GDPR懶人包:快問快答GDPR
(What will GDPR affect you ? )
|
讓臉書成為個資外洩風暴的劍橋分析已經宣報倒閉了,但個資保護的大戲才正要開鑼。
被稱為史上最嚴苛的歐盟個資法(EU
GDPR)要在5/25日上路。
小至咖啡廳、餐館、民宿老闆都可能受影響,甚至是為人父母的,也得為16歲的青少年把關,不然你就觸法了。 |
|
保護個人資料是全球的課題,歐洲的法令感覺上離台灣很遠,真的是這樣嗎
?
小編整理相關資訊,希望在GDPR上路的前夕,有助釐清大家對GDPR
的認識。 |
|
何謂EU
GDPR ?
簡單講,GDPR是歐盟自這個月25日(2018年5月25日)起將實施的進階版個人資料保護規則
( European Union General Data Protection Regulation, 簡稱 GDPR)。
GDPR以保障歐盟人為範疇, 也就是任何公司,不管位落於歐盟境內或境外,只要涉及歐盟人們個資之提供產品或服務公司,均適用。
GDPR前身為1995年歐盟發布的隱私資料保護指令,當時是以傳統個資為主,如個人姓名、生日、教育..等。 但新上路的GDPR是在2016年就立法宣傳,新增數位個資(如 Cookies、IP位址、GPS 基因 生物特徵或醫療資料)。
|
GDPR 立意良好,但跟我公司有關嗎?
|
一個簡單的答覆 -
只要你的公司有客戶、合作夥伴來自歐盟,就無法置身事外。GPPR 要求凡於歐盟市場從事業務或銷售貨物,有蒐集、處理、利用歐盟人民個資者都適用。
譬如一家台灣企業在歐盟沒有實體營運,仍需確保取得與處理歐盟居民個人資料的流程,如取得網頁瀏覽者的所在地資料、網頁瀏覽歷史資料等,皆符合GDPR規定。
|
GDPR 要保護的個資範圍?
|
GDPR的精神是規範 以「資料」為中心,也就是所謂「去識別化」。
除姓名、身份證或護照等證件號碼、住址、電話號碼外,能直接或間接識別個人「敏感性」資訊的資料,若未取得當事人授權,企業不得使用或處理。
「敏感性個人資料」是什麼?
任何得以揭露種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、基因資料或生物統計資料等因子,皆屬這類範疇,並受GDPR保護。
個人身分和生物特徵資料:
如電話號碼、地址、車牌、健康資料、指紋、臉部辨識、視網膜掃描、相片、影片、電子信箱、電郵內容、問卷表單…等。
線上定位資料也不行:
如 Cookie、IP
位置、行動裝置
ID、社群網站活動紀錄…等。
台灣 5/11日立法三讀通過的《資通安全管理法》,要求八大產業(能源、水資源、通訊傳播、交通運輸、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區)強化資安,企業提升隱私權保護勢在必行
。 也就是說保護個資不再只是地球那端的事,而是身為地球村的一員,務必瞭解的數位叢林基本法令 !
|
目前具體的GDPR罰則有兩部分:
-
企業要有專人負責相關法令:
也就是所謂資料保護官 (DPO),若違法,最高罰則是歐元1,000萬或全球總年營業額2%。
-
個資傳輸外洩事件罰款
:
違反GDPR之情節輕重有不同裁罰標準,最高可處2千萬歐元,約新台幣7.2億元,或是年度全球營業總額4%作為罰款,兩者以罰款高者取之。
|
GDPR
跟台灣個資法有何不同
? |
|
歐盟GDPR是目前公認是國內外管制範圍最廣且罰則最重的個資保護法
。
與台灣個資法比較: GDPR的個資定義更廣,已經將數位活動資料納入(如COOKIE),
而且要求廠商在使用時確保個資去識別化及去連結。
我國個資法在跨國傳輸採負面表列,不同於歐盟正面表列,且須事前申請獲准。再者,台灣的個資法對於轉送傳輸規定較為寬鬆,保護機制較弱,風險較大。
另外,GDPR
明確要求若有違反個資事件發生,最晚通報時間是在72小時內,不得有不當遲延。
詳細差異如下: |
| |
GDPR規定 |
台灣個資法 |
|
個
資
定
義 |
任何可識別自然人的資料。
包括數位活動的資料如:網路IP
位址 • 包括:民族或種族、政治見解、宗教、世界觀、所屬公會…等等。 |
基本個資定義相似。
可直接或間接識別個人之資 料(但未包括數位活動資料)
|
適
用
範
圍
(對
象) |
蒐集、處理歐盟民眾個資。
控制者或處理個資者就算未在 歐盟境內設點,但提供服務或貨物之公司亦適用。 |
蒐集中華民國國民個資。
在中華民國領域外對中華民 國人民個人資料蒐集、處理或利用者,亦適用。 |
|
個資去連結與去識別化 |
確保個資去識別化及去連結 |
個資以代碼匿名、隱藏部份資料 |
|
機器學習或大數據自動化分析處理的個資限制 |
須明確通知當事人。
當事人得行使拒絕權,不被分析, 可要求刪除分析衍生的隱私資料 • 須有人為干預機制(中止) |
無規範 |
|
個資違反通報 |
通報主管機關,必要時通報當事人。
不得有不當遲延。
最晚72小時。 |
規定以適當方式通知當事人。
只有主管機關或法規要求說明時,才須向主管機關通報。 |
|
國際傳輸的限制 |
原則不允許,只有經執委會認定可提供個資適當保護的國家或企 業才可以進行國際傳輸。
(p.s: 目前通過有12國,台灣不在允許轉送傳輸名單內) |
原則允許。
只有涉及國家重大 利益、國際條約禁止或其他限 制者才不行。 |
|
罰則 |
最高處2000萬歐元或全球營業額4% |
5年以下有期徒刑,或100萬元罰金 |
表格來源:
聯慷電子報整理, 參考IEK(2018/02)
|
何謂跨境傳輸, 台灣是嗎 ?
|
|
只有經執委會認定 可提供個資適當保護的國家或企業才可以進行國際傳輸。
基於隱私盾協議,目前歐盟同意12個國家可跨境傳輸:
包含安道爾、阿根廷、烏拉圭、加拿大(非公部門)、瑞士、法羅群島(丹麥自治區)、以色列、英屬格恩西島、英屬馬恩島、英屬澤西島、紐西蘭及美國(僅限符合隱私盾協議的企業)。
GDPR對於跨境傳輸,從「原則許可」改為「原則禁止」,對產業衝擊最大。
新規定對科技、金融、航運、電商等,將大幅提升法遵成本,甚至形成貿易障礙。例如:A公司總部在台灣,子公司在德國,子公司要將資料傳回母公司時,即涉及跨境傳輸。
除了上述的12個國家被認可,台灣與日本及韓國都處於爭取列入歐盟認可的「白名單」國家,以降低對廠商衝擊。
想納入「白名單」,須先申請由歐盟做適足性評估,國發會主委陳美伶表示,已請外交部協助蒐集日、韓作法,以瞭解我國如何申請及表達意願時點等;在5月底到歐洲參加國際會議時,陳主委將拜會歐盟,表達申請意願。
|
我的公司該怎麼做?
證明你的誠意 – 不踩紅線 |
| |
過去企業重視資訊系統效率與善用隱私資料,開發者習慣廣泛蒐集手機
線上資訊,並以單一機房與未加密密碼儲存。未來企業在蒐集資料上要更重視隱私保護。開發者需
要將隱私保護要求,整合於產品與服務的設計中,以降低侵害隱私風險。 也就是企業在使用客戶個資時,要有完善個資保護機制,將隱私防護設計原則崁入資料蒐集、處理、儲存、挖掘等流程。
|
|
|
說明: 有關個資資料的蒐集處理與儲存架構,重點在帶入隱私保護、
去識別化的作業設計。 資料來源:
IEK(2018/02)
|
正因為不再是只有做歐盟生意的人才要留意:大到跨國企業,小至民宿、餐館
- 只要你會取得歐盟人員的個資就受到GDPR規範。譬如:持有、控制、及任何實際處理歐盟居民個人資料的個人或法人,如接待歐盟旅客的民宿或餐廳、組織或企業內有歐盟員工等,均受GDPR的效力所及。
身處科技4.0的線上線下/虛實整合時代,也是強調客戶體驗的C2B新零售年代,在此,小編再次提醒讀者先進以平常心看待 GDPR 對消費者隱私保護的大趨勢。未來在公司作業與產品、服務設計上,對個資使用管理,以及提供明確易懂的撤銷同意書。容易瞭解的文字提供客戶理解,未來會用他們的個資溝通。
這樣做就是啟動對GDPR的善意回應了!
資料來源: GDPR; IEK; Yahoo, UDN
|
|
 |
|
|
|
