專家傳真-GDPR與台個資法的差異與調和
工商時報【李立普、陳成曄寰瀛法律事務所執行長、律師】 歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)自從去年5月在歐盟實施以來,已經一年有餘,法國國家資訊自由委員會,在今年1月對Google以違反GDPR裁罰5千萬歐元,是GDPR實施以來最大金額的罰鍰,有此重罰之前例,國內企業實不宜忽視歐盟GDPR管制的力道及範圍。故以下簡介一些GDPR與我國個資法相異之處,提醒企業在涉及個資蒐集處理時需特別注意之事項: 一、適用範圍 我國囿於獨特國際地位,在實務上甚難對境外法人違反個資法進行追訴處罰。反觀歐盟,GDPR不管是任何一國的機關、企業或自然人,只要對歐盟境內的人民蒐集處理個資,就受規範,且身為世界最重要之經濟體之一,歐盟實際上係有能力對於外國企業違反GDPR進行一定程度之制裁,上述歐盟對Google之處罰即為適例。因此,對於台灣之企業,如在歐盟進行商業活動而有取得、處理歐盟居民之個資,恐有遵守GDPR之必要。 二、同意之要件 個資的處理與蒐集時常需要踐行告知資料主體後取得資料主體之同意的程序。而GDPR對何謂有效同意之認定,較我國個資法更加嚴格。依我國個資法,資料主體的同意,得以明示或默示為之;然而GDPR所要求的同意,必須以聲明或明確的行動,為自主、具體、知情、明確之同意,過於模糊或四散各處的說明、預設為同意的選項、撤回同意之難度過高,均有可能違反GDPR的要求。 三、資料主體之權利 GDPR與我國個資法對於資料主體之權利,主要在於GDPR就被遺忘權、資料可攜權、自動決策等權利有更多的著墨: 1.被遺忘權:我國個資法僅規定在個資蒐集的特定目的消失、期限屆滿或違法時,應主動或依當事人之請求刪除個資;GDPR第17條則除前述情形外,更賦予個人只要撤回其同意,而該資料蒐集處理已無其他法律依據時,即可要求刪除個資。 2.資料可攜權:GDPR第20條規定資料主體有權要求資料控管者以個資提供予自己或傳輸給指定的其他控管者。我國個資法則無相類規定。 3.自動化決策之相關權利:所謂自動化決策,指蒐集個資後,未經人為參與,即作成對資料主體具有法律效果或類似效果之決定,譬如:警方僅以測速、拍照辨識車牌、比對資料庫後,不經人為確認直接為超速之罰鍰屬之,即屬一種自動化決策;或企業對網路求職申請作自動化拒絕亦屬之。GDPR規定,資料主體有權不受自動化決策的拘束,並得要求人為參與、表達意見及挑戰決策的權利,我國個資法無相類規定。 四、資料控管者及處理者之義務 我國個資法要求對保管之個資採取一定的安全措施,且應符合當時科技或專業水準可合理期待之安全性,惟未如GDPR明確要求資料處理最小化、個人資料假名化、處理過程透明化等。GDPR更對資料控管及處理者,要求在涉及大數據處理或其他系統性、大規模處理個資的情形,應作成資料保護影響評估,並設置專責之資料保護員,我國則無此規定。 五、跨境傳輸 對於跨境傳輸個資,我國個資法係採原則上允許跨境傳輸,僅特殊情況例外禁止之制度。但GDPR則係採取原則禁止之態度,僅在接受國有取得適足性認定、企業自主採行符合規範之保護措施告知風險後當事人明確同意等情形,例外允許資料控管者將個資傳輸至歐盟以外國家。 上述五點,為對企業而言較主要的規範差異。最後要注意,我國個資法就違反個資法之行政罰鍰,雖然未若GDPR得裁罰2千萬歐元或前一會計年度全球營業額之4%等鉅額罰鍰,但卻有刑事責任的規定。企業法遵應注意兩者規範之異同,一併謹慎遵循。