被稱為「史上最嚴個人資料保護法」的歐盟「一般資料保護規則」(GDPR)今天上路,國發會以三項進擊措施協助國內因應,包括:主委陳美伶下周親赴歐盟爭取「適足性認定」、國發會成立專案辦公室、申請加入APEC跨境隱私保護體系CBPR。
國發會昨天赴行政院院會報告因應歐盟GDPR生效之措施,陳美伶表示,我國易受衝擊的產業包括金融業、電子商務,以及航空公司,因為這些產業的業務都涉及資料跨境傳輸。
陳美伶說,在數位經濟、資料經濟趨勢下,大量資訊與資料流通是必然現象,中間就會夾雜個資。歐盟為提升企業透明度,保護個資隱私權,二年前在「個資保護指令」基礎上,又訂定GDPR;歐盟是台灣重要貿易夥伴,商業投資也很頻繁,新法確實對台灣帶來衝擊。
但陳美伶表示,相關部會已著手因應,國人不用太擔心;包括她本人下周將赴歐盟,表達台灣取得適足性認定的意願,展現台灣對個資保護的積極態度。
其次,台灣現在的個資法是採分散管理,分別散落在廿二個主管機關。因此國發會將仿效其他國家,在專責機關成立前,先成立個資保護專案辦公室,強化跨部會合作。
第三,因應國際上日益重視個資保護議題,APEC(亞太經合會)也正力推與歐盟接軌互通,政府已積極申請加入APEC跨境隱私保護體系,並通過第一階段審查,我國若能順利加入,也有助業者整備,以符合歐盟標準。
根據GDPR,有關個資保護的重點包括擴大個資適用範圍,除了歐盟境內,還包括歐盟境外;擴大個資定義含括直接或間接取得的「一般個資」,以及揭露人種、血統、宗教信仰、生物特徵、性生活與性向等「特種個資」。
在個資跨境傳輸方面,更採「原則禁止、例外允許」的高嚴格規定,這和我國個資法規範 「原則允許,例外禁止」 正好相反。
陳美伶表示,新法最嚴重的是處罰,最高處罰可高達二千萬歐元,或全球營業額百分之四的行政罰,這是大家最需要注意的。
會遭到高額罰責的違法行為包括,一、沒有合法理由,拒絕用戶要求停止處理他個資的權利。二、事故發生後,沒有在七十二小時內即時通知個資監管機構。三、沒有執行個資保護風險評估,沒有任命資料保護長,或違法向第三國傳輸歐盟所擁有的個人資料。
因應GDPR上路,新世代金融基金會建議,我國應全面翻修個資法,設置獨立監管機關,在企業競爭力和社會利益中求取平衡,建議政府應針對個資法設立獨立監管機關,除可對DPIA(隱私衝擊評估機制)、DPBD(隱私保護設計)及DPO(資料保護長)等三項標準訂定規範,也有助於台灣接軌國際。