2019年7月英國航空因違反歐盟個資法 GDPR(一般資料保護規則),遭英國主管機關 ICO(Information Commissioner's Office,ICO)以大量旅客信用卡及個資遭駭導致個資外洩為由,以英航2018年全年營收的1.5%計算,判罰1.83億英鎊 (約新台幣71億元),是自 GDPR實施後鉅額罰款的判例之一。
數位時代下,網路應用使資訊傳遞無遠弗屆,資訊產出量也呈現指數成長,資料成了現代石油,且取之不竭,而數位化資料因方便存取的特性,若未做好存取控制,有導致大規模外洩並產生重大衝擊的可能。為此,各國政府持續更新或推出網路安全及資料保護相關規範,例如中國網路安全法、越南網路安全法、日本個資法等,而號稱地表最嚴個資法歐盟 GDPR(通用資料保護規則)於2018年5月正式實施,所定義的個資範圍更擴大到涵蓋瀏覽器中的cookie、IP位址等可進行個人身分辨識(Personally Identifiable Information,PII)的資料,究竟 GDPR實施後對台灣企業的影響範圍為何?該如何因應?
一. 誰受 GDPR管轄
- 在歐盟境內設立分公司、子公司或據點。
- 雖無據點,對歐盟境內資料主體提供商品或服務。
- 雖無據點,為歐盟企業處理個人資料或提供有關服務。
因上述情況且取得來自歐盟之個人資料的企業,就有可能受 GDPR所規範
二. GDPR重要影響面向: 5業、3權、4D
- 5業-持有大量個人資料 (B2C企業)
台灣受 GDPR影響較大的是擁有大量個資的B2C模式的業者,當中尤其以金融、航空、電信、科技、旅遊業這五類產業最需留意觸法可能,且旅遊業相較之下有許多中小企業,因法遵投入資源及嚴謹程度相對較弱,更需留意 GDPR所帶來的衝擊影響,避免踩到紅線。
- 3權-強化資料當事人權利
(1) 刪除權/被遺忘權 (Right to be forgotten)
增加資料當事人的資料刪除權利,可讓資料當事人要求資料控制者抹除其個人資料、停止使用個資。歐洲法院過去已 有判例裁定個人可以要求搜尋引擎從包括「不相關」 或「過期」的個人資訊結果中移除連結,例如: Google 在西班牙的案件,西班牙一名男子要求 Google 刪除他過去財務困難的紀錄,並獲得歐盟法院裁決勝訴。
(2) 反對權 (Right to object)
當事人有權拒絕對自動化決策或以任何形式評估個人特徵之建檔行為,在隱私聲明權中被告知有權選擇停用自動化分析,例如個人信貸評分。
(3) 個人資料可攜權 (Right to data portability)
當事人有權要求以結構性、通用的、機器可讀形式,接收其原提供予控管者之個資,並有權傳輸予其他控管者,增加能在不同服務之間移動個資的權利。
- 4D-增訂資料控制者、處理者義務
(1) 資料保護長 (Data Protection Officer ,DPO)
組織若有大量系統化處理個人資料或大量處理敏感性個人資料,必須指派一個或多個具有隱私法和實務專業知識的資料保護官參與所有涉及個人資料保護的議題。
(2) 隱私權保護設計 (Data protection by design)
為保護資料當事人的權利,從產品/服務設計之初即應考量隱私資料的保護(例如: DevSecOps),並須確保考量個人資料蒐集最小化原則 (Data Minimization)。
(3) 資料保護衝擊評估 (Data Protection Impact Assessment, DPIA)
資料處理、利用行為如有法定要求,或涉及高風險,抑或處理方法顯著變更時,須進行衝擊影響評估,辨識業務活動牽涉個資之風險及可能影響。
(4) 資訊外洩通報 (Data Breach Notification)
發生個人資料外洩事件時,企業須於知悉後72小時內主動通報主管機關,若對資料當事人有重大影響之虞,亦應及時通知資料當事人。
三、如何因應
COMMENTS