2018-02-26 02:13經濟日報 蔡朝安


最近大家只要打開報章雜誌或瀏覽網路新聞,就會看到有關歐盟個資保護法 (General Data Protection Regulation, GDPR)的相關新聞,GDPR看似遙遠,卻真的要來了。

歐盟個資保護法今年5月25日起,將直接適用於所有28個歐盟會員國,值得注意的是,英國尚未脫歐,因此也包括在內。

GDPR對個人資料的定義泛指所有能夠用來直接或間接識別個人的資訊,除了姓名、身分證或護照等證件號碼外,也包括所在地資訊、線上資訊,或一種或多種得以用於識別個人的任何生理、基因、心理、經濟、文化或社會身分等資訊因子。

此外,GDPR更定義了所謂敏感性個人資料,這些敏感性個人資料包含了任何得以揭露一名個人的種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、以及基因資料或生物統計資料等因子。原則上,上述敏感資料在非符合GDPR所列的情況下,企業不得進行使用或處理。

台灣有哪些企業會受到GDPR的影響呢?主要有三種,一是銷售商品或服務給歐盟居民的公司,例如網路商店或網路服務;二是公司在歐盟境內有實體營運據點的公司;三是公司的商業模式有透過網路或任何方式監督歐盟居民的個人行為,包含在網路上取得網頁瀏覽者的所在地資料、網頁瀏覽歷史資料(cookies)等。

上述三種公司,必須確保公司內部在取得與處理歐盟居民個人資料的流程符合GDPR的規定。包含:企業在處理個人資料前應取得個人真實、有效的同意;企業個資為公家機關所利用時,應設置資料保護官;歐盟居民針對其個人資料有「被遺忘權」、「更正權」、「資料可攜權」、「不受自動化決策拘束的權力」等。

違反GDPR規定,如侵害個資隱私權,企業最高可能被處2,000萬歐元,或前一年度全球營業總額4%罰鍰,視情節輕重,以較高者為準。如公司蒐集與處理個資的流程不符規定,則最高可處1,000萬歐元,或前一年度全球營業總額2%罰鍰,以較高者為準。

特別要提醒上市櫃公司,財務報表是合併申報的,因此只要企業在歐盟的據點因違反GDPR遭重罰,會記在台灣總公司應支付的罰金帳上,昭告天下。

此外,GDPR也授權各會員國訂定更嚴苛的罰則,有些國家甚至包含刑事責任。如此一來,還有誰想到企業的歐盟據點擔任總經理或財務長,因可能涉及刑事風險。有些國家則規定公司內部所持有的歐盟居民個資必須全部刪除,或禁止傳輸相關資訊,這可能影響到公司、集團營運。

至於違反GDPR規定,處罰會不會強制執行到境外的總公司,外界不但高度關切,也在觀望中。

建議在歐盟有實體營運的企業,特別是金融服務業、交通運輸業、主攻歐盟市場的媒體社交軟體電商、品牌廠 (OBM)及服務供應商等儘早進行GDPR遵法相關內部流程檢視。

提早準備,別以鴕鳥心態對待,GDPR就不會是難以承受之重。(本文由普華商務法律事務所主持律師蔡朝安口述,記者蘇秀慧記錄整理)

iThome 最新新聞
  • Google搜尋20周年,靠AI讓使用者更快找到想要的資訊
    Google慶祝其搜尋服務滿20周年,在探索新的搜尋方式後,Google推出三大基礎功能更新,不只透過搜尋歷程,幫助使用者延伸搜尋,也強化視覺沉浸式體驗,提供使用者更多元的內容,所有改進的重點,就是要使用者搜尋上癮,越搜越多。
  • NASA黑客松二度來台舉辦,以開放資料鼓勵解決地球、太空相關難題
    美國太空總署(NASA)舉辦的全球性黑客松活動「NASA 黑客松」,今年二度來台舉行,邀請各路好手組隊報名參加,運用NASA的開放資料開發有益於生活、環境瞭解的創新應用。 美國太空總署在2012年首次舉辦「NASA 黑客松」,透過開放使用NASA的數據,集思廣益解決太空、地球任務相關的挑戰,一開始以美國地區為主,後來擴大到全球各地,去年黑客松首次來到台灣舉行,今年聯合美國在台協會、台北市政府、中華電信、台灣師大學、美國創新中心等夥伴,二度在台舉辦NASA 黑客松。
  • 微軟、SAP與Adobe共組Open Data Initiative,企圖釋放孤島資料價值
    微軟於本周一(9/24)展開的Microsoft Ignite全球開發者大會上與Adobe、SAP攜手發表了「開放資料倡議」(Open Data Initiative),將推動開放資料框架,以讓不同業者之間的資料能夠互通及移轉,並鼓勵其它業者加入。
  • Azure Functions釋出2.0,Runtime現在可於本機Windows、macOS和Linux上託管
    微軟釋出跨平臺Azure Functions Runtime 2.0正式版,現在將允許Functions應用程式跨平臺執行。Azure Functions Runtime經過重寫並以.NET Core 2.1運作後,效能大幅提升,開發者還可以在本機端的Windows、macOS和Linux電腦上,撰寫和託管Functions Runtime。
  • 多事之秋! 登入Google服務就會自動登入Chrome再挨轟
    Google趁著Chrome瀏覽器邁入十歲之際,在今年9月初釋出了大改版的Chrome 69,除了預設封鎖Flash內容,以及把HTTPS標示為「安全」的機制改為將HTTP標示為「不安全」等重大改變外,該版本移除網址列上的www及m兩個子網域惹來爭議,另有開發人員發現,只要利用Chrome登入各種Google服務,就會自動登入Chrome瀏覽器,再遭控訴漠視用戶意願及隱私。 Chrome 69的用戶指出,倘若他們並未登入Chrome,但利用Chrome造訪並登入了諸如Gmail或YouTube等Google服務,那麼就會自動登入Chrome,而且Google沒有秀出任何警告,也沒有提供任何選項,只會在Chrome右上方顯示登入狀態,等於是強迫用戶登入。
  • 資安業者踢爆微軟JET Database Engine含有遠端程式攻擊的零時差漏洞
    趨勢科技旗下的Zero Day Initiative(ZDI)周一(9/24)踢爆了一個隱藏在微軟JET Database Engine中的越界寫入(out of bounds write)漏洞,成功的開採將允許駭客自遠端執行任意程式,雖然微軟已在今年5月得知該漏洞,但在ZDI所提供的120天修補限期內並未修補,使它成為一個零時差漏洞。
Copyright (C) 2005 - 2016 Cyberhunter.com.tw. All rights reserved.