歐盟一般資料保護規則對我國產業之影響


黃沛聲律師/李蒂娜/王芊茵


究竟,在數據就是黃金的時代,要如何在個人資料的數據分析及使用者人權的保障上取得平衡呢?
企業又該如何因應個資保護法規越來越嚴格的告知義務等要求呢?


隨著網路產業、大數據及AI產業的發展,誰握有更多數據,誰就能比別人更探得先機。也因此,使用者的個人資料、數據逐漸變成兵家必爭之地,各家企業無不想盡辦法要從自己的消費者手上得到更多個人資料,無論是網路足跡、消費傾向、興趣、所在地等等的資料,都是企業想要從消費者身上得到的資料。

究竟,要如何在個人資料的數據分析及使用者人權的保障上取得平衡呢?

以下將對歐盟即將於今年5月25所施行的一般個人資料保護規則(General Data Protection Regulation, GDPR)進行簡介:


背景資料
歐盟挾其龐大市場,為貫徹歐洲聯盟基本權利憲章(Charter of Fundamental Rights of the European Union)及歐洲聯盟運作條約( Treaty on the Functioning of the European Union)中對於個人資料保護之相關原則,在105427日通過GDPR,提高法律遵循(Regulatory Compliance)標準,對於企業個人資料蒐集、處理及使用加強約束,並對違反者課以鉅額罰款,希望透過嚴峻立法,達成個人資料保護之目的。

誰會受到GDPR的影響?
重創者首推無法取得個人資料就無法經營,高度倚賴個人資料的企業,基本上來說,涵蓋層面以直接面對消費者(Business to Consumer,B2C)之商品或服務企業為主,航空公司、快遞公司、電子商務網站等無一倖免,大企業當然在列,而小企業,也無法置身事外。



從服務業的角度而言,航空公司、旅行社等提供航空服務或售票給歐盟居民(如中華航空、長榮航空),快遞公司快遞信件給歐盟客戶(如中華郵政)都在蒐集、處理及儲存歐盟居民一般個人資料。




電子商務型商品、服務銷售。例如歐盟居民在AcerASUS網站上加入會員、購買電腦,甚至是在實體店面購買電腦產品後,填寫實體保固卡寄回AcerASUS或在登錄平台上填寫後上傳,AcerASUS也在蒐集、處理、及儲存一般個人資料。



又如台大、長庚等醫療院所、Garmin智能手環資料上傳雲端伺服器等均在蒐集、處理及儲存與基因、生物資料或健康相關之敏感性特種個人資料,如果有歐盟因素,當然也會受到GDPR的影響。因此,GDPR的影響層面可謂無遠弗屆。


GDPR簡介
(一)從「指令」到「規則」



GDPR共分成1199條條文,取代原來的個人資料保護指令(Directive 95/46/EC,共65條),指令(Directive)與規則(Regulation)的差別在於指令通常為原則的表彰,仍有待各會員國將該等原則具體化成為條文。因此,各會員國使用之方式、同一名詞解釋、申請程序、罰則等可能不同,規則是直接一體適用於各會員國的規定,成為歐盟市場單一法規,同一解釋,免除配合每國規定之繁複程序,節省成本,並且透過各國主管機關組成歐盟資料保護委員會(European Data Protection Board)確保規則適用的一致性。

(二)個人資料有幾種?



我國個人資料保護法在立法時也參考了Directive 95/46/EC,在定義部分沒有就個人資料加以類別,而是以對於蒐集、處理或利用採取寬嚴不同的規定區分,一般分類為一般個人資料及敏感性特種資料,GDPR仍採取此種方式,沿襲既有之區分方式分類如下:
1.     一般個人資料:包括姓名、身份證字號、地址、網路相關識別資料(如IP)等
2.     敏感性特種資料 :包括種族、政治傾向、宗教、商會成員、基因、生物識別、健康狀況、性生活、性傾向、犯罪紀錄。

(三)誰要被約束?



GDPR對於規範對象,除了屬地原則外,兼採屬人原則,基本原則在於歐盟因素,也就是說,在歐盟設有據點的,當然就要受拘束,在歐盟沒有據點的,在處理之個人資料涉及歐盟居民也可能要受GDPR拘束。約略歸納如下:
1.     在歐盟設有據點之資料持有者(controller)或處理者(processor
2.     在歐盟無據點之資料持有者或處理者,但有下列情形之一者:
(1)  提供歐盟居民服務或商品
(2)經常性監看在歐盟的自然人之個資

(四)資料主體(Data Subject)可主張何權利?



資料主體所能主張的權利,從另外一個面向來說,就是資料持有者或處理者的義務,區別主要在於發動者為何人,資料主體權利就是在權利主體提出要求時,資料持有者或處理者,除非有正當理由外,就得提供符合資料主體要求的資料,至於相關程序將於因應作為部分詳述。
GDPR為強化資料主體的自決權,在第三章裡介紹了資料主體的權利,由於有些權利概念上有所重疊,因此,說明及整理如下:
1.     資訊權:資料持有者在取得資料時必須提供資料持有者、個資保護長、處理個資之目的及法律基礎等之相關資訊,如果資料並非直接從資料主體蒐集取得,必須告知資料主體取得來源等資訊。

2.     接近權(Right of access):
資料主體可要求資料持有者確認個人資料有無被處理,若有,目的為何?可要求資料持有者告知處理了哪些個人資料、資料主體要求修正及刪去之權利、救濟管道等資料。

3.     修正權(Right to ratification:
資料主體對於不正確之個人資料可要求修正,對於不無整之個人資料可要求使其完整。

4.     刪去權(Right to erasure):這個權利又稱為被遺忘的權利(Right to be forgotten),歐盟人權法院2014513日做成的判決始次使用於搜尋引擎,歐盟人權法院向認為人權在網路上也應該得到同樣的保護,GDPR中也給予更詳細的規定,對於包括個人資料已經不再需要、資料主體撤回同意、資料被非法處理等理由。

5.     反對權(Right to object):
資料主體可隨時反對資料的處理,資料處理者非有重大法律上理由,必須停止處理,包括反對個資的分析與與側寫(
Profiling)、反對共用。也就是不同意業者將取得之個人資料提供給其他業者使用,或者是對於個人資料進行分析進行行銷策略的研析。

6.     資料可攜式(Right to data portability:  資料主體可要求資料持有者以電子可讀方式提供所持有之資料主體資料,讓資料主體可以提供給另一個資料持有者或是要求資料持有者將個人資料提供給另一個資料持有者。例如,門號使用者將個人資料攜至另一個電信服務業者、患者要求醫院將相關病歷提供給另外一家醫院等。

(五)資料持有者或處理者的責任?


   

整個GDPR都在確保個資的安全處理,在第24條明確規定要求資料持有者在技術上及組織層面上,採取適當措施確保並證明個資處理依據GDPR相關規定。比較具體的規定如下:
1.     個資安全處理: 資料持有者必須確保
2.     個資外洩通知義務:
3.     個資保護內建及設計
4.     個資保護影響評估
5.     個資管理者

(六)罰則



 那麼,企業又該如何因應GDPR 所帶來的影響呢?將會在下篇文章中進行說明。