目前世界網路與數據科技發達,不論是日常生活的購物訂票、金融服務,乃至醫療就醫等可透過網路數據完成,隨著網路科技日益便利之時,個資外洩風險也大幅提高。歐盟於2016年通過「一般資料保護規範」(General Data Protection Regulation,以下簡稱GDPR法案),保障歐盟住民之個人資料的保護與控制權利。規範之嚴、罰則之重,均堪稱有始以來最嚴格之個資保護法案。

歐盟最早於1995年推出數據保護指令(Data Protection Directive),主要規範個人數據必須去識別化,個資收集與使用必須經由個資主體同意,個資主體擁有資料取用權與被拒絕使用權等。然而各會員國制定國內法規仍保有相當立法彈性,導致各國法規寬鬆不一。因此,歐盟於2016年制定GDPR法案,而不是透過指令形式,亦即無需經過歐盟各國立法轉換成國內法律,直接能夠適用於歐盟各會員國。

歐盟GDPR法案為何會衝擊到非歐盟國家?主要在於GDPR規範「跨境提供商品或服務」的個資保護規定,縱使擁有個資之非歐盟國家企業或機構於歐盟境內沒有設立機構或是據點,只要提供跨境服務或是商品時,有蒐集或是處理歐盟居民的個人資料之情況,就可能納入GDPR的規範之中。有別以往的個資規範法規,GDPR的罰則可謂相當嚴苛,若是有侵害個人資料與非法個資跨境傳輸的情況,最高可處罰2,000萬歐元,若是企業違反個資規範,最高可處罰該企業的全球總營業額的4%,金額之大令人咋舌。

然而何謂「跨境提供商品或服務」之定義與界線?GDPR為歐盟法案,雖然保護對象為歐盟會員國國民,但GDPR管轄界線不可能擴及全球。因此,GDPR能夠適用範圍有以下幾點:第一、個資管理者為其他國於歐盟境內的分支機構或營運據點,例如美國公司於歐洲國家所設立的子公司。第二、雖然沒有於歐盟有分支機構,但向歐盟境內個資主體提供商品或服務,而有個資蒐集處理之情況,例如歐盟民眾於自己國家境內網購美國亞馬遜網路商品。因此GDPR適用重點在於獲取或處理個資的時間點當下,個資主體是否於「歐盟境內」。

根據以上GDPR的適用定義,台灣產業會受到衝擊的,首推與網路與數據科技連結較深的產業,例如航空業、電子商務、電信與旅遊業。我國企業多為中小企業,需要政府積極因應與準備應對措施,輔導我國企業符合GDPR的規範,以避免遭受巨額罰款,連帶影響我國與歐盟的經貿關係。

GDPR法案亦有規範第三國訂定個人資料交換之具體要件,要求非歐盟國家遵守個資保護之規範,並藉由適足性認可審查方式,間接使得非歐盟國家能夠符合歐盟個資保護的要求。若要滿足歐盟GDPR的適足性要求,則需要各國政府或機構能夠提出完善的個資保護制度,尤其是在歐盟境內個資轉移至境外其他地區的相關措施。

亞洲鄰近國家中,日本已經於GDPR實施之後,提出許多對應方案、法規修訂,並且積極取得歐盟的適足性認可,以減少GDRP對於日本產業之衝擊,足以供我國借鏡。日本政府因應全球化個資保護的策略,有以下三點:第一、修改個資法,強化個資主體的權利,並且加入跨境傳輸之相關規範,於現有制度上建構較為嚴謹的法規,如敏感性個人資料、匿名加工資料或是個人資料庫等規定,其規範均與GDPR之要件相當,甚至採用更高標準制定規範。第二、建立第三者獨立機構,負責個資使用監督、諮詢與擬訂個資保護施政方針。第三、鼓勵企業等民間組織制訂自主管理規則,設立非官方的自主監督組織,負責與其他國家適足性認可的相關業務。

檢視我國個資法、歐盟GDPR及日本個資法規之規範落差,儘管我國個資保護之相關規範已十分嚴謹,但仍是以法律與政府措施為主,民間機構與企業自主性提高個資保護之措施與規定,實有待政府與民間積極落實與配合。此外,我國當前對於如何因應歐盟GDPR所提出的個資跨境傳輸、獨立個資保護監管機構、及如何取得適足性認定等問題,尚未建立具體詳細的實施方針與訂立相關細部規範,此皆有待政府積極協助與推動。

惟鑒於歐盟GDPR法案對於我國金融、電子商務與航空旅遊業的影響,政府短期內應透過輔導方式,讓我國企業針對個資保護之相關規定有其認識,避免牴觸GDPR之違規事項與罰款;中長期則應規劃我國個資法規之修改方向,參考世界個資保護之最新趨勢與作法,將其個資保護立法之精神與用意,新增至我國個資保護相關法規,提升我國個資保護之水準至國際先進國家之列。

#資料 #機構