面對GDPR新法挑戰 重點在流程
(Facing GDPR - Process Review First)

即使是世界科技大廠的專家們，也提醒企業在準備迎接GDPR時，第一步的重點不在技術，而是盤點。

微軟全球副總裁暨副總法律顧問Neal Suggs提醒企業: 第一步不是急著買產品和技術，而是徹底盤點自己手上握有的數據，以及打造「尊重數據」的企業文化。

重點在 "Process" " Process" "Process" !!!

已經有過台灣個資法經驗的台灣企業，在面對實施條文更明確的 GDPR，反而比較有理可據。

勤業眾信總經理萬幼筠指出，GDPR和國內現行的個資法，施行細節和嚴謹度差很多。例如，個資法中提到「調查後應於適當時機通知用戶」，沒有明確點出時間，但GDPR 就明定七天內通知用戶。

也因此，GDPR對於使用個資地限制雖然嚴厲，但也訴說的很清楚。例如 企業在使用個人隱私資料，包括數位資料，就很明確指出要取得個人同意，個人也可要求企業更正或刪除個人資料。

不分產業類型、幾乎所有企業都會受到GDPR影響，舉例來說，連網車由於可辨識誰在車內、車子目的地等與個人身份相關的數據，也必須符合GDPR的規範；另外，航空公司因為會存取到歐盟居民的護照號碼，也是受GDPR影響的大戶。不過以資料敏感性來說，金融、健康相關產業則會首當其衝。

回到台灣的現況，哪些企業應該特別注意？ 一般認為旅遊、航空交通運輸、外銷資通大廠都是重大衝擊者。 勤業眾信總經理萬幼筠補充，台灣的飯店和交通等旅遊業者，以及提供終端服務的業者，因為有機會和歐盟居民接觸到，都會受GDPR影響。另外像是app供應商，過去可能會存取用戶手機通訊錄作為網路行銷管道，也踩到GDRP紅線。他提醒，重點是在利用用戶數據做任何用途前，一定要取得當事人同意。

薩格斯建議，業者第一步要先檢視和盤點公司擁有哪些「數位足跡（digital footprint）」，也就是收集了哪些資料，以及這些資料存在哪裡，只要收集到消費者個資、涉及跨境傳輸，就可能有風險。也因為這類資料可能散落於公司的客戶資料庫、意見反映表單、電子郵件等各處，整理起來無疑是一大工程。

為了讓商業流程符合GDPR規範，增加資料管理人力、加強儲存保護措施、尋求外部資源，都是最直接的方式，但也需要不少成本。根據PwC調查，77%的美國跨國企業表示，打算投入超過100萬美元以符合GDPR規範。而對資源和成本相對較不充裕的中小企業而言，薩格斯則建議，可以從「流程」著手。

「這完全不是技術問題，而是流程問題。」對新創或中小型企業而言，打造尊重數據和數據擁有者的企業文化是第一件要做的事，包含制定儲存和使用資料的規範、擁有讓用戶決定資料使用目的的流程等，而這些並不會花太多成本。微軟全球副總裁暨副總法律顧問 Suggs 再次提醒，空有資料管理技術、但使用資料方法仍是錯誤的，依然不可行，「重點是要打造合規的企業文化。」