2018年5月25日正式施行之歐盟一般資料保護規範,General Data Protection Regulation(GDPR),其最高達2千萬歐元或全球總營業額4%的罰鍰,使得大多數與網路零售、金融、航空運輸業等相關之行業,提供客戶服務、雇用員工、供應商或非營利組織與政府機構其成員來自歐盟成員國者,均受其影響。
現行個人資料保護法第2條第1款中規範:「個人資料指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」而GDPR第4條第1項尚包含透過網路IP、瀏覽紀錄以直接或間接方式識別該個人之資料,並禁止處理與民族或種族來源、政治見解、宗教或哲學信仰或所屬工會相關之個人資料、得明確識別特定人之基因資料、生物特徵資料,以及個人之健康資料或性生活或性傾向資料,惟基於公共利益等例外情形時允許處理。
符合歐盟標準之制度尚須具備以下要件:除個資保護範圍(個人識別性)之完整定義外,強化當事人自主之權其中包括(第16條「更正」、第17條「刪除」、第20條「可攜」、第21條「拒絕」、同意(現行我國個資法為推定同意)並強化告知規定及72小時內外洩通知),而第44條原則禁止跨境傳輸(例外包含第45條基於充足程度保護決定之移轉、第46條基於企業已提供適當保護措施之移轉、經明確同意、需符合公益或必要性)。
又其中企業自主保護方式可經由第40條之行為守則(Codes of conduct)、第42條之認證(Certification)、第47條之拘束企業規則(Binding corporate rules)以及描述於第46條中之標準資料保護條款(standard data protection clauses),以有效實質控制該商業活動,此外強化企業責任內容包含第37條指定個資保護長(Data Protection Officer,DPO)、第24條:「個資保護設計與預設」(Data protection by design and by default,DPBD)、第35條:「資料保護衝擊評估」(Data Protection Impact Assessment,DPIA),並應將文件紀錄留存。
政府除設立獨立監管機關外,針對匿名加工資料應有禁止還原或再識別之機制(GDPR第4條第5項),且應權衡利弊得失(例如被遺忘權與新聞自由之衝突)、對新創或小型企業造成之負擔(如Streetlend因GDPR而停止服務)等情形,修正現行法令以規範個人資料之蒐集、處理及利用,避免人格權受侵害,並促進個人資料之合理利用。
留言列表
友好網站連結 
