文/吳建輝/新新聞
強化域外效力,GDPR對台灣衝擊強大
歐盟《一般資料保護規則》除了被稱為全球最嚴格的個資保護規範外,在諸多面向也改變了個資保護的實質規範內容,此條款生效將對台灣經濟有重大影響,而觀諸我國目前因應GDPR的準備,帶來的衝擊恐不容樂觀。
五月二十五日,經過兩年準備後,歐盟《一般資料保護規則》(GDPR)正式生效,這個規則除了被稱為全球最嚴格的個資保護規範外,在諸多面向也改變了個資保護的實質規範內容,擴大了GDPR的域外(extra-territorial)適用範圍,並且對於資料的跨境傳輸設下嚴格條件。GDPR的生效將對台灣經濟有重大影響,而觀諸我國目前因應GDPR的準備,帶來的衝擊恐不容樂觀。
▲個資移轉是經濟全球化、產業分工的重要環節。(圖/柯承惠攝影/新新聞)
事業非設立於歐盟同樣適用
GDPR除173段序文外,共分為11章,計有99條文。GDPR的影響力之所以無遠弗屆,是因為它強化了域外效力。
對於設立在歐盟境內的事業(establishment),不論個資處理是否發生於歐盟境內均適用。即令事業非設立於歐盟,若其資料控制者(controller)或處理者(processor)的資料處理,涉及歐盟個資主體(personal data subject),且是向歐盟境內的個資主體提供貨物或服務,或監控該個資主體在歐盟境內的行為時均適用。前者當我國的產業,向歐盟個資主體提供服務或貨物時就適用;後者如Google或Facebook的商業模式。
就實質規範而言,GDPR於第二章與第三章規範個資處理原則以及個資主體權利。前者涵蓋如何確保資料處理的合法性(lawfulness)、合法同意(consent)之條件、兒童之同意、特殊類型個資(如種族、宗教、政治信仰)以及刑事犯罪紀錄的處理。
個資主體的權利部分,除了眾人所熟知的遺忘權(right to be forgotten)外,並包含個資主體的接近使用權、更正權(right to rectification)、個資可攜帶性(portability)。甚至規範尚未自個資主體取得資料時,控管者應提供的資訊,以及向個資主體蒐集資料時,應提供的資訊。
〈完整內容請見新新聞1630期〉