白話GDPR

2013年,前美國國家安全局外包技術員史諾登(Edward Snowden)將美國國家安全局的「稜鏡計畫」監聽專案秘密文件披露給媒體,引發全球震驚。原來美國政府從2007年起就監控民眾的郵件、社交活動、通訊內容,這個事件也點燃歐美社會開始更重視個人資料的隱私性。

今年5月25日,被冠上史上最嚴格的《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)正式上路,歐盟以重法展現保護歐盟居民「人權」的決心。

白話GDPR

GDPR法規的存在目的,除了排除歐盟會員國之間的個資流通障礙外,也提供個資當事人權利與強化個資專責機關權限,但GDPR法規並非憑空而出,最初源自於1995年的《個人資料保護指令》,不過此次GDPR法規則更加重「企業責任」,並且強化「當事人權利」。

白話GDPR

加重企業責任是什麼意思?舉例來說,若有企業或組織違反該法,最重可被處以全球營業額的4%或是2千萬歐元(約合7.2億元新台幣)的驚人罰款;若有個資洩漏事件,該企業不僅要在72小時內回報當地個資保護主管機關,大型企業還必須設有個資保護長一職專責處理相關事宜。另外GDPR不僅罰款驚人,適用範疇涵蓋也極廣。

五大類企業,首當其衝

KPMG安侯法律事務所執行顧問翁士傑指出,以下三大類型公司都在GDPR的適用範疇:首先是在歐盟有營運據點的境外公司,其次是沒有據點但有提供產品或服務給歐盟境內居民的企業,第三是提供服務給歐盟會員國公民的業者。
「B2C(企業對消費者)型態的業者,因為直接接觸第一線消費者,影響最深;而地域性強、只在台灣或是亞洲地區服務的傳統產業業者,則影響較小,」達文西個資暨高科技法律事務所所長葉奇鑫分析。
台灣的航空、金融、科技、電信與旅遊業等五大類業者因為符合上述的三大類型特徵,營運首當其衝,這些業者也都積極迎戰GDPR。
那麼強化當事人權利的意思為何?翁士傑指出,在GDPR眾多權利中,有三種權利最為特別:一、被遺忘權(Right to be forgotten),二、資料可攜權(Right to data portability),三、個資自動化決策(Automated decision-making)反對權(Right to object)。

個人面——我的資料,我做主