【鬥陣來關心】歐盟個資保護規則(General Data Protection Regulations)

作者：劉孟哲律師/施佩均

歐盟個資保護規則(下稱GDPR)立法前，原歐盟就個人資料之保護僅有「個人資料保護指令」，然而指令本身仍需透過各會員國轉化方能成為各別具有拘束力之法規，而各會員國法律實踐不一，導致法遵成本提高，且原有指令亦有保護不周之問題產生，故歐洲議會於2016年5月4日正式公布歐盟個資保護規則，欲以具有直接法效力之「規則(Regulation)」，統一歐盟對於個人資料之保護規範，並預定於今年5月25日施行。

相較於原有規範，首先，GDPR賦予歐盟居民「資料可攜權」(Right to data portability) 、「被遺忘權」(Right to be forgotten) 、「拒絕使用權」(Right to object)及「拒絕成為自動化描繪對象」(automated processing, profiling)等權利。以個資主體之「被遺忘權」(Right to be forgotten)為例，係指不論理由為何，個資當事人均可要求刪除過去個資控制者所掌控之資訊之權利，這在數位化的時代尤具其意義。

再者，對於企業而言，有三方面特值關注：第一，符合特定條件的企業將有義務記錄處理個資過程並設置「資料保護長」(Data protection officer, DPO)。第二，當發生個資外洩之事件時，課予企業應及時通報監理機關及通知資料當事人(Notification of personal data)之義務。第三，則是企業必須進行「個資保護影響評估」 (Data Protection Impact Assessment，DPIA)，以辨識與因應業務活動中涉及隱私權之風險。

值得一提的是，本次之修正，將使得GDPR之適用地域延伸(Expanded territorial reach)，其域外效力恐外延至非會員國。以我國而言，雖非歐盟之會員，有下列情形之一時，亦應注意GDPR相關規範(此部分或待歐盟的實務運作或頒發更具體的指引使其明確)：
一、非會員國不論是否於歐盟境內處理、傳輸歐盟個資主體之資料時，亦須適用本規則，且日後跨國傳輸歐盟居民個資前，需事先申請。
二、於國際傳輸之議題上，改採原則禁止制。例如擬傳輸者應申請「適足性裁定」(Adequacy decision)，並進行「適足性評估」。而針對跨國企業集團內部之資料傳輸，應適用企業自我拘束規則(Binding corporate rules)，遵循一致之個資保護機制。

最後，本次修法亦相當程度地提高行政罰鍰，最高得裁處2千萬歐元(或全球營業總額4％)之罰鍰，範圍相當可觀。
從新修正之GDPR似乎也是在回顧我國個人資料保護法的修正軌跡，更多的保障、更高的罰鍰，但對於促進個人資料的合理使用的部份呢？我們或許可以再行探究。