原标题:【只要手上有欧洲民众个资,不论大小企业都需合规】欧洲最严个资法GDPR来了,你只剩9个月能因应
号称是有史以来,外泄个人资料罚金最高、个资涵括范围最广,以及处罚规定最严格、罚金最高的“欧盟通用资料保护规则”( EU△General△Data△Protection△Regulation,GDPR),即将于2018年5月25日正式实施。
剩下不到九个月的时间,不管你的公司或组织是否座落在欧盟共28国境内,只要你的网站或服务会提供欧盟民众浏览使用,或者是会搜集、处理和利用欧盟公民资料的企业或组织,都将强制遵守这个欧盟新版个资法的规定。
一旦爆发有欧洲民众的个人资料遭到外泄,外泄的企业或组织,除了必须要在72小时内通报资料保护主管机关(Data△Protection△Authority)外,更有甚者,依照外泄个资情结轻重,还可能被罚款1千万欧元(新台币3.6亿元)或全球营业额2%作为罚款,或者是被罚款2千万欧元(新台币7.2亿元)或全球营业额4%作为罚款(取其金额较高者,作为罚款)。
这股来自欧洲的法遵压力早就悄悄吹进台湾,除了早就主动因应欧盟法遵要求的少数跨国企业之外,第一波感受到这股法遵压力的产业,大致是以航空海运货运承揽业、连锁饭店业、高科技制造业和金融业,以及有设立欧洲分公司或子公司的企业为主。
反倒是许多具有会员申请功能的电商网站、网络服务,几乎没人意识到GDPR的严重性。
因为一旦你的网站有欧洲民众来申请,留下了他们的个资,不论是否在欧洲设立公司,网站负责企业、组织或政府单位,都在循欧盟通用资料保护规则的规范范围。当然,不只台湾,全球都得面临GDPR的规范和冲击。台湾勤业众信风险咨询顾问公司总经理万幼筠甚至直言说:“GDPR就是欧盟对世界各国的资料保护规定。”
台湾勤业众信风险顾问公司总经理万幼筠表示,欧盟通用资料保护规则(GDPR)其实就是,欧盟对世界各国的个资保护要求,所有只要有机会搜集处理和利用欧洲民众资料的企业组织甚至个人,都受到该法规的规范。
为何欧盟GDPR有这么大的威力?
为什么一个效力及于欧盟28个成员国的规章(包含已经从2017年3月29日已经启动脱欧程序的英国),会有这么大的影响力?世界各国都必须重视这样的规章呢?
最重要的原因当然和经济实力有关系,欧盟目前人口超过5亿人,是全世界人口密度第三高的经济体;人口多表示具有购买力,全球购买力排名第18名。
加上欧盟长期以来的传统,向来关注民众的个资隐私保护,也使得欧盟通用资料保护规则(GDPR)从2016年5月25日正式生效,并给欧盟各国2年的缓冲过渡期,预计在2018年5月25日正式实施。
欧洲传统对于个人隐私保护的规范就相对其他国家严格,1953年9月生效的“欧洲人权公约”中的第8条,就是明确规范保障隐私权的条文,条文中便规定:“每个人的私人及家庭生活、其家庭以及其通讯隐私的权利与自由必须受到尊重,若需要对此做出限制,则必须符合法律规定且为民主社会所必需。”
欧洲人权公约显示欧洲民众对个人隐私保护悠久的历史,到了1995年则制定了欧盟个人资料保护的法规基础“欧盟个人资料保护指令”(EU△Directive△95/46/EC△: the△Data△Protection△Directive),这也是欧盟后来许多个资保护相关法律规范的基础。
不过,随着科技进步,欧盟执委会也发现原本的欧盟个人资料保护指令已经不符所需。
因此,欧盟执委会便在2012年1月,希望可以提出新版的欧盟通用资料保护规则(GDPR),作为可以整合欧盟个人资料保护指令、欧盟电子通信隐私保护指令(EU△Directive△2002/58/EC△: Privacy△and△Electronic△Communications)和欧盟指令EU△Directive△2009/136/EC的新版法规。
不过,因为GDPR对于欧盟公民个资和隐私保护的规范相当严格,更因应科技发展,纳入以往不曾视为个资的IP位址和Cookie等内容,这也造成许多科技公司在经营和应用上可能面临的困难,许多科技公司也都通过各种游说方式,希望可以降低相关的冲击。
欧洲议会在经历过4年的讨论后,最后在2016年4月27日通过GDPR,并于2016年5月25日生效,2018年5月25日全面实施。台湾BSI总经理蒲树盛说:“GDPR在全面实施之前,原本的欧盟个人资料保护指令仍然适用,”
蒲树盛进一步解释,以往欧盟通过与个资隐私保护的指令(Directive),在欧洲议会通过后,仍须由各国制定相关的国内法作为因应,也容易出现在程上和内容上无法配合或有出入的状况。因此,欧洲议会这次通过的欧盟通用资料保护规则,则希望通过提高管理强度,将以往必须各国制定国内法配合的指令,提高为全欧盟会员国都可以直接适用的规则(Regulation)。
蒲树盛强调,欧盟这个直接适用全部会员国的规则,各国国会不需要对此内容另外进行立法,反而要针对各国原先的个资或隐私保护的法律规章进行修正调整,使各国的法律条文都能够符合GDPR的内容规范。
“这也是为什么GDPR在2016年5月25日生效之后,还会给包含英国在内的28个欧盟会员国2年缓冲期,作为法规调适的时间。”他说。
美国例外,改用隐私盾协议取代GDPR来管欧美跨境个资
虽然这是欧盟制定的法规,但法规适用涵盖的范围很大,几乎是全球各国都适用,其中唯一的例外就是美国。
诚如GDPR公布时的内容说明所示,世界各国并未包含美国在内,美国先前和欧盟资料保护的法律参考依据,原先是以2000年签订的安全港(Safe△Harbor△)协议为主,但2015年10月欧洲法院判定安全港协议并无法确保欧洲民众的隐私而宣布失效,最后则改由2016年7月签订隐私盾(Privacy△Shield)协议,到2016年第三季后,美国与欧盟双方跨大西洋的资料传输的法律准则,都以隐私盾协议为主。
万幼筠进一步解释,由于美国各州都有隐私权的规定,但对外主要都是由美国联邦政府代表各州政府,对外和欧盟签订与欧洲民众资料保护相关的协议,作为欧洲民众个资从美国和欧盟进行跨境传输的法律参考依据,但相关法律适格并没有改变。
目前隐私盾协议算是一个变通的应变措施,不仅定义了横跨大西洋资料流的框架,更成为欧盟要求美国企业必须致力保护欧洲民众个资的法律参考依据,美国也设置美国商务部及美国联邦贸易委员会(FTC)作为额外监督和执行单位。
由于隐私盾协议不仅规定,对于获取欧盟包括个资在内的资料监督的局限性和要求,万幼筠指出,该法更加重视组织透明度,也为针对个资保护有隐忧而提出投诉的欧洲民众,创造了争议解决途径。“总体而言,隐私盾协议是比安全港协议要严格得多。”他说。
只不过,在遵守隐私盾协议的过程中,对于要遵守该协议的美国企业而言,也必须做到自我认证(Self-Certification)以及验证(verification)的部份。
万幼筠表示,尤其是对于一些原本并没有任何隐私政策规范的美国企业而言,如果要想和欧盟任何一个国家做生意,不仅要做到公司系统的调整,连企业文化也都必须要重新翻转成看重资料和隐私保护才行。
GDPR是以资料为中心的资料保护规则,不论公司大小都要遵守
“欧盟通用资料保护规则GDPR,是一个以资料为中心的法规,”台湾微软法务长施立成说道。
他进一步表示,只要是属于欧洲民众的个资,不管是在台湾的任何一家公司、组织,甚至是各种网络服务业者,也不论公司规模大小,甚至也不管是提供付费或免费服务,只要有针对欧洲民众个资进行相关的搜集、处理或利用,不管这些单位是不是在欧洲有设有据点,一律都必须遵守GDPR对于资料保护的相关规范。“GDPR是在界定个人隐私权,以及个资保护的重要里程碑。”他说。
也因为只要有可能处理到欧洲民众的个资,都必须遵守GDPR的官定,台湾勤业众信风险管理顾问公司协理林彦良表示,即便远在亚洲的台湾,包括高科技制造业、品牌业者(3C产品或是脚踏车都是)、空运海运货运承揽业者、国际连锁饭店、电子商务、金融业甚至是医疗服务业者等,因为都有机会搜集、处理和利用到欧洲民众的个资,也都必须设法落实相关的法规遵循。
林彦良以台湾的金融业者为例,多数都在英国伦敦和美国纽约、洛杉矶设置分行,目前只有兆丰银行有法国巴黎以及荷兰有分行;合作金库则在比利时设分行,兆丰银行和合作金库则是直接受到GDPR影响的金融业者。
不过,要拥有多少比例以上的欧洲民众个资,才会强制受到GDPR规范呢?
林彦良指出,在GDPR规定中,企业所拥有的欧洲民众个资数量,必须符合一定的比例原则,不会整个100GB的资料库,只因为有一笔欧洲民众个资,就以GDPR最高的资料保护等级,作为该公司搜集、处理和利用欧洲民众个资的方式。
但是,他指出,因为目前GDPR并没有一个明确的比例数字可以作为参考,可能都仍得看各国调适的法规中,是否有相关的规定。
台湾微软法务长施立成指出,要因应GDPR法遵要求是一件高难度的工作,连微软都出动全球法务部门,前前后后总共花了一年多的时间,从头检视所有合约,才有办法做到符合GDPR法遵规定。
因应科技发展,新版个资纳入Cookie和IP位址等内容
但那GDPR究竟是什么呢?
林彦良表示,从框架来解释,GDPR适用的主体包括自然人、法人、公务机关、机构和其他组织,可以分成资料的控制者(Data△Controller)或资料的处理者(Data△Processor);规范的客体就包括“全部或部分以自动化方式搜集、处理或利用的个人资料。”
他举例,最明显的例子就是,因应科技发展修正了个资的定义,包括:Cookie、IP位置、GPS定位等等,都属于新增的个资项目;-新增以往没有堤过的“去连结”(Pseudonymisation)资料的定义,并强调不可回复的去识别化资料定义。
至于,GDPR规定适用的地域范围,林彦良指出,不只包括设立在欧盟境内的资料控制者,或是资料处理者所进行的个资处理活动,不管处理个资的活动是否发生在欧盟境内都算。
当事人和组织在符合GDPR的规范上,有不同的切入点,施立成也从个人隐私、控管与通知、透明政策以及IT和培训等4个面向,解释GDPR的特色。他表示,GDPR强调许多当事人(Data△Subject)的权利,主要包括个人有权取得个资、更正错误个资、删除个资、反对个资控制者或处理者处理当事人个资,甚至是转移当事人个资等,在个资转移的部份也和跨境传输以及资料可携性有密切关系。
至于组织可以扮演控制者或处理者的不同角色,在负起控管和通知的责任面向上,施立成表示,组织必须使用适当的安全措施保护个资;外泄个资时,必须在72小时内通报个资主管机关;当事人必须同意组织使用其个资;所有个资处理细节的纪录,都必须详细保存。身为资料控制者的角色时,有义务重新清楚定义委外合约的权利义务和角色。
此外,施立成认为,组织也必须要有透明的个资保护政策,必须提供当事人明确的资料搜集通知,并明确说明资料处理目的及使用情况,也要定义资料保存和删除政策;“同意书要做到像是白纸黑字写下来一样的清楚,才是重点。”他说。
因为GDPR是更严格的个资保护规范,他也提醒,组织也必须要培养全公司员工都具有隐私保护的意识,也必须定期稽核和更新资料保护政策;必须聘雇新的资料保护长(DPO),也必须重新检视相关的合约规范是否合乎GDPR规定。
像微软也是云端服务供应商,就必须重新检视所有与客户之间的合约。
施立成说:“这是一个非常高难度的工作。”连微软都出动了全球法务部门同仁,花了一年多时间,全部重新检视相关的合约内容,才能确保今年9月1日起,微软Azure云端平台和Office△365云端服务的线上合约,都能符合GDPR的规范。
欧盟通用资料保护规则GDPR的法规遵循的难度,可见一斑,对大型企业或跨国服务供应商更是如此。
到明年5月25日正式生效之前,只剩下不到9个月,企业或网站主们,是时候该好好思考,要如何因应GDPR了。
?
?欧盟GDPR发展时间表?
?1995年?? ??
欧盟颁布“欧盟个人资料保护指令”
?2000年 ? ?
美国联邦政府代表各州与欧盟签订“安全港协议”,规范欧美个资跨境传输
?2012年 ? ? ?
欧盟执委会提案修法,整合包括欧盟个人资料保护指令在内的规章,因应个资保护的数位新挑战
?2015年10月 ?
欧洲法院判定“安全港协议”失效
?2016年??
欧洲议会4月27日通过GDPR,5月24日正式生效
?2016年7月?
?欧美个资跨境传输以“隐私盾协议”取代“安全港协议”,毋须符合GDPR规范
?现在
1. 欧盟各国个资保护规范仍适用“欧盟个人资料保护指”,需调整国内法规以符合GDPR规范
2. 英国虽启动脱欧程序,仍会调整英国法律与GDPR规范相符
?2018年5月25日
GDPR将在欧盟28个会员国正式实施
资料来源:台湾勤业众信,台湾BSI,iThome整理,2017年9月
iThome△Security
相关:
台大医院跨国研究报告 幽门杆菌抗药性升高 政府应拿出因应之道
我酷新闻网记者黄兴文/台北报道随着抗生素的大量使用,细菌的抗药性日益强大也成为医界棘手的问题。台大医院昨(14)日发表跨国研究发现,因抗生素使用过量使得幽门杆菌抗药性提高,令以往常用的克拉霉素及左氧氟沙
图片来源: Apple 苹果周二(9/12)更新旗下多款硬件装置,从iPhone、Apple△Watch到Apple△TV。此次苹果发表了3款iPhone产品,其中,被视为iPhone十周年纪念版的iPhone△X采用全玻璃设计,配备5.8英寸荧幕,且要价高
挟教育市场大卖气势,Google企业版Chrome OS来了,内建VMware和微软AD
Google周二推出专为企业用户设计的作业系统Chrome△Enterprise,并整合了VMware及Microsoft△Active△Directory等多项企业服务。?Chrome△OS△自2009年推出后,颇受教育市场欢迎,此外也通过Chromebook、共享Chrome装
实时热点 凉山州越西县政府工作人员和12名孩子的监护人来到这里,要强行将在这里训练的格斗孤儿带走。 ▲ 现场抹眼泪的孩子们 恩波俱乐部一共有18 名来自凉山州...格斗孤儿:终于被「逼回凉山」 昨天,成都恩波俱乐部
汇流新闻网记者苏元和/台北报道2017世大运18日开跑至8月30日止,高速公路局配合主办单位实施国道疏运措施,包括警车前导世大运接驳车行驶路肩、国1南下杨梅至竹北路段暂停开放路肩及加强匝道仪控管制,交通部吁用路