然而,GDPR卻指出,不僅歐盟境內的公司必須遵守,凡是公司提供服務的過程中,會蒐集、處理、利用到歐盟境內的個人資料,縱使公司坐落於歐盟境外,都必須受到該法令的規範。這一規範直接導致的結果是,全球只要有與歐盟客戶互動的企業,都將直接或間接受到影響。
觀察歐盟與台灣前年雙邊貿易概況,歐盟不僅高居台灣全球第五大貿易夥伴,占台灣對全球貿易總額的九.五七%;更是台灣第四大出口市場,占出口總額八.七七%。
此外,自一九五二到二○一七年逾六十年間,歐盟一直是台灣境外直接投資的最大來源國,項目涵蓋電子零組件、批發零售及金融保險等幾乎各主要產業,顯示台歐貿易往來之密切。
「以台灣來說,在歐盟當地擁有品牌的電子業,或提供App等軟體服務產業,在提供服務過程中或產品送修等服務的過程,即面臨個資法律遵循的問題。其他如金融業、航空業及涉及雲端服務的科技業者,也都將直接受衝擊。」安侯法律事務所執行顧問、國際隱私專業協會資訊隱私專家翁士傑受訪時表示。
衝擊二:個資認定標準超高
如果只是將適用範圍擴至域外,但對個資規定的內涵並沒有改變,那對海外企業衝擊或相對有限。惟GDPR此次的修訂,亦大幅擴增了個資的定義範圍。
GDPR對個資的認定,不僅包含個人身分和生物特徵等可識別的資料(PII),如電話號碼、地址、健康資料、指紋及電子信箱等,GDPR更進一步將「網路識別資料」(online identifier)」,例如個人的cookie、IP位址、行動裝置ID、社群網站活動紀錄等,都視為個資加以保護。
「相較於台灣目前連手機號碼和車牌號碼是否為個資,法院都還有不同見解。歐盟對個資認定的寬廣,恐已超越台灣法院及政府機關的想像。」達文西個資暨高科技法律事務所所長葉奇鑫,直陳GDPR對個資認定實屬「超高標準」。
另一方面,GDPR在企業對個人資料取得與處理上,對當事人是否「同意」設定了更為嚴格的成立要件。「在GDPR下,當事人的同意必須是『自主授予、具體、知情且明確』。如果當事人保持沉默、未表示意見或無作為等情況,在GDPR的認定下,均不能構成同意。」德勤商務法律事務所律師張憲瑋指出。
對此,專研《個資法》的東海大學法律學院教授范姜真媺表示,這與台灣現行《個資法》第七條,規定當事人未明確拒絕即表示「默示同意」,在規範的嚴謹度上實有相當大的差距。
此外,在針對個人資料的跨境傳輸上,GDPR更進一步將企業須遵守的相關流程予以明確化。
台灣《個資法》是採取「原則許可,例外禁止」,亦即除了極少數情況,政府在對企業個資的跨境傳輸上基本沒有限制。相對地,GDPR則是採取「原則禁止、例外開放」的方式。如果第三國要將資料傳出到歐盟境外,則須符合歐盟的「適足性評估標準」,惟台灣被歐盟認定對隱私的保護未臻完備,因此在適足性上目前仍未獲歐盟認可。
除了國與國之間的適足性評估,針對企業內部資料傳遞及企業間資料傳遞,GDPR亦設有「企業拘束規則」(BCR)與「標準契約條款」(SCC)。「例如今天有一家竹科廠商要到歐洲設廠,他屆時傳資料回台灣總公司,就必須先通過BCR;如果是要傳給集團外公司,則要通過SCC。」資策會科法所科技應用法制中心律師蘇柏毓解釋。
衝擊三:巨額罰單一次就痛
那如果違反跨境傳輸的規定又會如何呢?答案將是,史無前例的巨額罰款!這也是此次GDPR讓臉書及微軟等許多跨國科技巨擘聞之色變的一大因素。
GDPR規定,企業未經歐盟認定而逕行將個資傳輸予境外第三方時,將可被處以高達該企業年度全球營業額的四%,或兩千萬歐元(約新台幣七.二億元)的罰款,以兩者金額較高者為裁罰基準。
其他GDPR認定明顯侵害當事人隱私權益的情況,如非法處理個資、沒有合法理由拒絕用戶停止處理個資的請求等,也都將被以該「最高級別」的罰金伺候。「以此次臉書大規模洩漏個資的嚴重性,就適用GDPR的最高罰款。」蘇柏毓指出。
若以去年營收約四百億美元計算,意味著臉書將付出高達十六億美元(約新台幣四八○億元)的超高罰金。「相對於企業若違反台灣《個資法》,僅有新台幣五十萬元的罰鍰,四%的全球營收根本就是天價!」葉奇鑫感嘆。
「如果罰金是五千萬或一億元,那大公司可能覺得還好,但如果是全球營業額的四%,我們多數製造業的毛利率也不過三、四%,只要被罰一次,輕則影響當年股利發放,重則對公司營運穩健構成威脅!」資策會科法所資深研究員戴豪君指出。
同時,戴豪君亦提醒, GDPR的罰款金額是「取營業額百分比及固定金額兩者高者」。「亦即縱使公司營業額只有一億元,GDPR一樣可以罰到兩千萬歐元,公司只要被罰一次就再見了,中小企業主千萬不要抱持僥倖心理!」
對此,翁士傑觀察,儘管最近受臉書個資事件影響,強化台灣企業對於GDPR上路後產品營運行銷的衝擊意識,但多數台灣企業尚缺乏GDPR對產業營運衝擊足夠的理解。「不少受GDPR衝擊影響的台灣企業,可能都還沒開始著手進行調整!」他憂慮地指出。
此外,為確保企業能具體落實對個人隱私權的保障,GDPR規定,除了那些會定期進行數據蒐集及處理的歐盟會員國公務機關外,機構或企業若涉及有定期且系統性監控活動,或有使用及處理大量特種個資的情況,都必須設立一具有個資法專業知識及實務經驗的「資料保護專員」(DPO)。
因應!先做高風險個資盤點
企業如果未設置DPO,嚴重性雖未及違反跨境傳輸,但仍將面臨營業額二%或一千萬歐元的罰款。「歐盟非常重視DPO的角色,因為他未來就是扮演公司對外溝通個資保護機制的主要窗口。如果一家公司個資保障有疑慮,歐盟第一個找的就是公司的DPO。」蘇柏毓說。
對此,范姜真媺談到,儘管台灣《個資法》第十八條也有類似規範,但僅要求配置「專人」辦理資訊安全事項,且對象也只針對公務機關。「資料保護專員必須懂資安技術也懂法律,但台灣目前相關業務仍多由資訊人員擔任,他們對法律面未必熟悉。」她指出。
勤業眾信風險管理諮詢公司副總經理林彥良,則從「非關稅貿易壁壘」角度看待新增DPO的規定。「許多台商過去在海外布局,往往為了節省成本,當地人力能不配置就不配置,如今要求設置DPO,台商要不選擇新增資安人力因應,要不就增聘律師團隊,然而無論選擇哪者,都是法遵成本的增加。」
離GDPR上路不到兩個月時間,企業究竟該如何因應?
對此葉奇鑫表示,雖然GDPR內容中還有許多不確定的地方,「但企業可先從比較具體的規定開始,能做的先做。例如,應可先進行手上的個資盤點,盤點究竟持有多少歐洲人的個資;下一步則重新檢視公司的隱私聲明是否符合GDPR的規範,並設置個資保護官,同時法遵部門須持續追蹤GDPR的執行動態。」他建議。
針對資料保護長的設置部分,林彥良則提醒,如果企業在歐盟許多會員國都有據點,因應各會員國當地資料保護官(DPA)的法律規範細部差異,主體資料保護長的設置區位就顯得相當重要,「例如在英國,DPO違反法令是有刑責的,但像愛爾蘭因為政策鼓勵新創,對DPO的法令規範就較為寬鬆。」林彥良解釋。
張憲瑋則是認為,此次GDPR對台商營運固然造成衝擊,然而未嘗不是機會。「相關因AI、大數據應用所衍生的個資處理,在國際上碰到的適法性問題,將藉此次GDPR的適用獲得某種程度的釐清。如果能參考GDPR修改台灣的《個資法》,那麼企業未來在適用GDPR的同時,也就一併能解決本國《個資法》的適用問題。」
