GDPR 是什麼?它對台灣企業有影響嗎?

近年來,民眾在各業界手中的數位資料越來越多,GDPR 正是在針對這些資料的處理範疇進行限制,提高個資外洩的代價以讓企業更加正視資料處理的相關責任。資訊資產價值隨著網路科技的進步水漲船高,企業如何控管使用者資料成為眾所矚目的議題之一。一些知名公司例如 Facebook 或華為,皆因涉及資料外洩的疑慮而遭到各方媒體的輿論抨擊,歐盟也為了保障個資當事人的權利,於2016年通過了《一般資料保護規範》,也就是所謂的 GDPR(General Data Protection Regulation)。GDPR 的內容是什麼?對於企業又會帶來哪些影響?以下為您做簡單的介紹。

GDPR 是什麼?

GDPR(General Data Protection Regulation)是在加重企業「控管」及「處理」資料的責任,並強化個資當事人權益。隨著數位行銷的崛起,各行業經常以蒐集個資的方式制定行銷策略。然而由於 CMC(Computer Mediated Communication / 電腦中介傳播)和 FinTech 等科技,企業握有的資料量非同小可。正因此,歐盟認為有義務加強管制這些個人資料的「控管者」和「處理者」以使民眾安心。這樣的背景促成了 GDPR 的頒布,取代了 1995 年過時的《數據保護指令》。根據 GDPR 官方網站,我們為您做了簡單的摘要。

首先我們來介紹資料「控管者」和「處理者」的區別。若以合約來比喻,控管者就是一般合約中所提到的甲方,而處理者則是乙方。控管者決定他們想蒐集資料的目的及方式,並委託處理者幫他們執行。比方說,郝玲健公司想賣零件給客戶,並透過郝多信公司替他們發 Email 給目標客群,那麼郝玲健公司將會被定義為「控管者」,郝多信公司則為「處理者」。GDPR 規定控管者有責任和義務確保處理者在 GDPR 的規範內處理資料,因此就算個資全部位於處理者的系統裡,若在處理資料的過程中違反了任何 GDPR 的相關規定,控管者有責任繳交巨額罰款,也意味著不只科技公司將受到影響,任何有蒐集資料的企業都有被罰款的風險。在這樣的情況下,除了控管者要慎選處理者外,處理者也應當向控管者證明自己合規,以取得對方的信任。

那麼處理者應該符合哪些規定呢?

  • 處理者應採取適當措施確保個資的安全與系統的完善,例如資料加密、匿名與去連結化、系統穩定性、備份及災害復原計畫、和定期的安全檢驗(32.1)。
  • 若資料不慎外洩,處理者必須在 72 小時之內通報控管者,並不得無故拖延(33.2)。
  • 處理者不得在控管者的指示之外任意探勘個資,另外若個資處理違反 GDPR 的規定,必須告知控管人(28.3)。

個資當事人的權利有哪些?

  • 存取權 Right of Access
    個資當事人有權利向資訊控管者要求一份所有自己被蒐集過的個人資料。以 Google 舉例,在 takeout.google.com,個資當事人可以存取曾被 Google 蒐用過的個資。
  • 更改權 Right to Rectification
    當事人有權使控管者更正其不正確之個資,且有權補充其個資。
  • 刪除權 / 被遺忘權 Right to Erasure / Right to be Forgotten
    個資蒐集、處理目的消失,或遭違法處理,當事人得請求刪除其個資或連結。
  • 拒絕權 Right to Object
    當事人應有權拒絕對於自動化決策或以任何形式評估個人特徵之建檔行為。

當然,以上整理的只是 GDPR 的冰山一角。詳情可以上 GDPR 官方網站 或是 國家發展委員會 查詢。

GDPR 的適用對象?

既然頒佈法令的是歐盟,歐盟以外的國家是否需要遵循呢?答案是不論資料控管、處理者位於哪裡,只要有蒐用任何歐盟(EU)或者歐洲經濟區(EEA)民眾的相關個人資料都適用於此項法令。在這個全球的經濟體下,這樣的法令將影響各個領域的跨國際企業,並且不只科技公司將受到影響,各企業必須重新審視自己行銷時處理控管資訊的方針。這樣的情況意味著,不論公司的主要客群來自哪裡,哪怕來自歐盟的客戶資料只佔整體的一小部分,都得因應這條法令做出相關的變革。當然,台灣的跨國企業只要有在歐洲有商業活動的也會是 GDPR 的適用對象。

對於企業的影響?

其中一起震驚全歐洲的天價罰款為 英國航空公司 British Airways 於2019年被罰的1億8,300萬英鎊(相當於台幣70億6千萬元),這個價格為該公司於 2017 年 1.5% 的全球營業總額,遠遠不及最高罰款金額的 4%。英國航空公司是因為系統安全管理的疏失,導致 50萬名客戶的姓名、電子郵件、住址以及信用卡資訊外洩。歐盟於 2016 年通過後,給予企業兩年的時間適應與改革,並且在 2018 年正式生效。若違反 GDPR 的相關規定,企業將面臨巨額的罰款,其中包含了最高 2千萬歐元(相當於台幣 6億7百萬元)或是全球營業總額 4% 的行政罰鍰(擇高者)。這則法令也因為這樣巨額的罰款成為了熱門的話題。

企業應該如何做出因應的措施?

在握有他人個資的同時,企業應該負起責任謹慎處理。首先,各行業可以更謹慎的處理資料,追蹤資料以瞭解其來源及用途,並且明確制定能夠獲取資料的權限。與此同時,企業可以評估資料的必要性進而去蕪存菁。再者,企業可以加強對於資訊安全的管理避免資料外洩。不論是雲端安全系統的升級或是對於電子郵件的加密,如果能夠更有效的管理手邊的資訊,相信不但能避免巨額罰款,更是一種對自己和他人的保障。

參考連結

WRITTEN BY
Phoebe Lee