杜韋摯／歐盟的法規，跟我們有關？——全球最大個資保護規範GDPR

在閱讀這篇文章前，是否有想過你瀏覽網頁的Cookies、所用的瀏覽器、IP、姓名、生日、聯絡方式等個人資料，都有可能在你不經意的時候被紀錄或揭露？是否有想過憑著你滑手機的軌跡習慣，就可以辨識出你是誰？

是的，就在你連上網的那一刻，「你」就變得無所遁形。除非切掉網路，大門深鎖躲在家裡，不然「Leave You Alone」的想像早已不存在。

在這個大數據的時代，資料就是新石油，蒐集、擁有越多資料，就越能在市場中取得一席之地。分析這些資料，能得出各種事物之關連性，諸如消費者的消費習慣、減低業者經營成本等，而這些分析結果，往往都會打破我們過去的認知。

個人資料形塑了外界對於一個人的印象，更與個人緊密相關，因此我們有權利決定自己的哪些資料是可以公開的，哪些又是不想讓人知道的。若我們連屬於自己的個人資料怎麼使用都無法決定，任由外界擷取利用，再形塑出非真實的我們，這是一件非常不公平的事。

正因如此，應如何調和個人資料的保護與產業利用，便是不可不知的議題。今年（2018）5月25日，歐盟個資保護規則（General Data Protection Regulation，下稱GDPR）取代過去個資保護指令（Data Protection Directive）正式上路。與歐盟生意往來的企業無不人心惶惶，深怕重罰，甚至有國外公司評估相關遵法成本後，停止對歐盟地區服務，而美國微軟公司也稱這是史上最嚴的個資保護令。

究竟身處在台灣的企業該如何因應這波浪潮，以避免誤觸紅線？以下筆者將簡單介紹本規則中的注意事項。

歐盟的法規，關我什麼事？

GDPR保護的對象究竟是歐盟公民，還是歐盟地區境內的人民？如果歐盟公民在台灣網購平台購買商品會不會受到規範？雲端平台業者要不要受到規範？

根據GDPR適用範圍的規定，若資料的控制者或處理者的公司設立在歐盟境內；或是對於歐盟境內的資料主體（可從個資對應出的個人的資料）有提供商品、服務或是監控，歐盟境內資料主體皆要被規範，無論該公司是否設立於歐盟境內。從上面的規定我們可以知道：

1. GDPR是以歐盟境內作為管轄範圍的認定，並非以歐盟的公民作為規範的對象。
2. 即使公司設立在歐盟外，如有提供歐盟境內人民商品或服務、監控歐盟境內人民（例如以cookies追蹤上網記錄），也要受到GDPR的規範。

讀者可能會問，如果歐盟境內的人跑到台灣的網購平台買東西，這樣不是也要受GDPR的規範嗎？

答案是不一定。僅是「有可能」造訪網購網站，或取得資料主體的Email或聯絡資訊，而網站若非歐盟內語言，也不會被認定為提供歐盟境內人民商品或服務，因此不受GDPR所拘束。

告知同意及告知範圍

上網時只要跳出落落長的告知條款，大部分的人會直接拉到最底並馬上按「同意」。但這個步驟，其實攸關你個人資料的生殺大權；這個步驟，表示你已被告知且也同意對方蒐集、處理、利用你的個資。履行告知義務是基本權利。GDPR相較過去個資保護指令有更詳實之規定，包括：

個資主體必須出於自由意志（freely）、針對特定目的所為的同意（specific）、對於個資蒐集處理、利用有確實的瞭解（informed）、明確表示同意（unambiguous indication）。

GDPR課予資料的處理者或利用者，需透過完整且十分白話的方式踐行告知義務，諸如：處理者的聯繫資訊、處理個資的目的、法律上的依據、接受個資傳輸的組織、資料儲存的位置、個資主體撤回同意的權利等，最主要是為了讓你的「同意」不會流於空泛的形式，而是確保有效行使同意權。

怎樣才算是踐行有效的告知義務？

今年度歐盟所公布之告知同意指引中有說明，並非所有的事項皆須完整載明於同一份同意書內，可透過階層式的同意——如在網站上建立一個「完整內容」連結供資料主體點閱、或另公開於公司隱私規則中——公開透明使資料主體有取得的可能。

值得注意的是，若個資的取得是本於「你」的同意，但如果你撤回同意，資料的處理控制者不得再另以其他法律基礎（例如本於契約、公共利益）對於該個資處理利用，避免違反GDPR中規定的公平原則。

因此企業在選擇蒐集處理個資前對於取得資訊的法律基礎，即應納入評估的一環。也就是說，企業決定個人資料處理利用的合法性是要經過你的同意來完成，往後如果你決定不要把個資給企業用、撤回同意，那企業就不得再利用你的資料。

資安事件通報與事前資安評估

除了上述所說資料安全保護應確實，企業對於相關文件的準備，包含處理資料的目的、資料的種類、與資料主體的關係、資料的接收者為何、儲存資料的期間、相關資安保護措施、是否有傳輸他國的情況，以及因應方案，皆須事前備齊。像是之前台積電病毒攻擊，導致產線停擺的資安事件，若因此導致資訊主體權利遭受損害，便要即時通報個資主管機關，並提供上述的相關文件以及說明因應方案。

事前資訊安全評估（Data protection impact assessment）就如同作戰前的沙盤推演，必須就各種可能會發生的情況評估可能的風險，像是系統牢不牢靠、會不會對個人權利造成巨大的侵害、危機發生的應變機制，來判斷企業內部的資安機制是否足以應付資安事件造成的危險。像這種大規模的個人資料，一旦發生資安事件，以事後填補的方式恐怕緩不濟急。

涉及大規模自動化的處理資料（以事前設計好的演算法機械性運算，沒有人為介入），且資料處理與個人評價有切身關連，例如債信評比、貸款核准等，若沒有檢驗演算法正確與否，又或是在特殊個案中沒有人為介入，都有可能造成損害。

舉個例子，在未來可能會有上課狀況評估系統，以學生目光是否面向講台、是否趴著上課、與同學談話，作為評量學生學習狀況的依據。若某一位同學身體不適趴著休息未專心上課，皆有可能被系統推定為上課狀況不佳，這樣豈不是很詭異？

也就是說，如果我們只運用同一套模式來作分析，不可能萬無一失，因此透過事前的資訊安全評估，便可檢驗這套流程是否可靠、評估什麼時候需要人為介入、假設系統被入侵該怎麼辦等，這些皆可事前防範。

另外，國家要發展某些產業或是某些企業是資安事件的常客，歐盟各會員國的個資主管機關便可建立一份名單，要求在處理個人資料前先做資安衝擊評估。這樣無論是在吸引外國企業投資抑或穩固企業經營亦不失為一種方法。

設立資料保護長

資料保護長負責企業內部對於個人資料保護規則的法律遵循、相關員工的訓練、對於資訊安全衝擊評估提供建議、並作為對外與主管機關聯繫窗口等等，跟一般公司法務不一樣的地方，就是資料保護長對於資訊相關技術，也必須要有一定瞭解。

如果企業核心業務需要定期性且系統性大範圍地監控你我的個人資料，舉例來說：若醫院常態性的取得病患的資料作為業務使用、藉由交通運輸系統蒐集旅客的動向資訊、透過搜尋引擎蒐集使用者的愛好，便要設立資料保護長。還有像與我們貼身相關，不想讓別人隨便知道的敏感資訊（例如病歷資料、性生活、基因、犯罪前科），避免造成我們難以回覆的損害，也必須設立資訊保護長加強這些資訊的安全。

GDPR施行至今不過數個月的時間，歐盟會員國間之個資主管機關對於本規則的適用仍未完全明朗，執法的力度尚待時間的檢驗。個人資料的保護模式會隨著科技的進步而改變，究竟與大數據時代廣泛資料運用間如何取得平衡，仍有待後續的觀察與研究。

• 文：杜韋摯，台北醫學大學醫療暨生物科技法律研究所就讀中，夢想喝遍全世界的咖啡。
• 更多：FB｜IG｜Web

▲ 喜歡法律白話文的文章嗎？點圖加入法白募資計畫，你的贊助，讓我們在法律白話文的路上不寂寞！

• GDPR全文，最後瀏覽日:2018/8/12。
• WP29 Guidelines on Data Protection Officers (‘DPOs’)(WP 243 rev.01)
• WP29 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 (WP 248 rev.01)
• Guidelines on consent under Regulation 2016/679 (WP259 rev.01)
• Lukas Feiler, Nikolaus Forgó & Michaela Weigl, The EU General Data Protection Regulation (GDPR): A Commentary (2018)
• 史上最嚴的個資保護指令來了，最後瀏覽日：2018/8/12。