(圖片來源:天下雜誌)
重視人權的歐盟,在1995年制定了個人資料保護指令,2016年通過「一般資料保護規則,訂在2018年5月25日正式執行。這條法規是「保護以及加強歐盟成員國人民的資料隱私,以及重塑整個地區內的組織處理資料隱私的方法。」
法規基礎
1. 被遺忘權:可以要求控制資料的一方,刪除所有個人資料的任何連結、副本或複製品。
2. 取用權:可向資料控制方,尋求關於使用者本身的資料之使用方法、地點及目的等等。控制方應以電子形式提供資料的副本供擁有者參考。
3. 資料可攜權:用戶以通用、機器可讀的形式取得某一服務的資料,進而轉移到另外一個服務上。
適用對象
只要接觸到歐盟公民並擁有他們的個資,那麼就適用於GDPR規範,影響的範圍包括:
1. 客戶中有歐盟公民:像是餐廳、旅館、旅行社、計程車、電商‧‧‧‧‧‧等。
2. 雇用歐盟員工、歐盟供應商:無論是正職員工、兼職員工、供應商、合作廠商。
3. 非營利組織與政府機構:企業,非營利組織與政府機構也適用 GDPR,如果志工、會員、贊助者、捐款人、顧問是歐盟公民,所掌握的聯絡資訊、稅捐資料等,都受 GDPR 規範。
GDPR保護範圍
為了避免個資被任意分享或販賣給第三方,GDPR保護的個資範圍包括:
1. 個人身份 – 電話號碼、地址、車牌。
2. 生物特徵 – 歷年資料、指紋、臉部辨識、視網膜掃描、相片。
3. 電子紀錄 – Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄。
企業責任
企業如果對歐盟公民的個資保護不周,例如:資料外洩、個資遭駭、非法存取、分享給無權利使用的第三方。或是將個資用於非雙方當初約定的目的,以及沒有採取足夠的安全技術保護個資、沒有給予當事人刪除或更正個資的權力,都違反GDPR規範。一旦沒有妥善處理個資或個資外洩,需要在72小時內通報給資料保護主管機關。
影響產業
台灣來說,以網路零售、金融、航空運輸業可能受到最多的影響。
1. 網路零售:包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於GDPR規範中。
2. 金融: 金融機構持有大量個人識別資訊,每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。
3. 航空運輸:以台灣華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
目前,台灣個資法第七條對個資收集的同意,仍是採取「推定同意」,而非GDPR的「自願、具體聲明同意」的型態,許多國內專家認為應該要盡速修改為如同GDPR的同意要件。《資通安全管理法》也在5月11日於立法院三讀通過,未來台灣資安發展將邁向制度化,跟上世界各國的資安趨勢。
參考資訊
沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR 「數位時代」
一般資料保護規範 「維基百科」
by:Arthur.wu