降低「最嚴個資法」對台企衝擊 陳美伶下周赴歐盟 談GDPR適足性認定

歐盟於2016年通過GDPR，經過兩年緩衝期，於今年5月25日全面實施，這項指令除規範歐盟，也規範與歐盟往來的外國企業，違反規定者最高會被處以2,000萬歐元罰鍰，陳美伶表示，自年初以來國發會已開過多次跨部會協商，盤點歐盟與我國個資保護法的異同，這些資料都將做為日後與歐盟諮商論據。

GDPR實施後哪些產業會受影響？陳美伶說，金融機構、電子商務及航空公司都涉及跨境資料傳輸（可能蒐集到歐盟的個人資料），因此所受影響較大，至於製造業出口所涉的個資不多，衝擊較小。

國發會官員表示，歐盟這項指令旨在保護人權、個資，要求企業要設專職的資料保護長、國家設個資獨立機關，若我國政府能與歐盟協商，取得歐盟適足性認定，則代表我國個資保護強度與歐盟相同，我國所有企業的資料即可自由傳輸，業務即可正常進行，目前包括日、韓、美等國皆積極與歐盟協商中。

由於取得歐盟適足性認定要花一年以上的時間，在未獲歐盟批准前，我企業該怎麼辦？陳美伶表示，企業可以自主採行適當保護措施，並與歐盟經常往來的企業簽署個資保護契約，這樣即可以讓業務往來正常進行，我國企業大多已做好因應了。

國發會官員舉例，我國有6家公股行庫於歐盟設有8個據點，這些據點與在國內總行平日有資料跨境傳輸，因應GDPR，只要在台總行與在歐據點簽署個資保護契約，相關業務即可正常運作。

這位官員說，雖然大企業可以循簽署個資保護契約來因應GDPR，但這個法遵成本會讓中小企業備感壓力，以國家的高度來取得歐盟適足性認定，才是最佳策略。