相信各位這陣子都收到不少來自 Google、Facebook 等網路服務的「GDPR 規定」通知吧?到底這是什麼東西,為何各大網路巨頭都要發出相關聲明呢?跟你、我、我們所在的公司是否有關?本篇文章用最簡單的方式,告訴大家這個「史上最嚴格個資法」GDPR 到底是什麼。
簡單來說,GDPR 是什麼?
GDPR 全名為「General Data Protection Regulation」(一般資料保護規定),類似於台灣的個資法;雖然這項規定目前僅適用於歐盟,但其實你所在的公司也非常有可能需要受到 GDPR 的規範,原因可見下一段「誰需要遵守 GDPR」。
至於 GDPR 到底是什麼?簡單一句話說明,就是「歐盟公民享有資料刪除、更改、轉移的權利,且企業需保護用戶個資」,這項規定於 2016 年通過,並給予兩年的緩衝期,目前已經於 2018/5/25 正式上路。
這項法規是根據被遺忘權為基礎發展的,使用者可以要求擁有資料的一方,刪除所有個人資料的連結、副本、複製品、可攜帶權等等;也就是說,你可以要求 Google、Apple 等科技巨頭完全刪除你的資料,或是把資料轉移到其他服務上。
但除了網路服務以外,需要受到 GDPR 規範的企業還有很多。
誰需要遵守 GDPR?
(圖片來源:微軟)
但只要符合下列條件,就必須適用 GDPR:
- 客戶有歐盟公民
- 雇用歐盟公民員工
- 與歐盟供應商合作
- 不只企業、非營利組織與政府也適用
也就是說,如果你的公司或網站有來自歐盟的用戶、有歐盟的分公司,或是與歐盟所在的公司有商業往來,基本上就要適用於 GDPR;以網路無遠佛屆的特性,基本上任何國際網站都必須要適用這項規定,這也是為什麼 Google、Facebook、Dropbox、Airbnb 等網站最近狂發信的原因了。
但這項規定也不局限於網路,就算是餐廳、航空公司、銀行、計程車,只要握有歐盟客戶的任何資料,像是姓名、住址、電話、信用卡等等,就必須受到 GDPR 的規範,幾乎是包含了全部產業。
另外,由於歐盟向來是世界人權隱私保障的指標,因此也可預期 GDPR 的相關規定在不久後,也會適用於歐盟以外的其他國家。
GDPR 保護哪些個資?怎樣算違法?
GDPR 保護的個資種類非常多,像是電話、地址、車牌、指紋、相片、郵件內容、問卷,甚至地理位置、社會認同等等。在數位領域,Cookie、IP、ID、社群網站活動紀錄也都包含其中。
至於怎樣是違反 GDPR,可以分為以下幾種:
- 保護不周:企業對民眾個資保護不周,被竊取、外洩。就算個資未外洩,只要防護不周就算違反。
- 脫離約定目的、缺乏正當性:像是把某活動搜集的個資,用於另一個無關的活動或機構使用。
- 未給予當事人應有權利:包括前面所述的「刪除」、「更正」、「轉移」等權利。
如果沒有妥善處理個資或是造成外洩,需要在 72 小時內通報給主管機關;而企業如果沒有執行個資保護風險評估、沒有保護機制、違法向第三國提供用戶個資等等,可罰以 2000 萬歐元(約台幣七億元)或全球營業額的 4% 罰鍰。
由於這項規定在 5/25 開始實行,因此若現在還不清楚自己的企業是否適用 GDPR 規範,或是現有機制是否會違反 GDPR,建議尋找相關機構或專業的顧問單位協助。
(資料來源:GDPR、數位時代、微軟 GDPR 網頁)