提供跨國一致的個資法規
根據歐盟基本權利憲章與歐洲聯盟運作條約規定,任何人均有保護其個人資料之權利,早在1995年10月24日,歐洲議會及歐盟理事會就已制訂歐盟指令第95/46/EC號等個資保障法規,到了於2016年4月27日,則通過新的歐盟規則第2016/679號,即這次要介紹的一般資料保護規定(General Data Protection Regulation,文中簡稱GDPR)。
1995年通過的法規在法律位階上屬於綱領(Directive),歐盟會員國可依各國情況,自行制定法規與措施,會導致各國規定不一樣的情況。GDPR除了規定更加嚴謹外,法律位階則屬於規定(Regulation),在經過歐洲議會與歐盟理事會決議後,將直接套用於歐盟各會員國,能夠解決各國之間規定差異問題,有助於簡化跨國企業法務運作。
全球企業都需遵守
值得注意的是,即便企業以跨境方式提供服務或商品,並沒有在歐盟境內設立機構,但只要過程中涉及蒐集、處理歐盟公民的個人資料,就在GDPR的規範下保障。
在這個規定之下,首當其衝的企業就是如Google、Facebook等跨國網路服務業,他們不但直接向歐盟公民提供服務,也因為經手大量牽涉個資的業務,而成為最需關注法規的企業。
金融業、航運業、連鎖飯店等企業,也有很大的機會接觸到歐盟公民客戶,另外如果企業網站會提供歐盟公民瀏覽,並且會在過程中蒐集、處理歐盟公民資料的話,也需要遵守GDPR,以確保歐盟公民個資的安全。
個資的定義相當廣泛
GDPR對於個資的定義相當廣泛,只要任何與自然人身份有關,或是可以用於辨識自然人的資料,都屬於個資。
在這樣的認定之下,例如IP地址、員工資料、銷售資料、客戶忠誠資料、客戶服務資料、顧問意見表、地理資料(如居住地址)等,都算是個資,其他如生物特徵(如指紋、虹膜資料)、個人健康資料、財務資料,甚至是閉路電視的影像,也都屬於個資範疇。
在Microsoft發行的GDPR Overview白皮書中提到,GDPR對於個資的定義實在相當廣泛,以至於「不包含當事人的照片」,也可能因為其他與當事人有所關連的資訊(如風景),而被歸類於個資。此外就算個資經過匿名化(Pseudonymize)處理,只要處理後資料仍指向、可分辨出當事人,也會被認定為個資。
GDPR的主要概念
根據Microsoft所提供的Beginning Your GDPR Journey白皮書所整理出的資料,GDPR的6大原則分別如下:
1. 要求個人資料的處理和使用過程必須透明。
2. 將個人資料的處理限制在特定、正當的目的。
3. 將個人資料的蒐集和儲存限制在預定目的。
4. 讓個人能夠更正或要求刪除其個人資料。
5. 將個人識別資料的儲存限制為僅基於預定目的且有必要時才儲存。
6. 確保個人資料有使用適當的安全性做法加以保護。
根據這些相關原則,個人有權知悉企業或組織是否正在處理其個資,並有權瞭解個資運用之目的。同時個人除了能夠要求刪除或更正個資,也能要求不再處理個資、反對直接行銷,以及針對特定目的撤銷個資使用授權。
當企業或組織在處理個資的時候,除了需要依據相關法規(以及額外針對保護孩童的同意規範),也需獲得個人在「出於自由意願、具體明確、充分知情且清楚明白」前題下的同意。
企業或組織必需評估執行專案對隱私的影響,且視需要採取對應的保護措施,並妥善保存處理處理個資的同意書以及符合 GDPR 規範的記錄。
GDPR也要求企業或組織必須依照敏感度保護個人資料。如果發生個資外洩事件,資料控制者需在72小時內通知主管機關,如果外洩的資料將導致個人的權利和自由面臨高度風險,企業或組織需即時通知受影響的個人。
鉅額罰金足以產生威嚇
由於GDPR的規範並非一次性性質,而是持續進行的程序,所以企業需要不斷檢視自身的資料保護措施是否完善。
GDPR會要求企業員工超過250人,且核心業務涉及到對歐盟公民個資處理的大型企業設置資料保護長(Data Protection Officer,DPO)的職務,DPO需要依法履行職責,若企業違反GDPR,DPO也將被追究法律責任。
如果發生個資外洩事件,則會依情節處分同程度的罰款,例如沒有合法理由,拒絕使用者刪除個資,沒有設立個資保護措施等情節較輕者,可能被處以高達歐元1, 000萬元(約合新台幣3.6億元)或全球營業額2%的罰款(取其較高者,下同)。若情節嚴重的話,例如:非法處理個資、沒有合法理由即拒絕停止處理個資、沒有任命資料保護長、違法向第三國傳輸個資、個資外洩後沒有及時通報主管機構等等,罰款金額可能會調高至歐元4, 000萬元(約合新台幣7.2億元)或全球營業額4%,罰款金額相當可觀。
成為勒索犯罪的目標
在筆者先前撰寫的文章中,提到2018年的網路犯罪趨勢,除了勒索病毒仍然橫行之外,GDPR也可能成為新的勒索因素。由於企業違反GDPR將處以高額罰金,可能會讓犯罪集團竊取企業資料,並以外洩客戶個資為由,向企業勒索贖金。
但筆者認為這並不是企業能夠杯葛GDPR的正當理由,在網路與雲端服務普及的今天,網路、新創企業除了遊說政府鬆綁監管法規之外,也應有保護客戶個資的社會責任,並透過強化資安措施的方式來避免成為勒索的目標,才是解決問題的根本方法。
加入電腦王Facebook粉絲團