結帳 0
系統公告

歐盟最新個資保護法,違反GDPR,最高可罰7億台幣

發佈日期:2018.05.25
5月25日正式上路,號稱「史上最嚴格個資法」的一般資料保護規定(General Data Protection Regulation,簡稱GDPR)。

怎樣會違反GDPR?保護的範圍包含哪些?
多數人的生活經驗中,都有接過行銷電話、簡訊、詐騙電話,為了避免個資被任意分享或販賣給第三方,GDPR保護的個資範圍包括:
  • 個人身分、生物特徵: 例如電話號碼、地址、車牌、病歷資料、指紋、臉部辨識、視網膜掃描、相片、影片、電郵內容、問卷表單等,甚至社會認同、文化認同、地理位置等,只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。
  • 線上定位資料: 例如 Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄等。

而企業如果對歐盟公民的個資保護不周,像是資料外洩、個資遭駭、非法存取、分享給無權利使用的第三方;或是將個資用於非雙方當初約定的目的,例如A活動蒐集的資料,用於另一個不相關的B活動;以及就算在個資為外洩的情況下,沒有採取足夠的安全技術保護個資、沒有給予當事人刪除或更正個資的權力,都違反GDPR規範。

違反GDPR,最高可罰7億台幣
一旦沒有妥善處理個資或個資外洩,需要在72小時內通報給資料保護主管機關(Data Protection Authority),如果沒有執行個資保護風險評估、沒有任命資料保護長、沒有即時通報、違法向第三國傳輸個資。
一旦違反以上狀況,會被處以2 千萬歐元(約新台幣7億元)或全球總營業額4% 的罰鍰。

GDPR之所以受到全球關注,是因為這不僅只是地域上的限制,凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。

而就台灣來說,以網路零售、金融、航空運輸業可能受到最多的影響。
  • 網路零售: 這是一個會處理大量個人識別資訊(PII)產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於GDPR規範中。
  • 金融: 金融機構持有大量個人識別資訊(PII),每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。
  • 航空運輸: 這很好理解,以台灣華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
台灣企業如果擔心自己誤觸GDPR規範,可以聘請專業的第三方機構,來評估數據保護措施,進一步了解公司數據的來源、資料儲存位置、處理的方式,以及是否需要配合GDPR調整內部作業流程,來確保符合相關規範。
文以上內容來源節錄自數位時代-沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR