作者簡歷

作者林信忠目前服務於凌群電腦股份有限公司，擔任資安顧問的角色。主要工作包含資訊安全/資訊服務/個資保護專案的規劃與執行、資訊安全產品Presale、ISO 27001認證輔導、弱點檢測滲透測試等事項，擁有CISSP、ECSA、CASK、ISO 27001/20000 LAC等認證。

前言

隨著科技與特別是資訊技術的高速發展，人為國與國之間的疆界已逐漸模糊，全球化地球村的概念已不再是遙不可及的夢想，在這種大環境下產生了諸多新的機遇與挑戰，組織或個人可透過巨量資料、雲端運算等技術剖析出有利於自身的資訊，進而創造出利潤與價值，好人與壞人都可以利用，而能與眾人或個人連結的資料則為達成前述目的的基礎。

基於這些理由，許多國家或區域意識到隱私保護與科技方便之間權衡的議題，進而檢視本國或區域的個人資料保護規定是否不足或過時，而須重新制定或補強?本文主角歐盟GDPR與台灣個資法正是如此，臺灣個資法通過時曾引起社會特別是企業界廣泛的關注，記得當時相關研討會一場接一場的開，大家都懷著戒慎恐懼的心態深怕哪個術語或環節沒搞清楚被處罰並拖累到老闆。多年過去了，看似這個過程現在還要重來一遍，只是為了感覺有點遙遠的歐盟制定了一條法律讓大家那麼緊張呢?凌群客戶又要如何去面對呢?本文嘗試對GDPR與個資法做摘要介紹與重點比較，最後對GDPR的因應方法提出建議並做總結。

歐盟個資法(GDPR)簡介

GDPR全名為General Data Protection Regulation，前身是1995年10月24日制訂之歐盟「 個人資料保護綱領」（Data ProtectionDirective），在經歷二十餘年環境變遷與因應新興科技的風險而為建構更為周密之資料保護框架，於2016年4月27日通過第 2016/679 號「個人資料保護規則」（General Data Protection Regulation）及附屬規定，經兩年緩衝期後於2018 年 5月 25 日起於歐盟各會員國直接施行，取代前述之「個人資料保護綱領」。

一、GDPR章節架構

第一章 總則（General provisions）
第二章 原則（Principles）
第三章 資料主體之權利（Rights of the data subject）

第一節 透明度及管道（Transparency and modalities）
第二節 個人資料之資訊與接近使用（Information and access to　personal data）
第三節 更正及刪除（Rectifcation and erasure）
第四節 拒絕權及個人化之自動決策（Right to object and　automated individual decision-making）
第五節 限制（Restrictions）
第四章 控管者及處理者（Controller and processor）

第一節 一般義務（General obligations）
第二節 個人資料之安全（Security of personal data）
第三節 資料保護影響評估（Data protection impact assessment）
第四節 資料保護官員（Data protection offcer）
第五節 行為守則與認證（Codes of conduct and certifcation）
第五章 個人資料傳輸至第三國或國際組織（Transfers of personal data　to third countries or international organisations）
第六章 獨立監管機關（Independent supervisory authorities）

第一節 獨立地位（Independent status)
第二節 權限、 職務及權力（Competence, tasks and powers）
第七章 合作及一致性（Cooperation and consistency）

第一節 合作（Cooperation）
第二節 一致性（Consistency）
第三節 歐洲資料保護委員會（European Data Protection Board）
第八章 救濟、 義務及處罰（Remedies, liability and　penalties）
第九章 特 殊 處 理 之 規 範（Provisions relating to specifc processing　situations）
第十章 授權法及施行法（Delegated acts and implementing acts）
第十一章 附則（Final provisions)

資料來源: 歐盟個人資料保護規則

二、GDPR摘要重點

因GDPR條款達99條，內容複雜，故筆者採重點摘要的方式歸納重點說明如下：

• 以資料為主體：為資料動態流動的概念，如外國人在歐盟提供的個人資料，納入GDPR；歐盟人民不在歐盟範圍內提供的個人資料，亦納入GDPR。



• GDPR適用範圍：
  (一)、在歐盟各會員國註冊的企業或組織。
  (二)、在歐盟範圍內營運的企業或組織。
  (三)、有蒐集、處理、利用歐盟民眾個人資料的企業或組織者。
  由於(二)(三)點不是十分的具體，在網路發達的今天企業很難全身而退，這也是GDPR受廣泛關注的主要原因。



• 個資範圍創新定義：GDPR定義之個資範圍如下
  (一)、基本身份:如姓名、地址和身份證字號等。
  (二)、網路數據:如位置、IP位址、Cookie資料和RFID標籤等。
  (三)、醫療保健和遺傳數據。
  (四)、生物識別資料:如指紋、虹膜等。
  (五)、種族或民族數據。
  (六)、政治觀點。
  (七)、性取向。
  其中(二)點規定納入了個資識別的科技元素。



• 個資當事人同意權：資料當事人決定就其個人資料處理所為具體、肯定、自由、明確、受充分告知及非模糊之指示,如遇當事人默認或不表示意見等情況並不構成同意要件。



• 資料可攜權：簡言之，即個資當事人有權在不同的服務提供者間,自由搬移個資的權利。如有權在不同雲端服務提供者間自由轉換資料而不受限。



• 資料被遺忘權：當事人的個資蒐集或處理之目的已無必要時或已拒絕其個人資料之處理或已撤回其同意或於其個人資料處理違反規則時，資料當事人有請求不再處理其個人資料之權利。例如企業收到要求刪除個資的請求時，現階段至少需做到「搜尋不到相關資訊」的條件。



• 當事人對資料自動化剖析(Profiling)有拒絕的權利：藉由自動化工具或技術處理個資之後使用該筆資料來評估與有關之個人特徵，並分析、預測當事人工作表現、經濟狀況、健康、個人偏好等等，在特定情況下，當事人有權對前述的行為提出異議。



• 資料保護長的設置：規定組織需設資料保護長(可多家合聘)。



• 通報時間的規定：GDPR限定一旦爆發個資外洩等安全事件時，需於72小時內通報資料保護主管機關，如遇可能對當事人有重大危害情事，需立即通知當事人。



• 罰款：GDPR罰款金額可分為兩種情境
  (一)、組織拒絕當事人刪除個資要求，也未建立資料保護文件化管理系統時，最高罰1000萬歐元。如為企業，最高罰全球營業額2%，取兩者最高金額為罰金。
  (二)、組織如逾期通報、非法處理個資、拒絕客戶停止個資、未任命資料保護長等更嚴重的違規，最高罰2000萬歐元或全球營業額4%，取兩者最高金額為罰金。



• 跨境傳輸：採原則禁止，例外允許的方式。



• 主管機關：獨立的主管機關來監督該法的適用性。



• 個資保護制度設計時需納入隱私保護措施。

台灣個人資料保護法簡介

一、個資法章節架構

個人資料保護法(以下簡稱個資法)共計六章56條：

第一章:總則(第1條至第14條)。
第二章:公務機關對個人資料之蒐集、處理及利用(第15條至第18條)。
第三章:非公務機關對個人資料之蒐集、處理及利用(第19條至第27條)。
第四章:損害賠償及團體訴訟(第28條至第40條)。
第五章:罰則(第41條至第50條)。
第六章:附則(第51條至第56條)。

其立法目的在於規範個人資料之蒐集、處理及利用，避免人格權受侵害，促進個人資料之合理利用。該法參考了OECD(經濟合作暨發展組織)個人資料使用基本原則、BS10012(英國個人資料保護標準)等規範來制定。由於世界諸多先進國家已有保護個人資料或隱私權相關法律制定，故個資法的立法與實施誠為我國是否邁向已開發國家之林的一項十分重要的觀察指標。

二、個資法摘要重點

個資法重點摘要說明如下：

• 適用對象：所有行業機關與自然人。



• 個資定義：姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動。



• 蒐集規定：需告知當事人。



• 刑事責任：營利的主觀意圖(如竊取個資販賣等)或未有營利的意思或意圖(如未盡保護責任導致資料遺失等)，刑期2~5年。



• 民事賠償：每筆資料5百~2萬，上限2億元。



• 行政處罰：2萬~50萬,並可累計處罰。。



• 主管機關：目的事業主管機關或組織所在地之縣市政府。



• 增加代訴訟相關規定。



• 舉證責任的倒置:由原告舉正轉成被告舉證。

GDPR與個資法比較

東方與西方由於環境的不同，所制定的法令在某些定義、做法或程度上存有差異，茲將兩者主要差異整理如下表：



因應策略

GDPR實施對凌群客戶產生影響，其影響程度大小端視與歐盟國家業務往來規模或業務性質而定，筆者將客戶分為高低影響兩種程度的群組，建議如下：

一、高強度群組

如設於歐盟境內、非設於境內，但卻對歐盟人民提供商品或服務、大規模處理歐盟個資、使用大數據分析或雲端服務等組織或企業。

(一)、充分利用政府或相關公會資源：如金管會(金融業者)、財政部(公股銀行)、交通部(航港業者)、經濟部、通傳會(通傳事業)、衛服部(醫療機構)、教育部均設有專職窗口協助解決問題,相關資訊可參考國發會網站(https://www.ndc.gov.tw/Content_List.aspx?n=B332AB962EEB7F6B)。

(二)、拆解組織個資有關業務流程，從個資收集、處理、利用、儲存、傳輸、銷毀構面檢視是否違反GDPR要求。

(三)、法律科技定義與範圍面的重新審視：如因同意權的認定可能需更重新設計流程；因網路數據納入需做宣告上的補強與資訊系統日誌軌跡的調整識別等。

(四)、下載檢核表自我檢查：可利用網際網路資源查找相關檢核表供參考。

(五)、內外稽核項目的擴大：組織或企業中特別是與歐盟業務有關的部門或流程，須納入稽核範圍。

(六)、專才的納入：組織應聘僱熟捻GDPR的專業人才或與歐盟律師建立諮詢管道。

(七)、組織個資文件內容中強化對隱私權方面的保護要求。

(八)、落實資料保護影響評估：需參考歐盟的方法論做評估。

二、低強度群組

如非設立於歐盟境內、偶然性或於歐盟境內處理個資、使用一般電子處理等的組織或企業。低強度群組可視本身資源多寡逐步套用高強度群組的作法，先了解如何做，嚴謹程度可比前者寬鬆，現階段至少做到區別出歐盟人士與非歐盟人士的個資，並先強化GDPR關於同意權行使方面的規定。由於網站幾乎已是組織或企業營運必備要件，故下面列舉網站如何取得訪客同意的範例

(一)、新增徵求訪客同意的彈出視窗,該視窗內容需包含
1.網站名稱將與哪些組織或企業共享資料
2.蒐集資料目的
3.資料保存期限
4.諮詢窗口與隱私權政策連結
5.同意或不同意

(二)、更新「隱私權政策」連結內容:在網站的隱私權政策中，包含以下七種當事人權利的說明，並提供窗口，讓訪客明白有權要求在一個月內行使以下權益：
1.被告知的權益
2.諮詢的權利
3.修正的權利
4.刪除的權利
5.限制資料處理的權利
6.調閱的權利
7.反對的權利

結論

筆者認為GDPR針對的對象，至少目前對非歐盟國家而言乃是巨型跨國企業或組織，如拿臉書、Google開刀或可佐證此一論點。國內除與歐盟業務有高度牽連的企業外，其餘業者實不應過於緊張。唯「人無遠慮，必有近憂」，應考量其他台灣貿易市場的國家或聯盟(如東協等)是否也朝類似制訂像GDPR或類似法律條文的可能性?以及GDPR對其他法令法規產生的連動影響?凌群客戶可先檢視視是否落實本國個資法各項要求而不應有虛應故事的心態。對GDPR猜測台灣業者可有一段緩衝觀望期，盡量利用這個時期多學習、了解與準備。筆者借花獻佛希望藉由本文，使凌群客戶對GDPR內容與因應之道能有初步的了解。

參考資料

1.中華民國個人資料保護法
2.歐盟個人資料保護規則,財團法人金融聯合徵信中心
3.林志憲,因應歐盟「一般資料保護規則」生效措施簡報,國家發展委員會
4.黃彥棻, https://www.ithome.com.tw/news/116876,iThome
5.陳顥仁, https://www.ndc.gov.tw/Content_List.aspx?n=49C4A38DD9249E3E,國家發展委員會
7.https://www.tenmax.io/gdpr-for-publisher,TenMax