GDPR會影響設籍在歐洲以外的公司嗎?
答案是會!只要公司有任何客戶居於歐盟境內,無論是自然人、法人,即屬於「歐盟境內之資料主體」(data subjects who are in the Union),公司在處理歐盟人民的個資時,就必須遵守GDPR的規定。
設籍於歐盟境內的公司則不僅要保護歐盟境內的使用者,連歐盟境外的使用者都適用GDPR,所以臉書將15億用戶的資料管轄權移出歐盟境內的愛爾蘭,得以讓這些用戶的資料規避GDPR的管轄。
#GDPR mania #digitaldiplomacy pic.twitter.com/lu8hyPca3c
— DigitalnaDiplomatija (@DigiDiplomatija) 2018年5月26日
《美聯社》指出,目前仍不清楚造訪歐盟成員國的遊客是否適用GDPR。英國非營利組織「隱私國際」(Privacy International)的法務專員卡蘭德(Ailidh Callander)指出,很多新法的問題需要未來法院的判決釐清。不過可以確定的是,對於歐盟以外的用戶,公司不必直接尋求用戶使用資料的許可,而是等到用戶造訪歐盟成員國時,再跳出公司尋求利用使用者資料的許可。
GDPR實施之後,出現哪些現象?
GDPR實施後,歐盟境內的用戶已無法連上如《洛杉磯時報》(Los Angeles Times)、《芝加哥論壇報》(Chicago Tribune)、《巴爾的摩太陽報》(The Baltimore Sun)等美國媒體。《華盛頓郵報》報導,這些媒體同屬特朗克(Tronc)集團,但特朗克尚未準備好遵守GDPR的規定,索性封鎖歐盟成員國境內的用戶。社群分析網站Klout、整理信箱的程式Unroll.me也都在GDPR實行之後,封鎖歐盟境內的用戶,使得這些用戶權益受損。
The Los Angeles Times website is currently blocked for EU citizens. 'Little' #GDPR side effects pic.twitter.com/RRfXTqpjWK
— Gregor Peter (@L0gg0l) 2018年5月25日
25日GDPR生效之前,消費者已面臨許多不便,例如電子信箱湧入的資料使用確認信。醫師還必須請病患簽署數頁長的表格,說明醫師如何儲存病患的資料。儘管歐盟居民因GDPR面臨種種不便,實施起來相當耗費成本,但歐盟社會大眾普遍對於隱私權的意識較美國來得高,讓歐盟得以推動史無前例的最嚴個資法,GDPR仍然是全世界個資保護的先驅。
GDPR生效後,台灣政府有什麼作為?
設籍台灣的公司,也可能因為客戶在歐盟成員國境內,遭受GDPR衝擊。台灣已有《個人資料保護法》來保護民眾個資,但現行的個資法未設單一主管機關,採分散管理制度。行政院長賴清德24日於院會指示,請國家發展委員會儘速成立「個資保護專案辦公室」,要讓各部會分工合作,並因應GDPR,提供民眾相關部會的諮詢專線。
法務部盤點國內個資法與GDPR的差異,發現GDPR在規範對象上,較台灣的個資法增加「境外企業」。GDPR的個資定義也遠比台灣嚴謹,涵蓋透過網路IP、瀏覽紀錄行程的數位軌跡,連人種、血統、政治意見、生物特徵都屬於個資的範圍。至於在當事人權利部分,GDPR則較台灣個資法多出了「個資可攜權」。
在資料跨境傳輸部分,GDPR採用「原則禁止、例外允許」,也較台灣的「原則允許、例外禁止」來得嚴格。若台灣未來要與歐盟的資料跨境傳輸,台灣必須符合歐盟的「適足性認定」(adequacy decision),認定個資保護水準與歐盟相當,才可跨境傳輸。國發會指出,後續將推動與歐盟洽商適足性認定,但在台灣取得適足性認定之前,從事跨境傳輸的台灣企業,仍要遵循歐盟的GDPR規範。