歐盟一般資料保護規範
《一般資料保護規範》(英語:,缩写作 ;欧盟法规编号:(EU) 2016/679[2];通用資料保護規則),是在欧盟法律中對所有歐盟個人關於保護和隱私的規範,涉及了歐洲境外的個人資料出口。GDPR 主要目標為取回個人對於個人資料的控制,以及為了國際商務而簡化在歐盟內的統一規範。[3]
| 欧盟法规 | |
|---|---|
| 标题 | 关于在处理个人資料和在转移这些方面保护自然人的法规,以及废除指令95/46/EC(指令) |
| 通过机构 | 欧洲议会和欧盟理事会 |
| 日志记录 | L119,2016年5月4日,p. 1–88[1] |
| 历史 | |
| 推出日期 | 2016年4月14日 |
| 生效日期 | 2018年5月25日 |
| 准备文本 | |
| 委员会建议 | COM/2012/010 final –2012/0010(COD) |
| 相关法规 | |
| 代替条文 | 指令 |
GDPR取代了歐盟在1995年推出的歐盟個人資料《指令》(Data Protection Directive)95/46/EC,該條例包含有關處理歐盟內部主體的個人可識別資訊的條款和要求,適用於與歐洲做生意的所有企業,不論實體位置何在。處理個人的業務流程必須在設計和情況下構建保護,這意味著個人必須使用假名化或匿名化進行存儲,並且使用盡可能最高的隱私設置,以避免公開未經明確同意,並且不能用於識別沒有單獨存儲附加的主題。任何個人除非在法規規定的合法基礎上完成,否則控制者或處理者已經從所有者那裡獲得明確的選擇同意。所有者有權隨時撤銷此權限。
個人處理者必須清楚地披露任何收集,聲明處理的合法基礎和目的,保留的時間以及是否與任何第三方或歐盟以外的國家共享。用戶有權以通用格式請求處理器收集的的便攜式副本,並有權在特定情況下刪除其。 公共主管部門和以核心活動為中心定期或系統地處理個人的企業需要雇用保護官員(DPO)負責管理GDPR的合規性。如果資料洩露對用戶隱私產生不利影響,企業必須在72小時內報告任何資料洩露。
本法案在2016年4月27日通過,兩年的緩衝期後,在2018年5月25日強制執行[4]。根據歐洲聯盟運作條約第288條第2項,因為GDPR属于欧盟条例(英語:;德語:),不是指令(英語:;德語:),所以不需經過歐盟成員國立法轉換成各國法律,而可直接適用[5]。隨著英國在2019年脫離歐盟,它於2018年5月23日御准批准了2018年資料保護法案 。该法案包含了相應的法規和保護措施[6][7]。
摘要
GDPR延伸歐洲資料保護法的領域至所有處理歐盟住民的境外公司。[8] GDPR使通行歐盟的資料保護規章一致,因此使歐洲以外的公司能夠更容易地遵守這些規章;然而,其代價是嚴格的資料保護規定,且有著公司全球收益4%或兩千萬歐元(擇高者)的高額罰款。[9]
原則
OECD 發表“個人隱私和跨境流動保護指南”,這是歐盟和美國批准的一系列建議,旨在保護個人和隱私的基本人權。最初於1980年9月23日通過法律,並且基於以下八大原則[10]產生出後來的 GDPR 、95/46/EC。
- 取得限制 (Collection Limitation Principle)
個人資料的收集應存在適當的限制,進而以合法且公平的方式取得,並且透過適當的方法知會資料來源或者主體,再進一步取得同意。
- 資料品質 (Data Quality Principle)
個人資料應與其使用目的相關,並且在必要的範圍內,確保資料的準確性以及完整性,並隨時更新。
- 目的明確 (Purpose Specification Principle)
資料取得的目的應於收集資料時就清楚說明,並且在使用資料時,如果沒有通知來源主體,不得應用在和當初目的不相關的用途上
- 使用限制 (Use Limitation Principle)
除非經資料主體或法律授權,否則不得將個人資料用於原始或者特定目的以外之目的
- 安全防護 (Security Safeguards Principle)
個人資料應受到合理的安全保護措施之保障,以防止丟失或未經授權的訪問,破壞,使用,修改或披露等風險。
- 開放原則 (Openness Principle)
關於個人資料開發、應用方法,應有一個通用的開放政策去規範。並且資料主體可以輕鬆得取得關於其本身資料的細節,例如資料使用者的身份以及目的等等。
- 個體參與 (Individual Participation Principle)
資料主體擁有資料的取用權,也有資料的拒絕被使用權。此外也能夠質疑資料的正確性,並作出合理的處置(刪除、修改等)。
- 責任原則 (Accountability Principle)
資料持有者應對上述原則負責。
主要變動
儘管歐盟在1995年制定了個人資料保護指令(Data Protection Directive),但當時網路並不普及,為了因應當前資料導向的潮流以符合現代時空環境,2016年通過 GDPR 取代了先前的法規,而主要變動如下:
增加管轄範圍、加強罰則
正因為網路無遠弗屆的特性,在以往指令的區域適用性含糊不清的情況下,常常在相關案件的審理上窒礙難行。因此 GDPR 擴展了其管轄範圍,不管公司所在位置為何,現在只要有使用到歐盟人民所擁有的資料,或者向歐盟公民提供商品或服務的公司皆適用於 GDPR。
除此之外也加強了罰則力道,例如沒有足夠的客戶同意來處理或違反隱私設計概念的企業組織,將會被歐盟處以高達年度全球營業額的4%或2000萬歐元(以較高者為準)。值得注意的是這些規定同時適用於決策者以及「機器」,這代表的相關的雲端服務也在管轄範圍內。
更規定在向使用者請求資料使用權時,須以提供於理解且明確的說明,並且也要讓使用者易於要撤回同意。
適用對象
下列適用對象握有其客戶或成員相關資料,皆受 GDPR 管轄。
| 適用對象 | 例子 |
|---|---|
| 客戶中有歐盟公民 | 餐廳、旅館、旅行社、計程車、電商 |
| 歐盟供應商、雇用歐盟員工 | 正職員工、兼職員工、供應商、合作廠商 |
| 非營利組織與政府機構 | GREENPEACE、NGOs |
保護範圍
只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。
- 個人身份 - 電話號碼、地址、車牌等
- 生物特徵 - 歷資料、指紋、臉部辨識、視網膜掃描、相片等
- 電子紀錄 - Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄
法規基礎[11]
- 被遺忘權 (Right to be forgotten):可以要求控制資料的一方,刪除所有個人資料的任何連結、副本或複製品。
- 取用權 (Right to Access):可向資料控制方,尋求關於使用者本身的資料之使用方法、地點及目的等等。此外控制方也應以電子形式提供資料的副本供擁有者參考。
- 資料可攜權 (Right to data portability):意思是用戶可以以通用、機器可讀的形式取得某一服務的資料,進而轉移到另外一個服務上
- 隱私始於設計 (Privacy by design):組織需要採納隱私設計的架構,在最初階段就對隱私及資料保護問題進行預測及因應,並且應對裝置及應用程式實施嚴格的身分驗證及授權機制。
企業責任
知悉個資遭侵害,需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。
影響產業
由於 GDPR 大大擴展了其涵蓋範圍,因此受到了全球的廣泛關注,因為從以往地域上的限制,轉變成為凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。
受到影響的產業非常廣泛,影響甚大的產業有幾項:
醫療資訊
為了有效推動智慧醫療,許多病患的醫療資訊必須電子化,透過各種深度學習演算法去訓練模型,進而達成各種需求。而電子病歷所衍生的隱私問題,在高度安全的區塊鏈技術尚未普及的情況下,雖然可以透過去識別化初步的過濾掉個人資訊,然而在以往尚無法律強制性的時期,卻也無從確實地在使用醫療資料上保障個人隱私。現在,基於 GDPR 的規定,取得醫療資料的前提是有取得病患的同意,雖然增加了一些程序,但資料安全與隱私的保障所帶來的益處,不僅能夠保障病患的基本權利,也能提升資料使用上的正當性。
網路零售
這是一個會處理大量個人可識別資訊之產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於 GDPR 規範中。再加上網路服務隨之產生的資料之大,使其更首當其衝,這也正是為何蘋果等網路服務公司 也推出了個資管理系統,以因應 GDPR 修訂。
金融
金融機構持有大量個人可識別資訊,每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。再加上歐盟在世界經濟中佔有第二大位,金流來往頻繁,更不用說近年區塊鏈技術的興起,資料隱私安全議題更是影響甚大。
航空運輸
航空運輸主宰當今人口移動的方式,旅客往返的機票、出入境資料也都涉及個人隱私。以台灣為例,華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
参考文献
- 引用
- . Eur-lex.europa.eu. [2018-05-28] (英语).
- . Eur-lex.europa.eu. [2018-05-28] (英语).
- Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex," 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf 页面存档备份,存于
- . [2018-05-01]. (原始内容存档于2017-12-29).
- Blackmer, W.S. . Information Law Group. InfoLawGroup LLP. 5 May 2016 [22 June 2016]. (原始内容存档于2018-05-14).
- . Out-Law.com. [25 May 2018]. (原始内容存档于2018-05-25).
- . Computer Weekly. [25 May 2018]. (原始内容存档于2018-05-24) (英国英语).
- . General Data Protection Regulation (GDPR). [2018-04-12] (美国英语).
- . [2018-04-12]. (原始内容存档于2018-04-12) (美国英语).
- . [2019-06-17] (美国英语).
- . [2019-06-17] (美国英语).
外部連結
- Regulation (EU) 2016/679 of the European Parliament and of the Council 页面存档备份,存于 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
- GDPR簡介(繁體中文)
- 帶你搞懂GDPR(繁體中文)
- 國家發展委員會歐盟GDPR法規(繁體中文)