歐盟新版資料保護法(General Data Protection Regulation,以下簡稱GDPR)將於5月25日正式生效,未來不只在歐盟境內蒐集居民資料適用,連在台灣蒐集歐洲共同體居民資料也要符合規範;GDPR更訂立罰則來強化效力,最高可處罰企業年度銷售額的4%或2,000萬歐元(取其高者),跨境電商、行動應用服務、電信、航運、旅遊業等有服務歐盟居民的業者,都應重新審視與盤點風險,提早因應。
歐盟過去對於個人資料之保護,是訂定原則性規定的指令,再由各國自己制訂專法規範,但隨著數位服務像是物聯網的數位資料傳輸、跨境電商等愈來愈盛行,比以往更需要一致的保護規則和強制效力,因此制訂GDPR,並將於今年5月25日正式上路。
在新版法令下,只要業者提供商品與服務給歐洲共同體居民,並蒐集其個人資料,無論公司是否在歐盟境內註冊或營運,都應符合個人資料處理原則。
像是電子商務、App業者、旅遊、金融、電信、航運等都要留意,而台灣硬體業者銷售歐洲時,即使是由經銷商直接服務客戶和蒐集客戶資料,但提供維修服務時有取得客戶資料者,也要注意符合GDPR規範。
GDPR設立六大個人資料處理原則:企業在蒐集客戶資料時應該要合法、公正與透明(合法公正透明原則),蒐集目的要特定、明確及合法(目的限制原則),蒐集之資料與目的要適當、相關且必要(資料最少蒐集原則),必須正確且必要時應隨時更新(正確性原則),須保存於一定形式且不長於處理目的所必要之期間(儲存限制原則),要確保個人資料適當安全、使用適當技術或組織來防止資料遺失、破壞或損害等(完整性和保密性原則)。
企業蒐集客戶資料時應遵守上述原則並負舉證責任,違反時將受處罰。GDPR罰則可分為兩大類,一類是業者在蒐集客戶資料時有主動義務,像是必須選任資料保護長(DPO)、選任歐盟代理人、設定安全規則並遵循、發現資安外洩時有主動通報義務等,若違反可處罰年度營業額的2%或1,000萬歐元,且是在兩者間取其重者罰之。
尤有甚者,已發生損害個人資料保護權利情事,像是沒有合法處理個人資料、沒有遵守告知同意條件、沒有遵循移轉個人資料的要件或是主管機關的命令等,最高將可處罰年度營業額的4%或2,000萬歐元(取其高者)。
在GDPR即將上路的此刻,建議國內企業、尤其是大規模、定期蒐集客戶資料的業者更應留意,先從風險管理與個資盤點管理開始評估,針對不同風險訂立行為準則,因應新制調整修改消費者合約等,資策會科技法律研究所近年建置與推動個資管理制度,亦可協助國內企業診斷和檢視是否符合GDPR規範。
此外,在數位服務漸趨多元的新時代,建議業者未來在設計商品與服務時,就要具備隱私意識,進行事前資料風險評估,不過度蒐集不必要的資訊。
例如,手電筒App不應要求蒐集手機通訊錄;業者也可多運用適當的資訊技術,像是假名化、去識別化等,避免資料外洩時「全都露」,不僅保護客戶個資安全,更能避免因個資外洩損傷累積不易的品牌信譽。