icon-cookie
The website uses cookies to optimize your user experience. Using this website grants us the permission to collect certain information essential to the provision of our services to you, but you may change the cookie settings within your browser any time you wish. Learn more
I agree
blank_error__heading
blank_error__body
Text direction?

沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR

2018.05.25 by
shutterstock
號稱「史上最嚴格個資法」的GDPR,5月25日正式上路,而究竟GDPR是什麼?怎麼樣會踩到紅線?這是你我都應該關心的議題。

如果有使用Google、Airbnb、Skyscanner這類跨國網路服務的讀者,近來應該都陸陸續續在信箱中,收到更新版的隱私條款聲明,這一切都跟5月25日正式上路,號稱「史上最嚴格個資法」的一般資料保護規定(General Data Protection Regulation,簡稱GDPR)有關。

雖說這項規範主要鎖定在歐盟,但正因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言,「沒有人是局外人」或許更適合用來形容法規上路後的衝擊,而究竟GDPR是什麼?怎麼樣會踩到紅線?這是你我都應該關心的議題。

「被遺忘權」為基礎,GDPR牽動全球企業

重視人權的歐盟,在1995年制定了個人資料保護指令(Data Protection Directive),但23年前網路服務並不普及,為了符合現代時空環境,2016年通過「一般資料保護規則」(General Data Protection Regulation, GDPR)取代了先前的法規,並在實際執行前,給了歐盟兩年的緩衝期,訂在2018年5月25日正式執行。

一晃眼兩年過去了,今天開始歐盟公民將享有個人資料從網路上全面消失的的權利。

根據GDRP官網描述,這條法規是「保護以及加強歐盟成員國人民的資料隱私,以及重塑整個地區內的組織處理資料隱私的方法。」雖是這麼說,但正因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言。

這項法規的基礎,是「被遺忘權(right to be forgotten)」,是一種在歐盟已經付諸實踐的人權概念,可以要求控制資料的一方,刪除所有個人資料的任何連結(link)、副本(copies)或複製品(replication);還有「資料可攜權(Right to data portability)」,意思是用戶可以將A服務的資料,轉移到B服務上,這也就是為什麼Instagram最近推出資料打包備份功能、蘋果推出管理個資工具

而為什麼前面會說GDPR會「沒有人是局外人」,因為不論你是巷口小吃店或是跨國企業,只要接觸到歐盟公民並擁有他們的個資,那麼就適用於GDPR規範,影響的範圍包括:

客戶中有歐盟公民: 像是餐廳、旅館、旅行社、計程車、電商等,只要握有歐盟公民顧客的個資、信用卡資料都算。

雇用歐盟員工、歐盟供應商: 無論是正職員工、兼職員工、供應商、合作廠商,只要握有他們保險資料、薪資紀錄、聯絡資訊等都算。

非營利組織與政府機構 :不是只有企業,非營利組織與政府機構也適用 GDPR,如果志工、會員、贊助者、捐款人、顧問是歐盟公民,所掌握的聯絡資訊、稅捐資料等,都受 GDPR 規範。

不論你是巷口小吃店或是跨國企業,只要接觸到歐盟公民並擁有他們的個資,那麼就會適用於GDPR規範。
shutterstock

怎樣會違反GDPR?保護的範圍包含哪些?

我們都希望自己的個資被企業合理使用,多數人的生活經驗中,都有接過行銷電話、簡訊、詐騙電話,為了避免個資被任意分享或販賣給第三方,GDPR保護的個資範圍包括:

個人身分、生物特徵: 例如電話號碼、地址、車牌、病歷資料、指紋、臉部辨識、視網膜掃描、相片、影片、電郵內容、問卷表單等,甚至社會認同、文化認同、地理位置等,只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。

線上定位資料: 例如 Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄等。

而企業如果對歐盟公民的個資保護不周,像是資料外洩、個資遭駭、非法存取、分享給無權利使用的第三方;或是將個資用於非雙方當初約定的目的,例如A活動蒐集的資料,用於另一個不相關的B活動;以及就算在個資為外洩的情況下,沒有採取足夠的安全技術保護個資、沒有給予當事人刪除或更正個資的權力,都違反GDPR規範。

違反GDPR,最高可罰7億台幣

一旦沒有妥善處理個資或個資外洩,需要在72小時內通報給資料保護主管機關(Data Protection Authority),如果沒有執行個資保護風險評估、沒有任命資料保護長、沒有即時通報、違法向第三國傳輸個資。

一旦違反以上狀況,會被處以2 千萬歐元(約新台幣7億元)或全球總營業額4% 的罰鍰。

60%的科技公司都還沒準備好

本周劍橋分析(Cambridge Analytica)濫用8700萬用戶個資事件,祖克伯赴歐洲出席聽證會,他在會議中表示,公司絕對會遵守將上路的GDPR 規範,為了符合這個精神,Facebook將推出「一鍵清除歷史資料按鈕」功能,允許用戶刪除所有儲存的cookie、瀏覽歷史。

但如果祖克伯說的是真的,那麼Facebook有可能是其中的少數,「只有極少數的公司,能在25日100 %準備好。」法律公司United Lex首席隱私官Jason Straight說:「許多公司特別是美國公司,絕對是搶著在最後一個月,希望一切都能準備好。」

祖克伯赴歐洲出席聽證會,他在會議中表示,公司絕對會遵守將上路的GDPR 規範。
shutterstock

因為根據一份研究機構Ponemon Institute,在今年四月針對1000家公司的調查指出,有半數的公司認為他們無法在期限內完成準備,綜觀整個產業來看,有60%的科技公司表示,他們準備不及。

台灣3大產業影響最深

GDPR之所以受到全球關注,是因為這不僅只是地域上的限制,凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。

而就台灣來說,以網路零售、金融、航空運輸業可能受到最多的影響。

網路零售: 這是一個會處理大量個人識別資訊(PII)產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於GDPR規範中。

金融: 金融機構持有大量個人識別資訊(PII),每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。

航空運輸: 這很好理解,以台灣華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。

有60%的科技公司表示,面對GDPR上路,他們準備不及。
shutterstock

目前,台灣個資法第七條對個資收集的同意,仍是採取「推定同意」(當事人如未表示拒絕,相關單位若已提供其個人資料者,則推定當事人表示同意。),而非GDPR的「自願、具體聲明同意」的型態,許多國內專家認為應該要盡速修改為如同GDPR的同意要件。另外,前前後後費時三年,《資通安全管理法》也在5月11日於立法院三讀通過,未來台灣資安發展將邁向制度化,跟上世界各國的資安趨勢。

台灣企業如果擔心自己誤觸GDPR規範,可以聘請專業的第三方機構,來評估數據保護措施,進一步了解公司數據的來源、資料儲存位置、處理的方式,以及是否需要配合GDPR調整內部作業流程,來確保符合相關規範。

GDPR 簡介

規範對象 對歐盟境內人民提供商品、服務、客戶中有歐盟公民、雇用歐盟員工。
個資定義 包括電話號碼、地址、行動裝置 ID、社群網站等,會暴露個人身份的資料,以及血統、政治意見、宗教、生物特徵、性傾向等個人特徵都算。
當事人權利 更正權、刪除權、個資可攜權、拒絕權。
企業責任 知悉個資遭侵害,需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。
Measure
Measure
Related Notes
Get a free MyMarkup account to save this article and view it later on any device.
Create account

End User License Agreement

Summary | 8 Annotations
因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言。
2018/05/28 04:05
這項法規的基礎,是「被遺忘權(right to be forgotten)
2018/05/28 04:05
可以要求控制資料的一方,刪除所有個人資料的任何連結(link)、副本(copies)或複製品(replication)
2018/05/28 04:05
資料可攜權(Right to data portability)」,意思是用戶可以將A服務的資料,轉移到B服務上
2018/05/28 04:05
只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護
2018/05/28 04:06
將個資用於非雙方當初約定的目的,例如A活動蒐集的資料,用於另一個不相關的B活動
2018/05/28 04:06
就算在個資為外洩的情況下,沒有採取足夠的安全技術保護個資、沒有給予當事人刪除或更正個資的權力,都違反GDPR規範
2018/05/28 04:06
就台灣來說,以網路零售、金融、航空運輸業可能受到最多的影響
2018/05/28 04:08