全球風險諮詢管理顧問公司勤業(Deloitte)於今年2月,進行一份全球勤業GDPR(歐盟通用資料保護規則)標竿調查(Benchmarking Survey)發現,歐洲、中東以及非洲地區(EMEA)的企業,其中有將近4成(39%)的企業,花不到10萬歐元(新臺幣360萬元)因應GDPR,卻有15%的組織,花了超過500萬歐元(新臺幣1.8億元)因應。
或許有人會質疑,因應GDPR的花費和員工規模有關係?但實際上,從調查中卻發現到,員工人數、公司規模和花多少錢因應GDPR,並沒有正相關。調查指出,有員工人數少於1萬人的組織花了超過250萬歐元(新臺幣8,750萬元)來因應GDPR,但也有員工人數破5萬的組織只花不到25萬歐元,顯見企業因應GDPR應該支出的金額,和員工人數多寡沒有絕對關係。
儘管臺灣企業對於因應GDPR的速度較慢,但從該份調查發現,歐盟企業目前也只有15%的受訪企業,可以在GDPR正式實施前,完全合乎規定而已。調查中發現,有45%的企業有專責的隱私部門,有32%企業有兼職的隱私部門,但最終,則有23%的企業,還沒有制定任何隱私部門單位。
從調查中也可以進一步顯示,哪些是因應GDPR的挑戰呢?包括徵求當事人同意,以及當事人權利中的資料刪除,開發和維護個人資料寄存器(Register),資料可攜性和個人資料控管者的當責(Accountability)性。
臺灣勤業眾信風險管理諮詢顧問公司副總經理林彥良則指出,企業因應GDPR不僅是一份合規的工作,更重要的是,也可以變成商業資產和推動者,甚至可能是企業的競爭優勢。因此,企業在因應GDPR所面臨的挑戰,如果可以順利克服,也將可望成為企業的另一種商業資產。
也就是說,GDPR不僅是歐盟對於人權隱私保障的新指標,全球企業國家往來互動,都必須符合相關的規範外,更有甚者,GDPR甚至是歐盟和全球業者商務往來時,另類的貿易壁壘,「想要和歐盟做生意,就得搞懂歐盟對人權隱私的保障程度,進而從中了解歐洲人的商業運作邏輯。」他說。
![]()
圖片來源/KPMG
想要快速了解GDPR這個最嚴格個資規範,企業要先掌握GDPR七大核心精神,包括:展現適法決心,設立資料保護官,建立合宜的政策、流程與技術,進行個資盤點與隱私衝擊分析,以及,從設計與內建著手保護隱私等。
![]()
攝影/洪政偉
臺灣勤業眾信風險管理諮詢顧問公司副總經理林彥良提醒,企業因應GDPR不僅是一份合規的工作,更重要的是,也可以變成商業資產,成為企業的競爭優勢。
GDPR對企業帶來衝擊不只是法規層面
臺灣安侯企管顧問公司執行副總經理謝昀澤表示,目前而言,GDPR對於B2C業者帶來的衝擊影響比較大,包括:使用大數據分析與雲端服務的企業;進行跨境資料處理的企業;控制或處理歐盟消費者資料的企業;或者是控制或處理歐盟特種個資的企業。
但相對而言,他也認為,GDPR對於B2B業者帶來的衝擊相對小,例如:使用一般電子系統處理個資的企業;於歐盟當地處理個資的企業;僅有歐盟員工資料的企業;以及只有處理基本個資的企業。
因此,要評估GDPR對企業帶來的衝擊程度,謝昀澤指出,只有單純從GDPR法條內容看該法對企業帶來的衝擊是不夠的,嚴格說來,該法對於全球企業帶來嚴格法規遵循要求產生的貿易壁壘,將直接或間接影響各國國際貿易的往來情況。
舉例而言,不論是由美國聯邦政府出面,代表各州政府與歐盟28國及瑞士簽訂和美國往來的隱私盾協議(Privacy Shield Framework);或者是,在2017年由歐盟執委會推出的ePrivacy Regulation(電子隱私條例草案),就是要將目前原本只適用於電信通訊服務業者的隱私保護規定,進一步擴展到新型態的電子網路和通訊服務業者。
甚至是,即將於明年三月完成脫歐程序的英國,透過制定新版的資料保護法(Data Protection Bill,DPA)接軌歐盟GDPR;最後是,由亞太區的亞太經合會和21個成員國與地區之間簽訂的亞太經合會跨境隱私保護規則(APEC Cross Border Privacy Rule,CBPR),上述這些法規命令的出爐,都會影響歐盟與各國貿易往來的情況。
再者,他也認為,各種隱私保護通用規則或是指引等,都會成為產業基準(Baseline),像是以歐盟資訊安全局(ENISA)因應GDPR要求時,也同時推出多個可供企業參考的資訊安全與數據應用保護建議的參考指引,例如,「Privacy And Data Protection By Design From Policy to Engineering」,或者是「Privacy By Design on Big Data」,甚至是「Recommendation On European Data Protection Certification」等,都是很好的參考工具指南。
![]()
圖片來源/KPMG
想要與歐盟做生意的臺灣,該如何因應GDPR,KPMG提供了一個三階段因應策略,建議政府從輔導產業的角度來介入,例如:輔導產業取得歐盟相關驗證與標準,以降低臺灣企業因應GDPR的門檻。
從企業與政府角度因應GDPR
因應GDPR可以從企業和政府兩種不同角度來看,謝昀澤指出,政府身為主管機關,應該要從法規制定、制定標準、衝擊評估、國際協商、區域合作、政策指導、認知提升和資源籌措等角度,來協助企業有能力因應GDPR;而他說,針對受到GDPR影響的企業,則可以從角色與責任、治理架構、教育訓練與人員認知、政策角度,協助企業更有能力因應GDPR對企業帶來的衝擊。
另外,謝昀澤表示,企業也可以從協助企業從作業流程面,包括:資料洩漏通報、資料保護衝擊評估、隱私需求設計(Privacy By Design)、同意和告知管理、協力廠商管理、用戶管理、資料主體權利和資料移轉等;以及資料隱私核心資料庫(處理記錄),例如:隱私資料的類型、處理的目的、資料擁有者和限制等;加上稽核、控制、通報等風險管理的角度,都有助於受到GDPR影響的企業,慢慢有能力正向因應GDPR帶來的衝擊。
臺灣不在歐盟允許跨境傳輸名單中,企業得自行申請核准
不過,臺灣整體產業在因應GDPR時,主要面臨有三大挑戰,謝昀澤說,首先,缺乏單一個資主管機關,因為GDPR是國際條約,臺灣沒有實質主管機關作為統一協調的窗口,也沒有當責機構(Accountability Agent)擔任聯絡窗口徵詢產業意見,並發佈相關準則、補充GDPR還未明確規範的空間,進一步訂定國內一致性的符合性要求。
其次,「各產業個資保護水準不一,」他說,雖然GDPR罰則很高,但在臺灣個資法相對寬鬆的前提下,許多企業缺乏因應GDPR的誘因,普遍處於觀望的態度。
主要可以從幾個面向來看,謝昀澤指出,像是個資定義、安全措施以及委外監督的落差;或者是雲端服務或是跨國業務的適用,仍有不同的認定空間;加上臺灣個資法適用的地域較窄、罰則較輕;以及告知義務寬鬆、個資處理較不透明;加上當事人權利、撤回同意應用狀況不一時,都是各個產業對於個資保護程度不一樣的主因,如同金管會對金融業個資處理的要求嚴格程度,就會比其他產業要求更嚴格一樣。
最後,謝昀澤認為,因為臺灣對資料保護的意識不足,歐盟認為,臺灣對於跨國傳送個資採用負面表列的作法,相較於歐盟正面表列、需事前申請獲准的作法,顯得過度寬鬆,且對於轉送機制(Onward Transfer)規定較為寬鬆,加上沒有有效的保護機制,都使得歐盟認定,臺灣在個資跨境傳輸的風險較大,所以,臺灣並不在歐盟允許跨境傳輸的名單之中。
因為,臺灣不在歐盟允許GDPR跨境傳輸的名單中,也同樣不在APEC的CBPR的名單中,所以,在5月25日GDPR正式實施後,臺灣企業想要將自家手上的大批歐盟民眾個資,進行跨境傳輸(例如轉移到其他國家,或從其他國家回傳臺灣)的行為,得自己另行申請GDPR的核准才行,或是想辦法讓使用者自行上傳(使用者自己把資料上傳到其他國家不違法),否則都會是違反GDPR的行為。
![]()
攝影/洪政偉
臺灣安侯企管顧問公司執行副總經理謝昀澤觀察,GDPR對於B2C業者的衝擊較大,包括:用大數據分析與雲端服務的企業、跨境資料處理的企業,以及控制或處理歐盟特種個資的企業。
國發會將打造因應GDPR平臺
臺灣的各個中央目的事業主管機關,對於因應GDPR也都動起來了。國家通訊傳播委員會(NCC)主要是臺灣電信業者的主管機關,NCC法律事務處副處長黃文哲指出,原始臺灣使用網路沒有任何規範,但隨著網路現在已經成為每個人生活不可或缺的一部分,也兼具內容供應商時,未來在修正數位通傳法時,也必須納入經營者資訊,並且提供相關的隱私保護政策以及資安政策等。
黃文哲強調,隨著GDPR在今年5月25日正式實施,臺灣的個資法也必須要配合思考GDPR,進行相關的修法,例如,GDPR強調當事人擁有個資的所有權,從資料自主性來看,未來臺灣的個資法修法也應該納入「被遺忘權」,以及提供並確保「當事人可以行使相關的個資權利義務」等內涵,都應該是臺灣未來個資法修法時的方向。
GDPR和臺灣個資法一樣,不只是保護人權個資,還有發展產業的功能。國家通訊傳播委員會平臺事業管理處專門委員喬建中表示,歐盟打造的是單一數位市場,要如何平衡人權與經濟發展是挑戰。未來這些個資如何落地,就必須做到跨境資料傳輸,建立在以歐盟為主的資訊體系中,而中央目的事業主管機關也將不得不解決「臺灣沒有個資專責主管機關」的問題。
國家發展委員會參事兼法制協調中心主任林志憲表示,目前各個目的事業主管機關也都有因應GDPR,包括會建立一個平臺,彙集所有與GDPR相關的基本資料和內容,先前聯徵中心也曾經針對GDPR條文進行翻譯,也會思考如何透過授權方式,將這樣的內容對外公開,而且,目前臺灣政府已經要求各部會都必須要設置諮詢窗口。再者,他指出,GDPR很重要的精神就是,所有的個資使用都必須徵得當事人同意,尤其面對到個資的跨境傳輸,對於許多非歐盟國家的企業而言,更是必須克服的困難之一。
林志憲也以臺灣先前從《電腦處理個人資料保護法》修法成為《個人資料保護法》時,剛好任職於金管會保險局,同步經歷當時各個中央目的主管機關為了因應新版個資法,先行修正保險法中對於個資保護的相關條文,新增當事人同意的條款等修正內容。
臺灣政府將和歐盟談安全適足性認定
政府如何協助企業因應GDPR的挑戰?林志憲指出,政府將跟歐盟進行安全適足性的談判,會由國發會和歐盟建立談判的窗口,但是,歐盟GDPR的規範比臺灣個資法更嚴格的情況下,加上,在此之前,臺灣雖然有個資法的條文,但因為缺乏個資的獨立機關,要與歐盟進行GDPR的安全適足性的談判前,則必須先有設置相關的個資獨立機關,才有利於和歐盟的談判。「最終,臺灣應該如何與歐盟完成安全適足性的談判,是一大挑戰。」他說。
什麼是GDPR安全適足性?環奧國際驗證公司總經理梁日誠指出,主要就是申請者當地整體個資保護的環境,例如法規、人權、自由、國防安全、公共安全,甚至是主管機關對於個資存取得法規保護、安全措施等規範,都和歐盟會員國的GDPR保護環境可以對應。當申請者該國對於個資保護的安全性獲得歐盟認可後,該國企業就可以進行歐盟民眾個資的跨境傳輸,而不會被認定是違法行為。
他強調,這其中又有一個必要的關鍵機構,那就是,申請者必須具備有效的資料保護權責機構,該國實施的個資保護法案和定期審查可被接受,而且,相關的要求都與第三國政府相關,必須由政府的主政機關協調各對應相關機構,了解要求與現階段的差距,才能找出符合性證據與配套方案。
梁日誠表示,目前和歐盟已經完成安全適足性(Adequacy)認定的國家包括:安道爾、阿根廷、加拿大(以商業組織通過認定)、法羅群島、格恩西、以色列、馬恩島、澤西島、紐西蘭、瑞士、烏拉圭以及美國等12國家或組織。而日本與韓國,也在2017年G7高峰會的時候,積極和歐盟協商,希望可以通過安全適足性的認定。他認為,由於歐盟是臺灣第五大貿易夥伴,臺灣更應該積極與歐盟協商,儘快降低或免除個資跨境傳輸對臺灣企業帶來的影響。
梁日誠也說,目前安全適足性認定的申請,可以用第三國或第三國中某一個地域(Territory);一個或多個特定領域(Sector);或國際組織的方式來進行。目前加拿大則是以商業組織(Commercial Organization)作為特定領域的方式達成,臺灣則可以思考以目前參與的國際組織方式,作為和歐盟進行安全適足性認定的申請。
![]()
圖片來源/環奧國際
環奧國際驗證公司總經理梁日誠指出,歐盟是臺灣第五大貿易夥伴,臺灣政府更應該積極與歐盟協商,儘快降低或免除個資跨境傳輸對臺灣企業帶來的影響。
企業得選擇申請BCR,才進行個資跨境傳輸
除了由國家出面,和歐盟進行安全適足性認定的談判之外,臺灣勤業眾信風險管理諮詢顧問公司總經理萬幼筠指出,企業還可以在以下四種條件下,進行個資跨境傳輸。他進一步解釋,首先就是,個資離境至歐盟認為,可以提供充分隱私保護的地區,或被歐美隱私保護盾覆蓋的國家或地區;其次,離境傳輸符合GDPR的豁免條件;第三,隱私資料輸出方與接收方,簽訂歐盟認可的標準合約條款;最後則是,申請Binding Corporate Rules(約束性公司規章,BCR)。
萬幼筠表示,BCR是供跨國公司採用的內部規則,它對同一集團內、不同地區實體之間的個人隱私資料傳輸,提供全球性的資料保護政策,其中包括對隱私資料類別、資料處理形式、資料處理目的、將受影響的資料主體等規定。
他也說,BCR可對同一集團成員間的隱私資料傳輸提供充分保護,因此,企業就不需要每次簽署標準合同條款,也有助於節省資料當地語系化處理的成本,增強隱私資料保護當責制,並將資料保護和安全管理融入公司原有的制度體系中。
![]()
攝影/洪政偉
儘管臺灣不在歐盟允許GDPR跨境傳輸名單中,但臺灣勤業眾信風險管理諮詢顧問公司總經理萬幼筠建議,跨國公司可申請BCR(約束性公司規章),就能在同一集團內傳輸隱私資料。
.png)
.png)