2018年6月3日 星期日

沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR

沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR

 

https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu-

2018.05

「被遺忘權」為基礎,GDPR牽動全球企業

重視人權的歐盟,在1995年制定了個人資料保護指令(Data Protection Directive),但23年前網路服務並不普及,為了符合現代時空環境,2016通過「一般資料保護規則」(General Data Protection Regulation, GDPR)取代了先前的法規,並在實際執行前,給了歐盟兩年的緩衝期,訂在2018525日正式執行

 

這項法規的基礎,是「被遺忘權(right to be forgotten」,是一種在歐盟已經付諸實踐的人權概念,

可以要求控制資料的一方,刪除所有個人資料的任何連結(link)、副本(copies)或複製品(replication);

還有「資料可攜權(Right to data portability)」,意思是用戶可以將A服務的資料,轉移到B服務上,這也就是為什麼Instagram最近推出資料打包備份功能、蘋果推出管理個資工具

根據GDRP官網描述,這條法規是「保護以及加強歐盟成員國人民的資料隱私,以及重塑整個地區內的組織處理資料隱私的方法。」雖是這麼說,但正因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言

 

適用於GDPR規範,影響的範圍包

 

客戶中有歐盟公民:

 像是餐廳、旅館、旅行社、計程車、電商等,只要握有歐盟公民顧客的個資、信用卡資料都算。

雇用歐盟員工、歐盟供應商: 無論是正職員工、兼職員工、供應商、合作廠商,只要握有他們保險資料、薪資紀錄、聯絡資訊等都算。

非營利組織與政府機構 :不是只有企業,非營利組織與政府機構也適用 GDPR,如果志工、會員、贊助者、捐款人、顧問是歐盟公民,所掌握的聯絡資訊、稅捐資料等,都受 GDPR 規範。

為了避免個資被任意分享或販賣給第三方,GDPR保護的個資範圍包括:

個人身分、生物特徵:

 例如電話號碼、地址、車牌、病歷資料、指紋、臉部辨識、視網膜掃描、相片、影片、電郵內容、問卷表單等,甚至社會認同、文化認同、地理位置等,只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。

線上定位資料: 例如 CookieIP 位置、行動裝置 ID、社群網站活動紀錄等。

違反GDPR,最高可罰7億台幣

一旦沒有妥善處理個資或個資外洩,需要在72小時內通報給資料保護主管機關(Data Protection Authority),如果沒有執行個資保護風險評估、沒有任命資料保護長、沒有即時通報、違法向第三國傳輸個資。

一旦違反以上狀況,會被處以2 千萬歐元(約新台幣7億元)或全球總營業額4% 的罰鍰。

台灣3大產業影響最深

網路零售:

 這是一個會處理大量個人識別資訊(PII)產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於GDPR規範中。

金融: 金融機構持有大量個人識別資訊(PII),每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。

航空運輸: 這很好理解,以台灣華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。

 

 

目前,台灣個資法第七條對個資收集的同意,仍是採取「推定同意」(當事人如未表示拒絕,相關單位若已提供其個人資料者,則推定當事人表示同意。),

而非GDPR的「自願、具體聲明同意」的型態,許多國內專家認為應該要盡速修改為如同GDPR的同意要件。

另外,前前後後費時三年,《資通安全管理法》也在511日於立法院三讀通過,未來台灣資安發展將邁向制度化,跟上世界各國的資安趨勢。


沒有留言:

張貼留言