歐盟GDPR與台灣個資法之差異與因應之道作者/林信忠 [發表日期:2018/8/6] 作者簡歷 作者林信忠目前服務於凌群電腦股份有限公司,擔任資安顧問的角色。主要工作包含資訊安全/資訊服務/個資保護專案的規劃與執行、資訊安全產品Presale、ISO 27001認證輔導、弱點檢測滲透測試等事項,擁有CISSP、ECSA、CASK、ISO 27001/20000 LAC等認證。 前言 隨著科技與特別是資訊技術的高速發展,人為國與國之間的疆界已逐漸模糊,全球化地球村的概念已不再是遙不可及的夢想,在這種大環境下產生了諸多新的機遇與挑戰,組織或個人可透過巨量資料、雲端運算等技術剖析出有利於自身的資訊,進而創造出利潤與價值,好人與壞人都可以利用,而能與眾人或個人連結的資料則為達成前述目的的基礎。 基於這些理由,許多國家或區域意識到隱私保護與科技方便之間權衡的議題,進而檢視本國或區域的個人資料保護規定是否不足或過時,而須重新制定或補強?本文主角歐盟GDPR與台灣個資法正是如此,臺灣個資法通過時曾引起社會特別是企業界廣泛的關注,記得當時相關研討會一場接一場的開,大家都懷著戒慎恐懼的心態深怕哪個術語或環節沒搞清楚被處罰並拖累到老闆。多年過去了,看似這個過程現在還要重來一遍,只是為了感覺有點遙遠的歐盟制定了一條法律讓大家那麼緊張呢?凌群客戶又要如何去面對呢?本文嘗試對GDPR與個資法做摘要介紹與重點比較,最後對GDPR的因應方法提出建議並做總結。 歐盟個資法(GDPR)簡介 GDPR全名為General Data Protection Regulation,前身是1995年10月24日制訂之歐盟「 個人資料保護綱領」(Data ProtectionDirective),在經歷二十餘年環境變遷與因應新興科技的風險而為建構更為周密之資料保護框架,於2016年4月27日通過第 2016/679 號「個人資料保護規則」(General Data Protection Regulation)及附屬規定,經兩年緩衝期後於2018 年 5月 25 日起於歐盟各會員國直接施行,取代前述之「個人資料保護綱領」。 一、GDPR章節架構
第二章 原則(Principles) 第三章 資料主體之權利(Rights of the data subject)
第二節 個人資料之資訊與接近使用(Information and access to personal data) 第三節 更正及刪除(Rectifcation and erasure) 第四節 拒絕權及個人化之自動決策(Right to object and automated individual decision-making) 第五節 限制(Restrictions)
第二節 個人資料之安全(Security of personal data) 第三節 資料保護影響評估(Data protection impact assessment) 第四節 資料保護官員(Data protection offcer) 第五節 行為守則與認證(Codes of conduct and certifcation) 第六章 獨立監管機關(Independent supervisory authorities)
第二節 權限、 職務及權力(Competence, tasks and powers)
第二節 一致性(Consistency) 第三節 歐洲資料保護委員會(European Data Protection Board) 第九章 特 殊 處 理 之 規 範(Provisions relating to specifc processing situations) 第十章 授權法及施行法(Delegated acts and implementing acts) 第十一章 附則(Final provisions) 資料來源: 歐盟個人資料保護規則 二、GDPR摘要重點 因GDPR條款達99條,內容複雜,故筆者採重點摘要的方式歸納重點說明如下:
台灣個人資料保護法簡介 一、個資法章節架構 個人資料保護法(以下簡稱個資法)共計六章56條: 第一章:總則(第1條至第14條)。 其立法目的在於規範個人資料之蒐集、處理及利用,避免人格權受侵害,促進個人資料之合理利用。該法參考了OECD(經濟合作暨發展組織)個人資料使用基本原則、BS10012(英國個人資料保護標準)等規範來制定。由於世界諸多先進國家已有保護個人資料或隱私權相關法律制定,故個資法的立法與實施誠為我國是否邁向已開發國家之林的一項十分重要的觀察指標。 二、個資法摘要重點 個資法重點摘要說明如下:
GDPR與個資法比較 東方與西方由於環境的不同,所制定的法令在某些定義、做法或程度上存有差異,茲將兩者主要差異整理如下表: 因應策略 GDPR實施對凌群客戶產生影響,其影響程度大小端視與歐盟國家業務往來規模或業務性質而定,筆者將客戶分為高低影響兩種程度的群組,建議如下: 一、高強度群組 如設於歐盟境內、非設於境內,但卻對歐盟人民提供商品或服務、大規模處理歐盟個資、使用大數據分析或雲端服務等組織或企業。 (一)、充分利用政府或相關公會資源:如金管會(金融業者)、財政部(公股銀行)、交通部(航港業者)、經濟部、通傳會(通傳事業)、衛服部(醫療機構)、教育部均設有專職窗口協助解決問題,相關資訊可參考國發會網站(https://www.ndc.gov.tw/Content_List.aspx?n=B332AB962EEB7F6B)。 (二)、拆解組織個資有關業務流程,從個資收集、處理、利用、儲存、傳輸、銷毀構面檢視是否違反GDPR要求。 (三)、法律科技定義與範圍面的重新審視:如因同意權的認定可能需更重新設計流程;因網路數據納入需做宣告上的補強與資訊系統日誌軌跡的調整識別等。 (四)、下載檢核表自我檢查:可利用網際網路資源查找相關檢核表供參考。 (五)、內外稽核項目的擴大:組織或企業中特別是與歐盟業務有關的部門或流程,須納入稽核範圍。 (六)、專才的納入:組織應聘僱熟捻GDPR的專業人才或與歐盟律師建立諮詢管道。 (七)、組織個資文件內容中強化對隱私權方面的保護要求。 (八)、落實資料保護影響評估:需參考歐盟的方法論做評估。 二、低強度群組 如非設立於歐盟境內、偶然性或於歐盟境內處理個資、使用一般電子處理等的組織或企業。低強度群組可視本身資源多寡逐步套用高強度群組的作法,先了解如何做,嚴謹程度可比前者寬鬆,現階段至少做到區別出歐盟人士與非歐盟人士的個資,並先強化GDPR關於同意權行使方面的規定。由於網站幾乎已是組織或企業營運必備要件,故下面列舉網站如何取得訪客同意的範例 (一)、新增徵求訪客同意的彈出視窗,該視窗內容需包含 (二)、更新「隱私權政策」連結內容:在網站的隱私權政策中,包含以下七種當事人權利的說明,並提供窗口,讓訪客明白有權要求在一個月內行使以下權益: 結論 筆者認為GDPR針對的對象,至少目前對非歐盟國家而言乃是巨型跨國企業或組織,如拿臉書、Google開刀或可佐證此一論點。國內除與歐盟業務有高度牽連的企業外,其餘業者實不應過於緊張。唯「人無遠慮,必有近憂」,應考量其他台灣貿易市場的國家或聯盟(如東協等)是否也朝類似制訂像GDPR或類似法律條文的可能性?以及GDPR對其他法令法規產生的連動影響?凌群客戶可先檢視視是否落實本國個資法各項要求而不應有虛應故事的心態。對GDPR猜測台灣業者可有一段緩衝觀望期,盡量利用這個時期多學習、了解與準備。筆者借花獻佛希望藉由本文,使凌群客戶對GDPR內容與因應之道能有初步的了解。 參考資料 1.中華民國個人資料保護法 |