【個資法】會計月刊：歐盟個資法（GDPR）將上路 企業因應之道

歐盟個資法（GDPR）將上路 企業因應之道

2018-04-02 08:41會計研究月刊

【文．蔡朝安、張馨云】

歐盟的「一般資料保護規則」（General Data Protection Regulation，下稱GDPR），可說相當於歐盟的個人資料保護法，即將於今（2018）年5月25日正式實施，直接適用於歐盟各會員國，GDPR的目標在於確保歐盟公民維護其隱私及個人資料的權利與自由，並能重塑歐盟各國對於隱私保護及處理個人資料的標準。依照GDPR規定，凡是蒐集有歐盟公民個人資訊的企業，縱然不是設立於歐盟境內，也可能受到GDPR的管轄，因此臺灣企業亦應就自身是否可能受到 GDPR的影響進行評估，以避免施行後的違法風險。本文將說明GDPR重點事項，以及企業應如何因應此新法帶來的衝擊。

GDPR適用於何種資訊？

GDPR將適用於類似臺灣的「個人資料保護法」（下稱臺灣個資法）被定義為「個人資料」的相關資訊，即所有能夠直接或間接識別個人身分之資訊均有適用。 然 而，GDPR的定義更加細緻且廣泛，其明確表示凡是得以識別個人網路身分的資訊（例如IP地址），亦為該法適用的個人資料。如此廣泛的定義，將多數可足以識別身分的訊息都納入個人資料的範疇，也反應了科技以及企業組織收集個人訊息方式的變更。


與臺灣個資法類似，GDPR適用於自動產生的個人數據，以及透過輸入特定條件後可以連結到個人資料的檔案系統，且縱然是經過假名化的個人資訊，如果依據假名化後的資訊也可能連結到特定個人而識別其身分時，也可能落入GDPR的適用範圍。

GDPR與臺灣個資法的不同之處在於，GDPR將敏感的個人資料稱為「特種個資」（GDPR第9條）。「特種個資」的種類包含個人族裔、政治觀點、宗教或哲學信仰，抑或工會會員身分等資訊。再者，如果是涉及基因、可用於識別單一自然人的生物特徵，以及與健康、性生活或性取向有關的資料，除非符合GDPR第9（2）條中規定的情形，否則原則上禁止企業處理該等資料，例外情況包括個資當事人給予明示同意時、或資料處理為保護無法給予同意的自然人之重要權利所必要時等。

GDPR適用的對象？

GDPR適用於個人資料的「控管者 」（controllers）及「處理者」（processors）。「控管者」是指單獨或與他人共同決定所處理個人資料之目的及手段的自然人、法人、政府機關、代理人或其他機構；然而，若歐盟會員國的個別國家法律規定有資料處理的目的及手段時，「控管者」之認定的標準即可依照各當地國法律而定。「處理者」則是指經控管者委任，以協助控管者處理所持有之個人資料的自然人、法人、政府機關、代理人或其他機構。

GDPR關於個人資料處理的規定，將適用於在歐盟內營運的組織，以及在歐盟境外營運，但會向歐盟的個人提供產品或服務的組織。更精確地說，GDPR適用於非設立於歐盟，但有處理歐盟個人資料的「控管者」或「處理者」，且其處理活動與下列任一行為有關：

①涉及提供貨物或服務的行為，且無論該個資當事人是否需要支付價金；或

②涉及監測個資當事人在歐盟的行為。

個資當事人可享有的權利

GDPR其中一章節規範個資當事人可享有的權利，包括取得資料的權利（right of access）、請求改正的權利（the right to rectification）、請求刪除的權 利（the right to erasure）、限制處理範圍的權利（the right to restrict processing）、請求攜取資料的權利（the right to data portability）、拒絕提供資料的權利（the right to object），以及免於受到自動化處理的決定權利（the right not to be subject to a decision based solely on automated processing）。上開規定將賦予個資當事人更大的權利，以控制其提供給企業的個人資料，同時也加重企業的負擔，因為依照GDPR規定，當個資當事人請求行使該等權利時，企業就必須依法加以回應。

隱私保護為企業營運首要考量

任何需要遵守GDPR的企業，都必須在產品或製程開發之初，依照GDPR關於隱私保護設計（Privacy by Design）的規定設計相關政策、程序及系統。此一要求並非當然表示企業必須在隱私保護設計的系統上投入大量的專案預算，到目前為止，學界及企業所持的態度是，必須從風險控管的角度，將個人資料處理的性質、目的、情境、範圍，以及實施方式納入制度設計時的考量，才能使制度的設計更加靈活。然而，在 GDPR 正式上路前，尚無從確認此種對應方式的實效，因此企業仍應謹慎面對。

【完整內容請見《會計研究月刊》2018.4月號】