此一號稱當前規範最嚴格的歐洲個資保護法規,明定只要企業組織或機構其業務活動涉及對於歐盟地區民眾個資的蒐集、處理與利用,不論企業組織或機構之規模大小、法人或自然人形式、在歐盟國設點與否,都必須要一併遵守,其影響層面,堪稱深遠。
目前上路實施的GDPR規範中,其條文總計有11個章節,共99條,除了總章原則與罰則之外,包括第三章資料權利主體、第四章資料控制者與處理者、第五章的個人資料國際傳輸、第六章獨立監管機關、第七章合作與一致性等,都透露出本次規範其橫跨範圍大、影響層面廣的特性。以下內容將從資料、取得機構角色功能以及個人權利三方面切入解讀。
資料保護分三大部分
在資料方面,涵蓋受保護的資料範圍、資料取得及資料傳遞等三個部分。在受保護的資料範圍方面,GDPR基於對於網際網路、醫療檢測等新興科技使用的廣泛性認知,擴大了個人資料的範圍,將所謂個資相當程度視為一群可識別個人的相關資訊,即個人可識別資訊(Personally Identifiable Information, PII)。
這些資訊從過往熟知的姓名、性別、政治傾向、宗教信仰、電話、住址、駕照、身分證字號等,進一步擴展到可以直接或間接過濾推定出特定對象的資料,諸如網路瀏覽器中的Cookie、網路IP位址、GPS資訊,或是任何足以識別特定個人身分或性別的基因資料、生物特徵或醫療資料等。
其次是有關資料取得方面,GDPR要求資料取得機構必須強化取得資料同意書的規格,強調文字簡單易懂、條文單純清楚,避免資料取得機構玩弄文字遊戲、模糊焦點。此外,必須資料所有權人明白、清楚的表達意願,願意提供資料使用,排除未明確表達即默認之行為,積極保障資料所有權人之權利。
在資料傳遞方面,基於網路無國界的現況,以及國際貿易與國際互動的現實考量,應針對受保護資料的跨國傳輸行為予以規範。GDPR要求歐盟執委會就第三國之資料保護實施情形進行觀察,要求第三國應具備有效而獨立之資料保護監督機制(Effective Independent Data Protection Supervision),可提供資料所有人有效行政與司法救濟管道。則該國為具備適當資料保護規範及機制之國家,可被列入歐盟執委會白名單中,為GDPR規範中得從事跨國資料傳輸活動之對象。
個資取得三大規定
在個資取得機構的角色功能方面,涵蓋資料使用機構角色定位、組織結構調整及因應機制設計等三方面。
在角色定位上,舉凡全部或部分以自動化方式對於個人資料進行蒐集、處理或利用的自然人、法人、公務機關、機構和其他組織,均為GDPR規範之主體,並根據資料使用特性,區隔為進行個人資料收集與處理的資料控制者(Data Controller),以及執行個人資料處理的資料處理者(Data Processor)兩類。
組織結構調整方面,GDPR中要求符合GDPR管理要求之機構設立資料保護長(Data Protection Officer, DPO),確保機構得以有效因應GDPR的資料保護規範,並有專人負責。
在因應機制設計方面,包括資料保護風險評估、通報機制以及資訊系統設計考量三個部分。GDPR在要求機構確保所蒐集、處理的資料安全性,必須進行資料保護影響評估(Data Protection Impact Assessments, DPIA)。目的在辨識機構業務流程當中,有哪些涉及個人隱私權利的風險存在,並予以衡量、管理和因應,並允許機構可依據實際風險需要來制定因應之資料保護措施。
在通報機制方面,GDPR規範明定,不論是資料控制者或資料處理者,一旦發生個資洩漏事件,必須要在72小時內,即刻通報給資料保護主管機關(Data Protection Authority),惟若該外洩事件對於當事人會造成權利嚴重侵害時,應即時通知當事人知曉。
在資訊系統設計方面,則是將隱私保護設計(Privacy By Design)或預設隱私保護(Privacy By Default)納入規範,要求機構在設計、規畫、建立資料系統時,必須導入隱私保護相關措施,充分考量資料蒐集、資料傳遞、資料儲存與處理等流程,確保資料在運行過程中得到適切的保護。
個人權利三大規範
在個人權利規範方面,涵蓋資料可攜權、遺忘權以及反對權三個部分。歐盟提供民眾對於所屬個資擁有更大的控制權利,將個資賦予等同資產地位,首度將資料可攜權納入規定,明定歐洲民眾得以在不同服務業者之間,具有自由搬動個資的權利。
被遺忘權即是資料消除的權利,法案賦予當事人得要求資料控制者及資料處理者,必須協助消除當事人個人資料及停止使用當事人個資;資料所有人得根據具體情況,反對資料處理機構對於其個人資料之處理。
GDPR影響涵蓋對象/行為/權力
GDPR的影響範圍遠遠超過想像,可從對象、行為與權利三方面探討,對象指的是受保護與規範的目標,行為是資料處理的作為,權利則是關於資料所有人的權利賦予。首先是受保護與規範的目標,包括資料類型及規範機構,其範疇均遠遠超過過往的個資保護法令。
在資料類型方面,舉凡姓名、性別、政治傾向、宗教信仰、電話、住址、駕照、身分證字號,到可過濾推定出特定對象的網路瀏覽器中的Cookie、網路IP位址、GPS資訊,或是任何足以識別特定個人身分或性別的基因資料、生物特徵或醫療資料等,均涵蓋在個人資料隱私的保護範圍內。
另外在規範機構方面,雖然法規為歐盟國家地區所制定,不過,事實上,只要有針對歐洲民眾個資進行相關的蒐集、處理或者是利用的自然人、法人、公務機關、機構,以及其他組織,不論其規模大小,提供免費或付費服務,是否在歐洲設有據點,基本上均須要遵守GDPR對於資料保護的相關規範。
接著是資料處理的作為方面,主要是規範了歐盟地區民眾個資的跨國傳輸行為,如前所述,GDPR要求歐盟必須掌握與資料互動之第三國其資料保護現況,只要該國被認可為具備適當資料保護規範及機制之國家,則得以在GDPR規範下成為從事跨國資料傳輸活動之對象國。
其次在權利方面,本次GDPR的立法,大幅增進資料所有權人的掌控程度,包括資料可攜權、遺忘權以及反對權三個區塊。除了重申個人資料的所有權,更強化個人資料的資產特性,賦予個人得以任意轉移個資、要求消除個資以及排除特定資料處理行為的權利。
從以往當事人一旦授權給資料蒐集者後,幾乎形同資料賣斷的模式,轉為即便在資料授權後,當事人可依據其自由意志,行使資料移動、資料削除以及限制某些資料處理行為等權利,進一步確保當事人在授權前、授權中、授權後均保有資料的掌控權。
在因應措施的影響方面,在資料處理機構方面,要求受GDPR規範之機構設立資料保護長,以確保機構有專人負責,有效因應GDPR的資料保護規範;在跨國互動方面,基於網路無國界的現實處境,正面規畫個人資料跨國傳輸的行為,具文要求第三國應具備合格的法制基礎,以確保歐盟民眾個資即便經由跨國傳輸處理,仍具備相當程度的安全等級。
此次GDPR在罰則方面的規範,強調全球化之下,企業集團母體責任的不可切割性,將違反規範的企業罰金定在其前年度全球營收的4%,或是最高2,000萬歐元的規模;而違反隱私保護設計、沒有充分實施的企業資通訊安全保障措施、違反數據洩露通知等行為,則是最高處以1,000萬歐元或是前一年度全球營收的2%,避免企業透過區域切割的方式,規避GDPR的監督。
GDPR影響不容小覷
GDPR的正式上路,其影響範圍除了表面上的歐盟地區、與歐盟區民眾個資高度關聯性的企業機構之外,對於欲進入GDPR規範中跨國傳輸白名單的國家地區,或是欲進一步增進本國個資保護的程度,都將促使其以GDPR為參考標準,強化本國在個資保護的法制基礎,各國在個資保護的立法跟風現象將可預期。
由於本次GDPR對於所蒐集資料的類型、範圍、處理及後續可能的變更,幾乎涵蓋企業或機構營運活動的各部分,加上相關罰款規模前所未見,因此企業機構在因應GDPR的首要考量,必須揚棄這是單純資訊部門或是資訊安全的業務,應全面從業務流程角度再檢視,確認各個業務環節中,與歐盟民眾個資的互動情況,方能據此增修其因應作為與標準作業程序(SOP),同步調整企業營運流程以及資訊系統,從而免除成為GDPR實施下的俎上魚肉。
