2018
6/4
[法律新知]
GDPR之規範與企業因應-上篇
《歐盟通用資料保護規則GDPR》將個人資料保護措施一體適用於歐盟企業與其他蒐集、處理歐盟居民個人資料之機構,並提高罰鍰金額,使營業有涉及蒐集、處理歐洲居民個人資料之企業相關法遵成本大幅提高

《歐盟通用資料保護規則》(General Data Protection Regulation,下稱「GDPR」)已於2018年5月25日施行,除適用於歐盟企業外,亦適用於非設立於歐盟境內,但會蒐集、處理歐盟居民個人資料(下稱「個資」)之機構,其保護之個資範圍為「可識別或可得識別自然人之任何資訊」,並明文涵蓋如Cookie、IP位址等「網路識別資訊」。GDPR要求個資之蒐集、處理與利用應取得個資主體(即擁有個資之個人,下稱「個資主體」)之同意或符合其他法定要件,並賦予個資主體「資料可攜權」、「刪除權/被遺忘權」等權利。GDPR另要求特定企業應設置歐盟境內代表及/或資料保護長,並應進行資料保護影響評估,違反者最高可處以2,000萬歐元或前一會計年度全球年營業額4%之行政罰鍰。
GDPR之重要內容包括:
1. 適用範圍包括歐盟境外機構,凡營運或提供服務之過程中涉及蒐集、處理歐盟居民個資者均應受GDPR之規範(第3條);
2. 擴大個資之定義,原則禁止機構處理種族、宗教、基因、健康及性傾向等特殊個資,私人機構對前科等犯罪資料之處理亦受嚴格控管(第4條、第9條、第10條);
3. 明定個資之處理應取得個資主體之明確同意或符合其他法定目的,並加強未成年人個資之保障(第6條至第8條);
4. 要求機構蒐集、處理個資應遵守透明原則(第12條至第13條);
5. 個資主體享有「刪除權/被遺忘權」、「資料可攜權」、「拒絕權、「個人化之自動決策之限制」等權利(第15條至第21條);
6. 機構應進行資料保護影響評估並採取「設計及預設之資料保護」機制(第25條、第35條);
7. 適用GDPR之歐盟境外機構應指定歐盟境內代表,特定機構並應設置資料保護長(第27條、第37條);
8. 個資侵害事件發生時,機構應於72小時內通報監管機關(第33條);
9. 跨境傳輸之規範與限制(第44條至第50條);
10. 大幅提高行政罰鍰,最高可處2,000萬歐元或前一會計年度全球年營業額4%之罰鍰(第83條)。

因篇幅限制,以下謹簡介第1-5點,另於「GDPR之規範與企業因應-下篇」簡介與企業治理相關之第6-10點。

適用範圍包括歐盟境外機構,凡營運或提供服務之過程中涉及蒐集、處理歐盟居民個資者均應受GDPR之規範(第3條)

GDPR之規範以個資之蒐集、處理為中心,除在歐盟境內設有機構或分支機構之企業組織外,非屬歐盟企業組織,但對歐盟居民提供商品或服務或進行監控而有蒐集、處理歐盟居民個資者,亦適用之。是以,縱使企業本身並未於歐盟境內設立據點,然於企業營運過程中,若有涉及蒐集、處理、利用或分析歐盟居民個資者,即應受GDPR之規範。

擴大個資之定義,原則禁止機構處理特殊個資,私人機構對前科等犯罪資料之處理亦受嚴格控管(第4條、第9條、第10條)

GDPR將一般個資定義為:「有關識別或可得識別自然人之任何資訊」,並明文說明應包括姓名、身分證統一編號、位置資料、網路識別資訊(online identifier)或一個或多個自然人之身體、生理、基因、心理、經濟、文化或社會認同等具體因素之識別工具(「識別工具」才是一般個資,身體、生理、基因、心理等資料本身可能為特殊個資)。於此規範下,如企業蒐集、處理、利用或分析例如Cookie、電腦IP位址、行動裝置ID與社群網站資訊等網路識別資料,即應受GDPR之規範。GDPR另將「揭露種族、人種、政治意見、宗教、哲學信仰或貿易聯盟會員之個資,及基因資料、用以識別自然人之生物特徵識別資料、與健康相關或與自然人性生活、性傾向有關之資料」定義為建特殊個資,非經本人同意或符合特定重大利益,原則上禁止處理。此外,對於前科或犯罪資料之處理,GDPR規定全面性的前科紀錄僅限由公務機關保存,且私人機構需符合一定情形才可處理該資料。
由於GDPR對於個資之定義範圍甚廣,建議企業應先行審視自身於營運過程中,特別係於提供網路相關服務時,是否可能直接或間接蒐集、取得使用者之實體位置、IP位址或Cookie等網路識別資料,若有此情形,即應受GDPR之規範。


明定個資之處理應取得個資主體明確有效之同意或符合其他法定目的,並加強保障未成年人個資(第6條至第8條)

GDPR規範個資之處理應符合特定要件,包括:為履行契約或於締約前應個資主體要求所必須採取之步驟、為遵守法定義務、為保護個人或他人重大利益、為符合公共利益執行職務或行使公權力、為追求正當利益之目的所必須等。倘不符合上述要件,亦得以個資主體之同意作為合法理由,然此同意須為個資主體在充分知情之狀況下的明示同意,換言之,個資主體的默示或推定同意均不屬有效同意;如有爭議,機構對曾取得同意應負舉證責任。倘個資主體對蒐集、處理或利用個資之同意並非記載於獨立書面文件,而是其他文件之一部分(例如信用卡申請書上包含同意使用個資之欄位),則該文件上關於同意蒐集、處理或利用個資之記載應以易懂之語言及顯著之格式呈現,並與文件之其他內容有所區別(例如以白話文、紅色大型粗體字呈現,並將該區塊獨立框出),個資主體有權隨時撤回同意,且撤回之方式應與同意之方式一樣簡單。外,對未滿16歲之未成年人,其個資處理僅限於法定代理人授權或同意之範圍內,方屬合法(滿16歲者可自行決定是否同意),GDPR並允許歐盟會員國可自行設定未成年人最低有效同意年齡,但不得低於13歲(例如會員國可設定年滿14歲者即可享有個資處理之同意權)。
綜上可知,GDPR雖提供數種除個資主體同意外合法處理個資之要件,惟此類要件均有不確定性與判斷空間,且GDPR方施行不久,目前尚無前例可循,建議企業於蒐集、處理個資時審慎以對,於事前以隱私權政策條款或問卷、電子視窗選擇等方式取得個資主體明確同意,並確保已經以易於理解、閱讀之語言、顯著之形式告知資料處理之目的、範圍、同意後之效果等,並留存相關紀錄;此外,企業應明確提供個資主體撤回同意之管道,並規劃撤回同意後之資料刪除、處理機制,以符合GDPR之要求。
若企業提供服務或營運之對象涉及未滿16歲(應注意歐盟各國可能設定更低年齡,但不得低於13歲)之未成年人,如電玩、手機App開發商、電子購物網站、社群網站等,建議應針對個資處理另外取得法定代理人之明確同意 ,以減少違反GDPR而遭行政處罰或個資主體求償之風險(詳後述)。


機構蒐集、處理個資應遵守透明原則(第12條至第13條)

GDPR要求機構以簡要、易懂之語言與個資主體聯繫、溝通,機構蒐集個資時,應向個資主體公開充分資訊,包括資料蒐集、處理者之身份與聯繫方式、資料保護長之聯絡方式、處理個資之目的與法律依據、個資之接收單位、進行境外傳輸時,是否具有充足保護措施等,並應告知個資主體關於自身資訊擁有之權利與資料遭洩漏或侵害時之救濟方式。
由於GDPR要求機構應充分向個資主體告知其權利義務,建議企業應檢視自身之隱私權政策條款,確保已經於相關條款內以易於理解之語言充分揭露上開資訊,以符合GDPR透明原則之要求。


個資主體享有「刪除權/被遺忘權」、「資料可攜權」、「拒絕權」、「個人化之自動決策之限制」等權利(第15條至第22條)

刪除權/被遺忘權(Right to Erasure/Right to be Forgotten)、資料可攜權(Right to Data Portability)
GDPR賦予個資主體關於自身資訊之「刪除權/被遺忘權」,除資料不正確或不完整得要求更正外,若有個資主體撤回同意、資料蒐集或處理之目的不復存在、個資遭非法處理、個資主體對於資料處理特定事由提出異議、個資係以未成年人基於法定代理人同意而提供之情形,本人均有權要求機構刪除個資,且機構不得無故拖延。若個資已經遭公開時,機構應採取合理之方式通知資料處理者,但為行使表達自由及資訊權,或為公共利益者,則不受限制。 資料可攜權(Right to data portability) 當資訊處理是以自動化方式、或該資訊係基於個資主體之同意、履約之必要而蒐集時,個資主體可向機構要求以通常、機器可讀的形式,將自身個資與相關資料攜帶或轉移至其他服務供應者,且資料可攜權的行使不得優於刪除權,於此規範下,倘個資主體要求刪除相關個資時,此權利將優先於將資料轉移之權利,例如於個資為多人共有權利之情形下(如家庭成員資訊),倘個資主體對於資料處理同時存在刪除與移轉之要求時,應以刪除資料之要求為優先。
拒絕權(Right to Object)、個人化之自動決策(Automated Individual Decision-Making)之限制
當機構處理個資之理由係基於公共利益或行使公權力所必要、或為追求正當利益所必須、或為直接行銷之目的所為時,個資主體有權隨時拒絕機構進行相關之資料處理。個資主體行使拒絕權時,除非該機構可證明具有優先於個人權利之重大正當事由,否則即應停止處理該資料;至於個人化之自動決策,包括涉及大量資料處理之個人化建檔行為(profiling),即透過自動化資料理之方式進行個資分析與預測活動時,須係為締結契約所必須、得到個資主體明確同意、或具有會員國充分合法授權之前提下方可為之。 綜上可知,GDPR除賦予個資主體高度支配自身資料之權利外,亦限制企業追蹤、蒐集個資主體偏好數據以進行預測等資料處理行為。建議企業應檢視現行或將來自身持有之個資類型、敏感性、保存與處理流程,並就個資主體可能提出之資料刪除、移轉及拒絕處理等情形設置相關配套機制,以避免遭處高額行政罰鍰之風險。


結語

GDPR擴大個資之範圍,並打破地理之限制,擴及適用各國機構,建議企業先行評估內部或相關子企業、合作廠商是否持有歐盟居民之個資,以確認自身是否為GDPR規範之對象;GDPR並要求企業於蒐集、處理個資時,應揭露充分資訊,同時賦予個資主體要求移轉、刪除個資之權利,為避免遭處GDPR高額行政罰鍰之風險,建議企業應針對現行隱私權條款與事前告知程序進行檢討評估,以設計完善之法遵與配套機制。。


如果您需要更多資訊,歡迎聯繫~

許兆慶博士 主持律師
+886.2.2719.6955
andrew.hsu@lexprolaw.com


林欣頤律師 助理合夥律師
+886.2.2719.6955
christina.lin@lexprolaw.com


蘇琬鈺 律師
+886.2.2719.6955
jercy.su@lexprolaw.com
本法規新訊僅供參考,並非正式法律意見
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>