GDPR之條文內容,預計將於2016年年初獲得確定,且將於2018年正式生效,並取代目前之歐盟資料保護法(European Data Protection Law)。儘管目前GDPR尚無具體條文內容,然而依據歐盟執委會網站相關介紹,仍可歸納出GDPR之特色及改革要點如下:
一、作為歐盟單一資料保護法令:現有之歐盟資料保護法,本質上為歐盟對於成員國資料保護法令之框架指南。歐盟僅就成員國相關立法提供原則性指導之做法,致使各成員國之資料保護法規定未能統一,並帶給商貿等經濟活動上諸多不便。GDPR不再是一框架性指南,而將成為由所有歐盟成員國實施之單一法令。鑒於GDPR將規範全歐盟成員國國內之任何類型資料處理活動,歐盟亦將成立「歐洲資料保護委員會」(European Data Protection Board)以及相關協調機制,以確保所有成員國主管機關實施及引用GDPR上之一致性。
二、適用對象將涵蓋外國公司企業:現今之歐盟資料保護法,僅適用於在歐盟境內從事資料處理活動之境外公司企業個體。未來,GDPR適用對象,將涵蓋未以歐盟成員國為營業據點,然提供產品或服務給歐盟成員國居民、或於歐盟境內從事系統性監控等涉及敏感個人資料蒐集活動之境外公司企業。
三、賦予「個資」(personal data)一較廣義詮釋:GDPR將「個資」擴大解釋為涵蓋可直接或間接過濾出特定對象資訊之資料類型,例如網路瀏覽器Cookies、網路IP位址或足以辨識特定個人身分或性別之基因、生物特徵或醫療資料等。
四、進行個資處理等活動前,必須獲得個資當事人明確同意(unambiguous consent):GDPR要求敏感個資之取得及處理,須事先獲得個資當事人明確同意。前述之「明確同意」,必須為「清楚明白之確認動作」(clear affirmative action),例如當事人簽署或勾選同意書等。當事人保持沉默、未表示意見或無作為情形,皆不構成前述「同意」。未滿16歲(各成員國可選擇下修至未滿13歲)兒童或青少年個資之取得及處理,須事先獲得父母或監護人同意。
五、隱私保護要求及客製化資料保護措施:GDPR要求公司企業在取得、使用或處理敏感資料上,必須確保前述資料受到保護及個人隱私不受侵犯。大規模且系統性地散佈或處理敏感資料或對於公共區域進行有系統性監控等,此些活動,在存在侵害個人權利及自由之風險下,當事人必須事前進行資料保護影響評估(Data Protection Impact Assessments)。GDPR並允許當事人可依據實際風險需要來制定相應之資料保護措施,而無需滿足特定標準要求。
六、個資當事人之權利:GDPR正式賦予個資當事人被遺忘權(Right to be forgotten,當事人可要求移除負面或過時之個資)、資料可攜帶權(Right to data portability,強化當事人控制及傳輸個資之權利)及拒絕散佈個資權(Right to object to profiling)。
七、跨國資料傳輸規定:GDPR要求歐盟執委會就第三方國家之資料保護實施情形進行觀察。具備適當資料保護規範及機制之國家,將列入歐盟執委會白名單,並為GDPR允許從事跨國資料傳輸活動之對象國家。前述第三方國家政府或法院若發佈要求提供敏感資料之裁決或行政決定,則僅於該國和歐盟簽署司法互助協定等國際協議之前提下方可執行。
八、知會當事人有關資料取得及使用活動之義務:GDPR針對從事資料處理活動之當事人進行諸多義務性規範,其中包含當事人須保存相關資料紀錄、須就可能侵犯個人權利或自由之個資取得及使用之情形,於發現前述情形起72小時之內,知會其所屬企業公司個體、行政主管機關及個資當事人,以及必須遵守資料傳輸相關規定。
九、設立資料保護官(data protection officer):歐盟成員國政府行政機關(不包含法院等司法機關)若從事定期且系統性監控活動、或使用及處理大量敏感個資等,則前述機關及從前述活動之受委託方,須設立一資料保護官。
十、違反資料保護規定罰則:GDPR對於違反資料保護規定者,依據情節,可由歐盟或成員國資料保護主責機關,處以其所屬企業公司年營業額2%至4%之行政罰鍰。
對於在歐盟境內從事商貿活動之外國公司企業而言,GDPR顯然將帶來顯著影響。GDPR將顯著改變現今歐盟各成員國之資料保護法令,且適用範圍對象將涵蓋非歐盟國家之企業公司個體。致使歐盟28成員國資料保護規定獲得統一,此舉雖可減少歐盟境外公司企業在遵守各成員國資料保護規定上之不便情形,然其用意在於顯著強化個資當事人權益之嚴格規定及罰則,或可能對外國公司企業在確保個資安全性及隱私方面需付出較多資源,並構成較多負擔。是故,於歐洲地區國家從事經貿活動之台灣企業廠商,對於GDPR之後續發展及條文公佈等應適當關注及做好必要準備。(1900字)
參考資料: