Day 6 轻松了解欧洲个资隐私保护

在完整完善的隐私保护设计之下，也需有个健全的隐私保护法规在背後做支撑，藉由完善法规制度的保护之下，视为市场上买卖双方的保障桥梁。今天针对号称地球上最严厉的法规GDPR(General Data Protection Regulation)为例，将生硬的个资隐私法规用简单的方式让大家了解。

最严厉的个人资料保护法

欧盟於2018年5月25日所施行的个人资料保护法GDPR(General Data Protection Regulation)，是目前最严厉的法规(因罚金非常巨大1000万至2000万欧元，或全球年营业总额2%至4%的罚款)之後几天会再针对GDPR判例做分析研究，如下图GDPR第83条第(4)、(5)项规定。

GDPR资料保护法的实施让大众逐渐意识到「个人资料」是一个非常具有价值的重要资产，多数国家政府、公司企业以及消费者，亦始重新思考个人资料的蒐集、处理、被使用期限与被使用目的等，及规划拟定最合适、最符合规范的方式。

法规适用范围广大

GDPR的规范不论是五金行、杂货店、小吃店或是跨国的国际大企业或是非营利组织与政府机构，只要接触到欧盟公民并会蒐集他们的个资做应用，就必须遵守GDPR的规范(注1)。

• 客户资料有欧盟公民：
  如：某餐厅拥有欧盟公民的订位姓名、电话
  如：某饭店拥有欧盟公民的订位姓名、电话、信用卡资料
• 雇用欧盟员工或欧盟供应商：
  如：某公司雇用具欧盟公民身分的正职、兼职员工，拥有他们的薪资纪录、联络资讯、保险资料等
  如：某公司与欧盟供应商合作，拥有联络资讯
• 非营利组织与政府机构：
  如：非营利组织与政府机构拥有具欧盟公民的志工、赞助者、捐款人的联络资讯、税捐资料等

GDPR：社会、文化认同、IP位址、网站活动纪录也视为个人资料

GDPR所定义的个人资料系指有关识别或可得识别自然人(资料当事人)之任何资讯并保护的个人资料范围(注2、3)包括：无论是直接或间接识别，可区别为个人资料姓名、身分证号、位置资料、电话号码、地址、车牌、病历资料、指纹、脸部辨识、相片、影片及社会认同、文化认同等 ，另Cookie、IP、Android 的 Google 广告ID (AAID) 、 iOS 装置的广告识别码 (IDFA)、网站活动纪录等也属於个人资料的一部分。

个资运用的三大角色

GDPR针对资料的蒐集、资料的处理和资料的运用，区分三种角色：资料当事人(亦称资料主体)(Data Subject)、资料控制者(Data Controller)与资料处理者(Data Processor)，下表以一电子商务网站举例：

个人资料如同21世纪的石油

纽约时报：「个人资料可视为21世纪的石油」，在数位化生活之中活用个资大数据进而创造最大的商业利益，已是现代企业争相抢夺的大饼，而其实台湾早在2012年10月1日就已施行个人资料保护法，针对违规者最高处2亿台币罚金，且依刑责还可处2年以下有期徒刑，台湾国人早已有个资保护的意识，然而，欧洲的GDPR要比台湾个资法再具有更高的罚金、个资定义更加广泛并增加资料当事人可主动行使权利及自动化决策分析处理(Profiling)从严规范等。在现今便利的科技环绕生活环境之下，个人资料与隐私早就无所遁形，但只要个资遭到外泄，不仅个人受到危害甚至企业商誉名声严重受影响，而在台湾有个资法及欧盟的GDPR等法令规范保护下，会对违法者依情节轻重祭出罚则，因此，做好个资防护网已是现代环境的显学，不仅是个人与企业的保护之道，也是企业维持或提升竞争力的关键策略，你我先自我保全好自己无价的「石油」将是当代21世纪最重要课题！

参考资料

1. Art. 3 GDPR Territorial scope: https://gdpr-info.eu/art-3-gdpr/
2. Art. 4 GDPR Definitions: https://gdpr-info.eu/art-4-gdpr/
3. Recital 30 Online Identifiers for Profiling and Identification: https://gdpr-info.eu/recitals/no-30/