瀏覽數:151
字型調整:

金融業如何因應歐盟GDPR的金科玉律

發表日期:2018-07-05
Responsive image

撰文:王志誠

政府應加速推動充足性認定,向歐盟委員會申請納入充足資料保護的國家,避免影響台灣金融業、電子商務、資訊科技及交通航運等產業的發展。

一、歐盟制定新規章 強化個人資料保護

歐洲議會及歐盟理事會於2016年4月27日通過歐盟規則第2016/679號「一般資料保護規則」(General Data Protection Regulation),取代於1995 年10 月24 日所制定之歐盟指令第95/46/EC號「個人資料保護指令」(Personal Data Protection Directive),並自2018年5月25日起正式施行。茲就其變革之主要重點說明之。

 

(一) 個人資料處理必須取得資料主體的明確同意

所謂的資料主體的同意,必須依其意思決定就其個人資料處理所為具體、肯定、自由、明確、受充分告知及非模糊的指示,例如口頭或書面之聲明,包括以電子方式為之者。若僅是如單純沉默、預設選項為同意或不為表示等,均不構成同意的合法要件。

 

(二)資料主體具有刪除權(被遺忘權)

資料主體在舊規則下,僅具有更正權或修改權,但是新規則賦予其具有刪除其個人資料之權利,以及當資料保存違反「一般資料保護規則」、歐盟法或會員國法時,享有刪除權(right to erasure)或被遺忘權(right to be forgotten)。例如當該個人資料就資料蒐集或處理的目的已無必要、資料主體已拒絕其個人資料之處理、已撤回其同意或個人資料處理違反「一般資料保護規則」時,資料主體有權請求資料控管者不再處理其個人資料。

 

(三)資料主體具有攜帶權

為強化資料主體對自己資料的掌控,當個人資料以自動化手段執行處理時,資料主體應有權以結構性、廣泛使用性、機器可讀性及可共同操作性的格式,接收其提供予資料控管者的資料,並有權將之傳送給其他資料控管者。亦即,資料主體有權以便於將來使用的方式,從某一資料控管者獲取其資料備份,並且能夠不受阻礙地將資料轉移到其他資料控管者。

 

(四)個人資料保護的設計與預設

資料控管者應採取符合「設計與預設資料保護原則」的規範及措施。亦即開發、設計及選擇用以處理個人資料的應用程式、服務與產品時,應將資料保護納入考量,以確保資料控管者及處理者得以完成其資料保護的義務。例如採取將個人資料的處理最小化、假名化及透明化等措施,讓資料主體得以監控該資料處理,並使資料控管者得以創造與提升資訊安全性。

 

(五)限制自動化資料處理及分析的活動

新規則明確界定資料分析(profiling)的概念,是指任何通過自動化方式處理個人資料的活動,包括以任何形式評估個人特徵之分析行為,特別是使用個人資料分析或預測資料主體的工作表現、經濟狀況、健康、個人偏好或興趣、可信度或行為、地點或動向等特徵,而對其產生法律效果或類似的重大影響。同時,新規則尚賦予資料主體針對資料分析活動的若干特定權利,例如不受自動化資料處理結果約束的權利(限制權)、反對資料分析的權利(反對權)。當資料主體反對與其相關的資料分析活動時,資料控管者應當終止資料分析活動。除非其有合法的理由證明資料分析活動超越個人的權利以及自由。

 

(六)強化個人資料保護的監督機制

新規則對資料保護的監管相當嚴格,主要體現在4個面向。其一,建立個人資料侵害之通報及損害賠償。一旦資料控管者發現個人資料受到侵害,原則上應於發現後72小時內向監管機關通報,除非資料控管者能證明依歸責原則,該個人資料的侵害不可能造成損害當事人權利與自由的風險。其二,強制設置資料保護長。除法院行使司法權外,若由公務機關或機構執行個人資料處理、資料控管者或處理者需要定期且系統性地大規模監控資料主體時、大規模處理特殊類型個人資料或與前科及犯罪相關的個人資料或歐盟或會員國法有明確要求時,應指定具資料保護法律與實踐專業知識的資料保護長(DPO)。其三,建立個人資料保護影響評估制度(DPLA)。亦即,明確規定資料處理活動的性質、範圍或目的可能給資料主體的權利和自由造成特定高度風險時,資料控管者應於處理前執行資料保護影響評估,以衡量風險的來源、本質、特殊性與嚴重性。其四,鼓勵建立認證機制與資料保護標章及標誌。例如制定落實「一般資料保護規則」相關要求的行為準則,並推行認證制度,使資料主體得以快速評估相關產品及服務之資料保護程度。

 

(七)國際資料傳輸的新制

就跨境資料傳輸而言,新規則基本援用1995年「個人資料保護指令」所確立的原則和框架。一是禁止向無法提供充足資料保護的國家傳輸個人資料,充足資料保護的國家名單由委員會決定。二是在沒有充分性決定的情況下,企業、組織或機構可以基於具有拘束力的企業守則、標準資料保護條款或由監管機關授

權的契約條款等機制向歐盟境外傳輸個人資料。至於評估第三國個人資料保護程度是否充足(適足)時,應考量是否具有一個(或以上)獨立監管機關的存在並有效運作、是否已參與或簽署關於個人資料保護的國際協定或其他具法律拘束力的合約或已參與多邊或區域體系而生的義務等情形。

 

二、重新評估現行機制

力求與歐盟新制接軌新規則導入資料主體具有刪除權(被遺忘權)、攜帶權、限制權及反對權,為資料當事人嶄新的權利。又所謂國際傳輸,是指將個人資料作跨國(境)的處理或利用。觀諸歐盟的新規則第44 條至第49 條規定,對於跨境資料傳輸,其規範採取「原則禁口、例外允許」原則。反觀我國個人資料保護法第21 條規定:「非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:一、涉及國家重大利益。二、國際條約或協定有特別規定。三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。」顯然是採取「原則允許、例外禁口」原則。因此,未來應評估是否應參考歐盟的新規則加以修訂,引進資料當事人的新種權利,並重新構建國際資料傳輸規則及安全評估機制,以落實對個人資訊隱私權及基本權利的尊重。

 

其次,政府應儘速推動充足性(適足性)認定,向歐盟委員會申請納入充足資料保護的國家,以免影響我國金融業、電子商務、資訊科技及交通航運等產業的發展。

 

三、金融業應落實新制 降低被影響之層面

由於歐盟「一般資料保護規則」在個人資料的處理上需取得當事人明確同意,同時賦予資料主體具有刪除權(被遺忘權)、攜帶權、限制權及反對權等,限制自動化資料處理及分析的活動,且設有嚴格的個人資料保護監督機制,例如資料控管者或處理者需要定期且系統性地大規模監控資料主體時,應指定設置資料保護長時;資料處理活動的性質、範圍或目的可能給資料主體的權利和自由造成特定高度風險時,資料控管者應於處理前執行資料保護影響評估,如有違反,最高可能裁處€20,000,000 或年度全球營收4%罰鍰。因此,我國於歐盟地區有業務往來的行業,皆應恪遵新規則的要求。

 

金融業處於大數據時代,基於商品或服務提供、風險控管及法令遵循的需要,運用自動化方式或科技進行個人資料的處理及分析十分普遍及頻繁。因此,在我國政府尚未向歐盟委員會申請充足性評估之認定前,金融業必須採取因應措施,落實「一般資料保護規則」的規範,以求自保。例如不僅應重新檢視目前對於歐盟地區客戶的資料保護政策及機制,是否符合歐盟「一般資料保護規則」的要求,尚應對於高度風險的資料處理活動執行資料保護影響評估,並檢討有無指定設置資料保護長之必要。

 

〈更多文章內容請詳:台灣銀行家 [第103期]〉