最嚴個資法歐盟GDPR來襲

台灣企業準備好了嗎？！

◎達文西個資暨高科技法律事務所

王慕民律師

號稱史上最嚴格的個人資料保護法律─歐盟《個資保護規則（General Data Protection Regulation，GDPR）》─即將在2018年5月25日生效，這部可讓主管機關裁處最高2千萬歐元或年度全球營收4%（取較高者）罰鍰的個資法，無疑將對受規範者帶來巨大衝擊。

按照GDPR規定，非歐盟法人也有可能受到約束，因此，台灣企業除遵守台灣個資法外，也應盡速確認自己是否須適用GDPR，並依GDPR要求的法律規範調整對應作為。

以下便以20件事讓台灣企業初步瞭解GDPR的重要規範，並提出台灣企業該有的因應對策。

誰適用GDPR

1、 依GDPR規定，經營業務需蒐集、處理、利用個人資料的台灣企業─包含個資控制者（決定蒐集、處理、利用個資之目的及方法之人）和個資受託者（依個資控制者指示而蒐集、處理、利用個資之人），且無論該蒐集、處理、利用個資之行為是否發生在歐盟境內─如有下列三種情況之一，即須適用GDPR：

1.1   在歐盟境內設有營業處所。

1.2   雖在歐盟境內無營業處所，但：

1.2.1    對歐盟境內的自然人提供商品或服務（判斷方式例如：企業網站提供除英文外的歐盟會員國其他官方語言、網路交易得以歐元付款、企業網站中提及歐盟的客戶或使用者等）。

1.2.2    監控歐盟境內自然人在歐盟境內的行為（例如：追蹤歐盟境內自然人的網路行為，以對該自然人做出某種決定、分析或預測該自然人的喜好、行為或意見）。

2、 在歐盟境內無營業處所的台灣企業如依上述規定適用GDPR，則應以書面委託歐盟境內之代理人作為代表，受理主管機關或個資當事人提出的要求，且該代理人必須設立於「接受台灣企業提供商品或服務」或「受台灣企業監控行為」之歐盟自然人所屬國之一。

GDPR跟台灣個資法有什麼不一樣

GDPR較台灣個資法嚴格許多，較為重要者如：

3、 對個人資料的定義不同

3.1    GDPR對「一般個人資料」之定義為「任何與已識別或可識別之自然人（當事人）相關之資料」，但於條文中將「可識別之自然人」的定義擴大為「可透過例如姓名、身分號碼、地理位置、網路識別符（online identifier）等識別符或該自然人之一個或多個特定身體、生理、基因、心理、經濟、文化、社會地位等要素而直接或間接識別之自然人」；立法理由第30條更說明，條文所指的「網路識別符」包含例如「行動裝置資訊」、「應用程式資訊」、「工具程式資訊」以及「IP位址」、「cookies碼」、「無線射頻識別標籤」等資訊，由於此種資訊在現今科技發展下均可藉由與其他資訊結合而識別特定自然人，並進而為該自然人建立側寫（profile）資料，因此有必要擴大規範。

3.2    因此，台灣企業如因我國個資法實務尚未清楚界定例如IP位址、cookies碼等資訊是否為個人資料而漏未留意，則如適用GDPR時，這些資訊都應納入企業內部的個資管理制度當中。

3.3    此外，GDPR規定的特種（special categories）個資亦與我國個資法第6條規定的「醫療、病歷、基因、性生活、健康檢查、犯罪前科」不同，包含「揭露該自然人的人種、血統、政治意見、宗教或哲學信仰、工會資格、健康資訊、性生活、基因資訊、生物資訊、性傾向等資料」。

4、 企業治理要求不同

4.1    依GDPR規定，企業需採取適當的技術及組織措施以確保並證明自己遵守GDPR的使用個資原則。

4.2    企業亦應採取適當的技術及組織措施以表明企業已將個資保護整合進入使用個資之業務行為中，包含「預設隱私（Data Protection by Design and by Default）」的業務流程規劃。

4.3    將對當事人帶來高度風險（例如以新興技術蒐集、處理利用個資）的企業，應在蒐集、處理、利用個人資料之前，事先執行「個資保護衝擊評估（Data Protection Impact Assessments，DPIA）」。

4.4    符合特定條件（例如：常態性及系統性大範圍監控自然人的網路行為）的企業應於機關內指派「個資保護長（Data Protection Officers，DPO）」。

5、 當事人同意要件不同

5.1      GDPR注重「當事人同意」的品質，在要件上有嚴格的限制，其定義為「當事人針對資料控制者處理其個人資料而自願、具體、明白（unambiguous）的透過聲明（statement）或清楚肯定（clear affirmative）之行為以對受告知事項作出的任何明示同意之意思表示」。

5.2      依照立法理由第32條說明，條文所指的「清楚肯定之行為」包含文字聲明（以電子文件方式表示亦同）或非文字聲明，例如「造訪網站時針對條款勾選同意」、「針對資訊社會服務（Information Society Services，指依當事人要求而以遠距電子方式提供資訊並收取費用之服務，例如影音串流、互動數位電視）選擇不同技術設定」等，反面而言，當事人「單純的沉默」、「網站預設勾選同意條款」或其他「不作為」均不構成歐盟個人資料保護規則定義的「同意」。

6、 個資侵害事故通知規定不同

6.1       我國個資法僅規定企業在個資侵害事故發生時，應在查明後即時以適當方式通知當事人。

6.2       但GDPR對個資侵害事故的規定則是要求企業應在知悉侵害事故後72小時內通知主管機關；而在發生嚴重的事故情形時，則須即時通知受侵害的當事人。

7、 當事人權利不同

GDPR賦予當事人對其個人資料的權利較我國個資法多，例如：

7.1     被遺忘權，即在當事人符合法律條件而提出刪除個資的要求時，如企業曾將該個資提供他人，則須在考量可行技術與執行成本下，採取合理措施向正在處理當事人個資的其他資料控制者告知當事人已請求移除或刪除任何個人資料的連結、副本或複製檔。

7.2     資料攜取權，即如果企業適用「當事人同意」或「履行契約所必要」等要件並以「自動化方式」蒐集、處理、利用個人資料，則當事人有權要求針對其提供之個資取得一份「結構化」、「大眾使用」、「機器可讀」格式的個資檔案。且在技術可行的前提下，當事人有權要求企業將上述個資檔案直接轉移給第三人。

8、 跨境傳輸個資的要件不同

我國個資法對於跨境傳輸個資的規範是「原則允許，例外限制」，但GDPR則是相反採「原則禁止，例外允許」模式，集僅在符合特定條件下，台灣企業始能將歐盟境內自然人個資傳輸至歐盟境外地區，例如：

8.1      僅能傳輸至歐盟認定符合個資保護適足性之境外地區；或

8.2      企業與境外個資接受者簽訂標準個資保護契約條款；或

8.3      跨國企業各母子公司間存有約束性企業規則；或

8.4      取得特定認證；或

8.5      其他條件，例如當事人同意等

台灣企業該怎麼做

以上初步介紹適用GDPR的台灣企業應特別留意的法規差異，本文最後參考英國個資保護主管機關ICO於2017年5月發布的《Preparing for the General Data Protection Regulation （GDPR）12 steps to take now》指引，提出台灣企業應盡速採取的因應作為：

9、 建立法遵意識

              企業應確保高層管理者均知悉企業應適用GDPR及GDPR與我國個資法的法規差異。

10、  清查個人資料

              企業應清查並紀錄各項業務涉及的個人資料及個資的來源與流向（資料流），必要時可執行內部個資稽核。

11、  審視隱私權聲明／蒐集個資聲明

                企業應審視現行公告的隱私權聲明或蒐集個資聲明有無符合GDPR的要求。

12、  確保當事人權利行使

                企業應檢查當事人權利行使機制，確保GDPR賦予當事人的權利均含括在內。

13、  更新當事人請求存取個資程序

                企業應更新當事人請求存取個資的作業程序，以符合GDPR的規定。

14、  釐清蒐集、處理、個資的合法要件

                企業應確保蒐集、處理、利用個資之行為的合於GDPR的法定要件，並以文件紀錄同時更新至隱私權聲明或蒐集個資聲明中。

15、  審查當事人同意要件是否合於GDPR

            由於GDPR對於當事人同意的要件較我國個資法嚴格，企業即應先行檢視有無蒐集、處理、利用個資之行為的法定要件是依據「當事人同意」，如有，則應再行檢視並更新取得當事人同意的作業程序，以滿足GDPR規定。

16、  檢視有無取得兒少（未滿16歲）個資

企業應檢視所提供之服務是否涉及取得兒少的個人資料，如企業對未滿16歲之兒少提供線上服務（例如經營社群網站），且須以「當事人同意」作為蒐集、處理、利用兒少個資的法定要件時，企業須取得該兒少的父母或監護人之同意。

17、  確認個資侵害事故通知程序

企業應修正現行依我國個資法建立的個資侵害事故通知程序，納入GDPR較嚴格的規範。

18、  導入「預設隱私」及「個資保護衝擊評估」機制

企業應將「預設隱私（Data Protection by Design and by Default）」機制導入內部作業流程，對所有蒐集、處理、利用個資之行為均預先以個資與隱私保護為設計原則。

又企業應釐清是否符合GDPR的特別要求，需在蒐集、處理、利用個資之前即先執行「個資保護衝擊評估（Data Protection Impact Assessments）」。

19、  指派「個資保護長」

企業應釐清是否符合GDPR的特別要求，必須正式在組織內任命「個資保護長（Data Protection Officer）」。

20、  跨國企業監管及遵守跨境傳輸個資規範

最後，台灣企業如不僅只在一個歐盟國家設立營業處所時，應依GDPR規定釐清何國的個資保護主管機關應作為企業在歐盟的個資保護最高主管機關。

又如台灣企業的業務涉及將歐盟境內自然人的個資傳輸至歐盟境外時，即應事先確保符合GDPR的跨境傳輸個資規範。

結論

上述20件事是本文對台灣企業因應GDPR的基本提醒與建議，盼能幫助企業盡速調整內部程序，以符合GDPR的嚴格要求。

更多詳情請洽達文西個資暨高科技法律事務所davincilawfirm@gmail.com