本文發表於經貿透視489期,2018年3月
歐盟新的隱私保護法律規範「個人資料保護規則(the EU General Data Protection Regulation,以下簡稱 GDPR)」,將於今年5月25日將正式全面實施,任何與歐洲客戶有生意往來的企業,無論其規模大小或其根據地所在,均可能受GDPR的規範。違反GDPR罰鍰高達企業年營收4%或2,000萬歐元,嚴格、複雜的規範與高額的裁罰,使得歐美大型企業早已投入大量成本進行法規遵循工作。台灣企業經營者雖然可能幾年前才剛受到個人資料保護法施行的洗禮,但其中仍存在不少規範上的差異,且因其打擊面較廣,千萬別因我們距歐洲十萬八千里而輕忽了。
什麼是GDPR?
GDPR是歐洲議會與歐盟理事會於2016年4月通過的隱私保護法律,主要目的在於提供歐盟人民對個人資料蒐集、處理與利用有更廣泛的控制權。相較於過去歐盟各國有關個人資料保護法律(主要是依據歐盟1995年隱私保護綱領制定),GDPR對於個人資料有更廣泛的定義,任何與識別自然人相關或足以識別自然人的資料,甚至包括IP位址都是個人資料;對於敏感性個人資料諸如種族、政治傾向、身心健康情形及過去的犯罪紀錄,則受到更高度的保護。而個人資料的蒐集除須有法律上或合法的原因外,僅限於蒐集最小且必要的資訊,並於目的達成時應將個人資料刪除。值的注意的是,GDPR不像一般常見的歐盟指令,需要由歐盟各成員國內國立法或修法,而是直接適用於各個成員國,雖然嚴格,某程度也降低業者在歐盟不同國家面對不一致法秩序的困擾。
GDPR適用的對象
依GDPR第3條適用範圍的規定,無論針對個人資料的處理活動是否發生於歐盟境內,只要個人資料的控管者(controller)與處理者(processor)的分支機構設置在歐盟領域內,就有本規則的適用。即使控管者與處理者並非設立於歐盟境內,如果此一控管者或是處理者對於歐盟境內的個人資料主體提供商品或服務(不問是否需要付費),或監控資料主體於歐盟內所為的行為,仍有本規則的適用。至於非於歐盟境內設立機構,如依照國際法應適用會員國法的領域(如會員國在外國的使領館),亦有本規則的適用。
亦即,即使不是歐盟的企業,只要對歐盟成員國的人民提供服務,就必須遵守GDPR的規定。然而,如果對歐盟成員國人民的服務,僅占企業營業的一小部分,也必須要付出昂貴的成本遵循GDPR嗎?依照GDPR的規定,在決定控管者或是處理者是否為歐盟境內的人民提供服務時,應確認控管者或處理者是否設想(envisages)將服務提供予歐盟人民服務。如果只是在歐盟境內可以拜訪該網站,或該服務使用的語言是控管者設立地點的第三國語言,都不足以確認有對歐盟人民提供服務的意圖。但如果業者提供的語言、使用的貨幣,依一般觀念會認為欲使歐盟會員國的人民有機會向其要求提供商品或服務,則可能會被認定控管者顯然設想對歐盟境內的資料主體提供商品或服務而須適用。例如,台灣企業網站若有因應潛在的歐盟成員國消費者而提供德語、法語等語系界面或客戶服務資訊,即會受到GDPR的規範。
GDPR的保護範圍
過去我們的理解是個人資料保護,原則僅適用於可直接或間接識別當事人之資訊,只要是匿名資訊(anonymous information),即不需處理個人資料保護的議題。然而,GDPR嚴格限縮匿名資訊的範圍,必須是使用各種合理的方法,仍無法從資料中辨識個體身份,才會被認為是匿名資訊。如匿名資訊可透過使用額外資訊而識別出當事人身分時,仍會被認為是得識別當事人的資訊(即仍屬個人資料)。企業若是認為是以「去識別化」的方式取得或蒐集個人資料,仍須嚴格檢視所蒐集的其他資訊,是否因為資料過於特定或特殊,而可能標定出屬於特定個人的身分,以避免誤踩GDPR的紅線。
對於「同意」的要求
GDPR要求蒐集個人資料時須取得當事人明確、積極的個資蒐集、利用同意,因此,像是預設消費者同意(opt-in)蒐集,不同意則須為反對的通知,或是消費者單純沈默沒有表示反對意見,在GDPR的規範下都不構成當事人的同意,故企業無論是網站、APP或文件的設計,都必須配合調整。且個資當事人即使已同意蒐集,亦可隨時撤回,企業並應對撤回同意給予取得其同意同等的便利方式。為了避免企業在與消費者締約時,強制或使消費者無法拒絕表示同意,GDPR亦規定如果同意事項並非履行契約所必要,卻將個人資料的同意與履行契約及提供服務綑綁時,應推定該同意不具有自主性。這種商品或服務常見取得個資的手法,都將可能面臨推定其未能有效取得個資蒐集同意,而非屬合法取得個人資料的嚴重後果。
個資當事人的權利
GDPR詳細規範許多當事人個資權利或企業應遵循之處理原則,包括:
- 透明原則(Principle of transparency):個人資料的蒐集、利用與處理應該以方便取得、易於理解的方式為之,且關於控管者的身份、蒐集與處理資料的目的等,均應明確對個人資料當事人為告知。
- 接近權(Right of access):類似於台灣個資法當事人得請求副本的權利,使其得以瞭解個人資料被蒐集與處理的情形,即應得以容易、合理時間間隔內對其個人資料有接近的權利,以知悉並確保個人資料被企業處理、利用時亦遵守法律規範。
- 更正權或刪除權及限制處理權:個資當事人有修改或刪除個人資料的權利,或於資料的保存違反法律時有要求刪除的權利或「被遺忘」的權利,亦即當個人資料的蒐集或處理已經沒有必要,或當事人已經撤回同意時,除非另有公共利益、科學或歷史研究等考量,當事人有權請求停止對其個人資料為處理。
- 資料可攜權(Right to data portability):本項權利的目的也在使個資當事人對資料的掌控能力。當個人資料被以自動化方式處理時,個資當事人有權要求將資料取得以後再提供給其他的資料控管者;
- 拒絕權:個資當事人得隨時拒絕關於其個人資料之處理;
- 對於個人化自動決策的拒絕權:資料主體有權拒絕個人資料被企業自動化處理或決策,比如網路申請貸款被自動拒絕等,以保有個人在大數據下不被自動剖析的權利。
這些GDPR對於個資當事人權利的保護或企廠應遵循的處理原則,對於台灣廠商而言,有些是屬於較陌生的權利,必須提早預做因應規劃,才不會屆時手忙腳亂。
GDPR對台灣企業的影響
一般來說,法律的適用有其地域(國別)限制,但歐盟GDPR的制定主要即為因應網路服務蓬勃發展的環境,故將所有針對歐盟人民提供服務的企業全部列為法規適用對象,且沒有區分業者的規模大小(至多是250人以下的企業有部分少數排除條款)。對於台灣企業而言,除了在歐盟設有子公司或分公司當然會落入適用範圍外,若是有部分業務直接以歐盟成員國人民為服務對象的網路、APP、科技產品,即會因其銷售或提供服務的行為,而須適用GDPR。像是發展健康照護、物聯網設備、穿戴裝置、大數據、AI的企業,因為往往其產品或服務本身即與個人資料的蒐集、利用緊密結合,當產品可能透過經銷商或代理商進入歐盟市場時,即須更加謹慎,產品設計或商業決策時,即須評估是否有需要聘請外部顧問協助進行法規遵循事宜。
當然,不直接蒐集、處理歐盟人民個人資料的企業,所擁有的個人資料在數量與敏感度上較低,理論上比較不會成為歐盟監管機構的稽核重點。但若是與歐盟企業有各種商業往來,因為該等企業本身主體設在歐盟,本身即須整體性地遵守GDPR的規範,很可能雖然台灣廠商沒有直接適用GDPR,亦可能會因為與歐盟企業客戶締約,而因契約規範必須遵循GDPR相關標準,而需做相應調整。2018年5月25日即將上路實行的GDPR,在未來的一、二年內,顯然會是國際貿易上無可忽視的議題。
