FineArt News

資安新知

快速解讀GDPR

即將在今年5月25日正式施行的歐盟個人資料保護規則(General Data Protection Regulation,GDPR),因其適用對象可能擴及非歐盟境內的企業或組織、同時提高了資料保護設計的安全性要求、訂定鉅額的違規罰鍰等,即便大多數的台灣企業於民國101年10月01日台灣個人資料保護法正式施行之前,已投入大量的人力、物力,訂定詳細的個資維護、管理等相關辦法,建立個資控管流程等,但是如果可以確定會落入GDPR的適用範圍,台灣企業先前因應台灣個人資料保護法所為的準備恐怕都不足夠,千萬不可掉以輕心。

 

GDPR適用對象擴及非歐盟企業

GDPR規定,除了設立於歐盟境內的企業或組織進行的個人資料蒐集、處理及利用是當然的適用對象外,假如被蒐集、處理及利用個資的當事人包含在歐盟境內的自然人,即便沒有在歐盟境內設立機構組織,也都將列入適用。

GDPR

 

個資的蒐集、處理和利用,須取得當事人明確同意

資料控管者在蒐集、處理及利用個資時,要求其應秉持透明原則,遵循個人資料蒐集最少原則,GDPR也將個人資料範圍擴大到個資當事人的IP地址、CookiesGPS等資料。如果事先擬定同意書,應該以清楚、明確、易懂的表達方式,提供個資當事人關於蒐集、處理及利用其個人資料之風險、規範、保護措施、聯繫及相關權利等資訊,不可以使用充滿法律術語和難以理解的文字,也必須與其他事項內容有所區隔,讓個資當事人能更加了解進而獲取其同意。尤其針對種族、政治、宗教、信仰、基因、犯罪前科記錄等特種個人資料的蒐集、處理及利用,更須清楚明確,個資當事人如果保持沉默、預作選項為同意、或不為表示,都不能構成同意。同時,GDPR也很重視個資當事人的撤銷使用權,個資當事人如果要求撤銷同意,也應該與其同意提供個人資料時一樣容易,資料控管者如果提供撤銷個資使用的同意書,其文字也必須簡明易懂。此外,如果個資當事人未滿16歲,應取得父母或監護人之同意,以強化對兒童的保護。

 

GDPR新規範,個資處理&剖析有限制

  • GDPR新增個資當事人的被遺忘權、資料可攜權
    • 被遺忘權
      歐洲法院早些年前就有判決指出,如果有人認為透過搜尋引擎取得的搜尋結果內的信息「不足夠、不相干或已過時」,有權要求搜尋引擎把這些訊息從搜尋結果中移除,可見歐洲法院很早就確立個人的被遺忘權,不過直到GDPR的制定,才讓被遺忘權有了更明確的規範。如果個人資料原來蒐集或處理的目的已經不存在、或者個資當事人反對其個人資料的處理、或者個資當事人撤銷其同意、或者有非法處理個人資料等事由時,個資當事人應有權請求資料控管者刪除其個人資料。如果發現資料控管者保有的資料有不完整或不正確時,個資當事人亦有權請求其更正或補充。
    • 個人資料可攜權
      個人資料可攜權,主要就是讓個資當事人在不同服務業者之間,可以有自由搬動個人資料的權利。例如,個資當事人可以將其個人資料從某個網際網路服務提供業者,搬到另外一個網際網路服務提供業者的服務上。按GDPR規定,個資當事人應有權以有結構、通常使用及機器可讀的形式,接收其當初提供給資料控管者的資料副本,並有權直接傳輸給其他資料控管者,以加強個資當事人對其資料的掌控,不過,更具體、細節的作法,還是要回歸到歐盟各國因應GDPR所定的法規規範中。

  • GDPR強化個資當事人接近使用權、反對權及限制權
    • 接近使用權
      為了知悉並確認資料控管者對個資處理的合法性,GDPR賦予個資當事人對於其被蒐集個人資料有接近使用權,並讓個資當事人能夠輕易在合理的時間間隔內行使接近使用權。
    • 反對權及限制權
      GDPR規定,個資當事人對於其個人資料的處理,有權隨時提出反對或限制處理的要求,資料控管者在接獲個資當事人的反對時,應該不得再處理該個人資料,如果個資當事人是對資料控管者提出限制處理的請求,除非該控管者可以證明其處理有優先於個資當事人權利及自由的法律依據,或者是依建立、行使或防禦法律上之請求外,都應依限制範圍處理,不可例外。

  • 自動化剖析權之限制
    資料控管者如果用自動化處理方式進行包含個人的工作表現、經濟狀況、健康、個人偏好或興趣、可信度或行為、地點或動向等特徵的資料剖析所得結果,如有產生包括對個資當事人的法律效果或類似的重大影響,GDPR都認為個資當事人應該有權不受其拘束,也應該有權反對被如此剖析。

GDPR還有哪些相關要注意的呢?

  1. 落實資料保護影響評估
    GDPR要求資料控管者必須進行資料保護影響評估(Data Protection Impact Assessments,DPIA),以衡量資料在處理過程中,會有哪些風險存在、處理的本質、特殊性與嚴重性為何,並加以管理和因應。其實,多數台灣企業在台灣個人資料保護法施行後,也被要求進行隱私權影響評估(Privacy Impact Assessments,PIA),而PIA本質上與DIPA頗為相似,只不過台灣個人資料保護法對於PIA並沒有明確定義,但是,GDPR對於DPIA卻有詳實的規範。
  2. 個資外洩及時通報
    一旦爆發個資外洩的資安事件,GDPR嚴格規範,不論是個資料控管者或者是個資處理者,都必須在知悉後72小時內通報其監管機關,如果這個外洩資料對於個資當事人將會造成重大危害時,雖然GDPR沒有關於通知當事人的時限規定,也應該要及時通知個資當事人。
  3. 設置資料保護長
    為確保個資控制者或個資處理者有效遵循法規,GDPR要求,如果企業或組織超過250人以上,且核心業務涉及到對歐盟民眾的個人資料處理,都必須在組織內設置資料保護長,而資料保護長也必須有效依法履行職責,如果企業或組織違反GDPR的規定,資料保護長將會被追究相關的法律責任。
  4. 鉅額行政罰鍰
    為了讓資料控管者更重視個人資料的保護,GDPR也大幅提高了罰鍰金額,並將依照違規情節輕重,處以不同金額的罰鍰。如果是嚴重的違規,例如非法處理個人資料、未在個資外洩事故發生後的72小時內通知監管機關、違法進行個人資料之國際傳輸等違規行為,最高將可以處罰2千萬歐元或是該控管者全球營業總額4%作為罰鍰,並以較高者為準。

結語

GDPR的正式施行,讓非歐盟境內的企業或組織都有列入適用範圍之可能,以全球為目標市場的台灣企業,眼下除了恪遵台灣個人資料保護法之外,也應盡快確認自己是否也在GDPR的適用範圍內,並加緊腳步依GDPR之要求作出應對,以免與鉅額罰鍰沾上邊,得不償失。