歐盟新個資保護法(GDPR)將帶來新的數位個資保護生態?
文章推薦指數: 80 %
Data Processors ( 個人資料處理者):處理個人資料的執行者. (參考Chapter 1: General Provisions, Article 1: Subject matter and objectives).
Navigate
CoverPhotoCredit:CC0
GeneralDataProtectionRegulation(GDPR)將取代「個人資料保護指令」(DataProtectionDirective,95/46/EC)在2018年5月25日實施,倒數時間不到一年,往後若有違法者,將可能受到高額罰金的懲罰。
本篇將針對這部新法做出幾項變革介紹。
GDPR中所涉及的主體
DataSubject (個人資料主體):個人資料擁有者
DataController(個人資料控制者):個人資料收集與處理的控制者
DataProcessors(個人資料處理者):處理個人資料的執行者
(參考Chapter1:GeneralProvisions,Article1:Subjectmatterandobjectives)
GDPR中所定義的「個人資料PersonalData」
指能夠識別(直接/間接)或者足以識別自然人個人資料的任何相關資訊,譬如身分證字號、定位資料,或任何涉及自然人個別的生理、心理、精神、遺傳基因、社會文化認同、政治思想、經濟地位等不同形式的資料。
Chapter1:GeneralProvisions,Article4Definition(1)‘personaldata’meansanyinformationrelatingtoanidentifiedoridentifiablenaturalperson(‘datasubject’);anidentifiablenaturalpersonisonewhocanbeidentified,directlyorindirectly,inparticularbyreferencetoanidentifiersuchasaname,anidentificationnumber,locationdata,anonlineidentifierortooneormorefactorsspecifictothephysical,physiological,genetic,mental,economic,culturalorsocialidentityofthatnaturalperson;
使用資料前必須先得到個人同意(Consent)
關於這點我想我們都很有感,譬如臉書、Google的演算法,總是在廣告欄迅速的推播我們曾經關心過的商品或品牌。
其實這些網路足跡也都屬於個人資料的一環,只是我們都不清楚在哪個環節將這些個人的數位資訊提供給臉書或Google等企業加以利用了(其實就在睜著眼點連續點擊同意的情況下)!過去也有一種聲音是,就算個資被利用又如何,這是每個享受數位時代便利性時對於個人資料必須取捨的。
但在GDPR法案通過後,將個人資料的授權的控制權還給每個歐盟的居民,在法案之後企業不得再像金融商品的購買資料寫的一大堆密密麻麻,意圖使消費者忽視這些與自身權益相關的條款,最後再奉送上一句「投資一定有風險,基金投資有賺有賠,申購前應詳閱公開說明書。
」,就這樣將風險轉嫁給消費者。
在此之後企業必須以潛顯易懂的機制,讓網路使用者理解個人資料授權的利用範圍與方式,並且還要讓使用者能夠容易地接觸到授權機制,能夠在不受限的情況下「授權」或「解除授權」。
(參考Chapter1:GeneralProvisions,Article7Conditionforconsent)
歐盟擴張該法適用的管轄權(extra-territorialapplicability)
數位時代資訊的快速流通,以及世界人口遷徙、流動幾乎不受限制,為了讓適用此法的個人獲得完善的保護,因此法規所適用的管轄擴及到歐盟境外的企業。
受到GDPR拘束的除了在歐盟境內有營業據點的企業,也及於歐盟境外提供商品、服務俾歐盟成員國居民的企業。
也就是說,企業無論是否設點於歐盟境內,都會因為提供商品、服務俾歐盟成員國居民時,不論此項商品/服務是否需要付款,只要涉及主體的個人資料處理或監控敏感性資料,皆必須遵守此項規範。
(參考Chapter1:GeneralProvisions,Article3Territorialscope)
具體而言,權利義務的主體如下:
1.DataSubject (資料主體):不論是否居住於歐盟境內,只要是歐盟會員國的公民,均受保護
2.DataController(資料控制者)與DataProcessors(資料處理者):不論是否於歐盟禁內設立營業據點,只要提供歐盟會員國公民服務,接觸到其個人資料,即屬之。
賦予人們對於個人資料的三項新權利
「資料取得權(RighttoAccess)」
個人資料的主體有權在得知企業處理個資的目的、範圍與方式後,方決定授權與否,取得授權後企業方得以加以處理、利用之。
(參考:Chapter3:RightsoftheDataSubject,Section2:InformationandAccesstoData, Article15Rightofaccessbythedatasubject)
「被遺忘權(RighttobeForgotten/DataErasure)」
規定的被遺忘權其實我們不陌生,最常見的場景就是,是否能夠要求資料上傳者或搜尋引擎等平台,將網路上關於個人的不實甚至是負面資訊刪除。
也就是說,被遺忘權在歐盟確實確立。
(參考:Chapter3:RightsoftheDataSubject,Section3:RectificationandErasure,Article17“Righttoerasure”/“Righttobeforgotten”)
「資料可攜帶權(DataPortability)」
筆者認為資料可攜帶權的觀點就是將「個人的數位資料」視為資產,且這項資產是個人資料主體有權要求企業將其特定個人資料在指定的企業間交互利用。
(參考:Chapter3:RightsoftheDataSubject,Section3:RectificationandErasure,Article20Righttodataportability )
「隱私設計(PrivacybyDesign)」概念的落實
隱私設計的概念簡而言之的說,就是將「隱私保護」在系統中設為預設值(或者說是基本配備),企業必須投入妥適的成本,應用適當的科技提供保護。
(參考:Chapter4:ControllerandProcessor,Section1:GeneralObligations,Article25Dataprotectionbydesignandbydefault)
公司組織架構:企業內須設置「資料保護官(DataProtectionOfficers)」
資料保護官當然必須具備個資保護領域技術與法規層面的專業,但並無限制一定必須是企業內部員工,企業亦可將此職務外包,而資料保護官最重要的職責當然就是檢視企業內部的個資保護是否完備,筆者相信這部法規在正式實行前,已經在勞動市場中產生職位與新機會了!
(參考Chapter4:ControllerandProcessor, Section4Dataprotectionofficer)
一千萬歐元或年營業額2%–4%的巨額罰款
違反該法各條規定的企業,可能受到的行政罰鍰從一千萬歐元,或2%-4%在全球的年營業額。
(參考:Chapter8:Remedies,Liability,andSanctions,Article83Generalconditionsforimposingadministrativefines)
對於網路生態的影響
這項法規的執行對Google、Facebook、Line、Amazon、Airbnb、Spotify等線上服務平台首當其衝,這些國際性的大平台雖然擁有龐大的資訊,但使用者幾乎涵蓋全球(當然不包含中國),當然這之中也包含歐盟會員國的公民,而這是否讓我們將受惠於GDPR與這些在世界各地的使用者,讓擁有龐大資料的網路巨頭改變整體的使用生態?
不過,就算生態因此改變,在線上對於資訊多數的我們應該還是怠於行使權力,享受著平台推播給我們的廣告,畢竟逛廣告似乎已經成為慣性娛樂了(眼睛業障重又腦波弱,常常不知不覺花很多時間沈浸在逛廣告啊…)。
而即便網路的生態改變了,在法律上,台灣的個人資料法及相關的法規尚未確立擴充隱私權的範疇與內容前,資料取得權、被遺忘權與資料可攜帶權的主張與行使都是存疑的。
參考資料:
1.GeneralDataProtectionRegulation(GDPR)
2.GDPRKeyChanges
GDPR個資歐盟
PreviousArticle到韓國必吃的冰品Sulbing雪冰설빙進軍海外受阻?
NextArticle網購資安拉警報!誰能在個資大戰中躲過一劫?
AboutAuthor
Leona
Facebook
LinkedIn
喜歡法律與哲學的宇宙人,但更熱愛創新所帶來的新事物,正努力向各界學習,過著只有一生的StartUpLife。
Mymotto:“Don'tlimityourchallenges;challengeyourlimits.”―JerryDunn
Commentsareclosed.
Follow智由博集onFacebook
智由博集
線上使用者20位使用者正在線上1位使用者正在瀏覽此頁。
使用者:1位訪客
訂閱電子報
其它
登入
文章RSS訂閱
迴響RSS訂閱
WordPress台灣正體中文
×
SignIn
LogIn
Lostpassword?
LogIn
Don'thaveanaccount? RegisterNow!
×
RecoverPassword
RecoverPassword
Recover
×
Register
LogIn
Apasswordwillbee-mailedtoyou.
Register
延伸文章資訊
- 1數據資料處理協議 - SimplyBook.me 一站式線上預約排程解決方案
Data Subject Requests V. Sub-Processors VI. Data Transfers VII. Standard Contractual Clauses VIII...
- 2sub-process - 子處理 - 國家教育研究院雙語詞彙
- 3subprocessors 中文 - 查查詞典
subprocessors中文意思:[網絡] 次級處理器…,點擊查查權威綫上辭典詳細解釋subprocessors的中文翻譯,subprocessors的發音,三態,音標,用法和造句等。
- 4歐盟新個資保護法(GDPR)將帶來新的數位個資保護生態?
Data Processors ( 個人資料處理者):處理個人資料的執行者. (參考Chapter 1: General Provisions, Article 1: Subject matte...
- 5personal-data-processing-agreement-for-sap-cloud-services ...
processing of Personal Data in accordance with this DPA, including, ... Personal Data is a sub-se...