),不論個資處理是否發生於歐盟境內均適用。即令事業非設立於歐盟,若其資料控制者(controller)或處理者(processor)的資料處理,涉及歐盟個資主體(personal data subject),且是向歐盟境內的個資主體提供貨物或服務,或監控該個資主體在歐盟境內的行為時均適用。前者當我國的產業,向歐盟個資主體提供服務或貨物時就適用;後者如Google或Facebook的商業模式。
就實質規範而言,GDPR於第二章與第三章規範個資處理原則以及個資主體權利。前者涵蓋如何確保資料處理的合法性(lawfulness)、合法同意(consent)之條件、兒童之同意、特殊類型個資(如種族、宗教、政治信仰)以及刑事犯罪紀錄的處理。
個資主體的權利部分,除了眾人所熟知的遺忘權(right to be forgotten)外,並包含個資主體的接近使用權、更正權(right to rectification)、個資可攜帶性(portability)。甚至規範尚未自個資主體取得資料時,控管者應提供的資訊,以及向個資主體蒐集資料時,應提供的資訊。
未符合規範,連美國媒體都遭殃
最後除非控管者能證明是基於更迫切的正當基礎(compelling legitimate grounds),否則個資主體有權拒絕控管者之個資處理──即使是為追求正當利益之目的,或基於公共利益執行職務、委託行使公權力所為。
GDPR與台灣關係最為密切者,除了前述向歐盟個資主體提供服務或貨物外,乃是規範於第五章的個資跨境移轉。此項個資的跨境移轉,除了存在於跨國公司的內部移轉外,亦可能出現於上下游產業的跨境移轉。對於跨境移轉,GDPR採取原則禁止、例外許可的規範模式,僅有在控管者與處理者符合本章的規定下,方可為之。
GDPR共列出三種許可途徑。首先,藉由第三國在所有事項或特定領域,經過歐盟執委會(European Commission)的審查,認為第三國的個資保護與歐盟的保護程度相當,取得執委會之適足性認定(adequacy decision)。第二種途徑則是在第三國個資主體權利以及有效法律救濟存在,而控管者或處理者提出適當的防衛機制(appropriate safeguard)下予以移轉。第三類允許跨境移轉的態樣,是就個別情況,例如得到個資主體之許可,為履行契約或追求公共利益或保護個資主體或其他人的核心利益等。
GDPR對全世界都帶來前所未有的挑戰,生效後,由於個資存取未符合歐盟規範,《芝加哥論壇報》(Chicago Tribune)以及《洛杉磯時報》(Los Angeles Times)在多數歐盟國家境內無法點閱。
知名隱私權運動人士施倫斯(Max Schrems)業已向法、比、德、奧的個資保護機構(Data Protection Authorities),對Google(Android)、Instagram、WhatsApp以及Facebook提起申訴,主張這些公司提供的「同意」,並非有選擇的同意,而是「要不接受,要不拉倒」的隱私權保障(Privacy à la“take it or leave it”?),並不符合GDPR的規範。
GDPR的生效,對我國政府或產業帶來的衝擊亦相當深遠。由於個資移轉是經濟全球化、產業分工的重要環節,我國國發會以加入亞太經合會(APEC)之跨境隱私保護體系(CBPR)為途徑,試圖取得在GDPR架構下歐盟執委會對於我國個資保護體系的適足性認定。五月二十一日,國發會主委陳美伶宣布台灣加入APEC的跨境隱私保護規則體系,業已通過第一階段審查的好消息。
