《通用数据保护条例》(英语:General Data Protection Regulation,缩写作 GDPR;欧盟法规编号:(EU) 2016/679),是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人资料出口。GDPR 主要目标为取回个人对于个人资料的控制,以及为了国际商务而简化在欧盟内的统一规范。
GDPR取代了欧盟在1995年推出的欧盟个人资料《数据保护指令》(Data Protection Directive)95/46/EC,该条例包含有关处理欧盟内部数据主体的个人可识别资讯的条款和要求,适用于与欧洲做生意的所有企业,不论实体位置何在。处理个人数据的业务流程必须在设计和默认情况下构建数据保护,这意味着个人数据必须使用假名化(pseudonymization)或匿名化(data anonymization)进行存储,并且默认使用尽可能最高的隐私设置,以避免公开数据未经明确同意,并且不能用于识别没有单独存储附加信息的主题。任何个人数据除非在法规规定的合法基础上完成,否则数据控制者或处理者已经从数据所有者那里获得明确的选择同意。数据所有者有权随时撤销此权限。
个人数据处理者必须清楚地披露任何数据收集,声明数据处理的合法基础和目的,保留数据的时间以及是否与任何第三方或欧盟以外的国家共享数据。用户有权以通用格式请求处理器收集的数据的便携式副本,并有权在特定情况下删除其数据。 公共主管部门和以核心活动为中心定期或系统地处理个人数据的企业需要雇用数据保护官员(DPO)负责管理GDPR的合规性。如果数据泄露(英语:Data breach)对用户隐私产生不利影响,企业必须在72小时内报告任何数据泄露(英语:Data breach)。
本法案在2016年4月27日通过,两年的缓冲期后,在2018年5月25日强制执行。根据欧洲联盟运作条约第288条第2项,因为GDPR属于欧盟条例(德语:Verordnung (EU))(英语:regulation;德语:Verorderung),不是指令(英语:directive;德语:Richtlinie),所以不需经过欧盟成员国立法转换成各国法律,而可直接适用。随着英国在2019年脱离欧盟,它于2018年5月23日御准批准了2018年数据保护法案(英语:Data Protection Act 2018)(Data Protection Act 2018),该法案包含了相应的法规和保护措施。
GDPR延伸欧洲资料保护法的领域至所有处理欧盟住民的境外公司。 GDPR使通行欧盟的资料保护规章一致,因此使欧洲以外的公司能够更容易地遵守这些规章;然而,其代价是严格的资料保护规定,且有着公司全球收益4%或两千万欧元(择高者)的高额罚款。
OECD 发表“个人数据隐私和跨境流动保护指南”,这是欧盟和美国批准的一系列建议,旨在保护个人数据和隐私的基本人权。最初于1980年9月23日通过法律,并且基于以下八大原则产生出后来的 GDPR 、95/46/EC。
个人资料的收集应存在适当的限制,进而以合法且公平的方式取得,并且透过适当的方法知会资料来源或者主体,再进一步取得同意。
个人资料应与其使用目的相关,并且在必要的范围内,确保资料的准确性以及完整性,并随时更新。
资料取得的目的应于收集资料时就清楚说明,并且在使用资料时,如果没有通知来源主体,不得应用在和当初目的不相关的用途上
除非经资料主体或法律授权,否则不得将个人资料用于原始或者特定目的以外之目的
个人资料应受到合理的安全保护措施之保障,以防止丢失或未经授权的访问,破坏,使用,修改或披露数据等风险。
关于个人资料开发、应用方法,应有一个通用的开放政策去规范。并且资料主体可以轻松得取得关于其本身资料的细节,例如资料使用者的身份以及目的等等。
资料主体拥有资料的取用权,也有资料的拒绝被使用权。此外也能够质疑资料的正确性,并作出合理的处置(删除、修改等)。
资料持有者应对上述原则负责。
尽管欧盟在1995年制定了个人资料保护指令(Data Protection Directive),但当时网络并不普及,为了因应当前资料导向的潮流以符合现代时空环境,2016年通过 GDPR 取代了先前的法规,而主要变动如下:
正因为网络无远弗届的特性,在以往指令的区域适用性含糊不清的情况下,常常在相关案件的审理上窒碍难行。因此 GDPR 扩展了其管辖范围,不管公司所在位置为何,现在只要有使用到欧盟人民所拥有的资料,或者向欧盟公民提供商品或服务的公司皆适用于 GDPR。
除此之外也加强了罚则力道,例如没有足够的客户同意来处理数据或违反隐私设计概念的企业组织,将会被欧盟处以高达年度全球营业额的4%或2000万欧元(以较高者为准)。值得注意的是这些规定同时适用于决策者以及“机器”,这代表的相关的云端服务也在管辖范围内。
更规定在向使用者请求资料使用权时,须以提供于理解且明确的说明,并且也要让使用者易于要撤回同意。
下列适用对象握有其客户或成员相关资料,皆受 GDPR 管辖。
只要是一个人所能产生出的任何资料,几乎都被重新定义为个人资料并受到保护。
知悉个资遭侵害,需 72 小时内通报与通知、个资保护影响评估、个资保护设计及预设。
由于 GDPR 大大扩展了其涵盖范围,因此受到了全球的广泛关注,因为从以往地域上的限制,转变成为凡是向欧盟人民提供产品、服务或监测欧盟境内公民网络行为的境外企业都算。
受到影响的产业非常广泛,影响甚大的产业有几项:
为了有效推动智慧医疗(i.e. Artificial intelligence in healthcare),许多病患的医疗资讯必须电子化,透过各种深度学习算法去训练模型,进而达成各种需求。而电子病历所衍生的隐私问题,在高度安全的区块链技术尚未普及的情况下,虽然可以透过去识别化(Data re-identification)初步的过滤掉个人资讯,然而在以往尚无法律强制性的时期,却也无从确实地在使用医疗资料上保障个人隐私。现在,基于 GDPR 的规定,取得医疗资料的前提是有取得病患的同意,虽然增加了一些程序,但资料安全与隐私的保障所带来的益处,不仅能够保障病患的基本权利,也能提升资料使用上的正当性。
这是一个会处理大量个人识别资讯之产业,包括跨境电商、连锁商店、旅游服务、餐饮,只要是替欧盟顾客服务,掌握信用卡资料、地址、基本个资,都属于 GDPR 规范中。再加上网络服务随之产生的资料之大,使其更首当其冲,这也正是为何苹果等网络服务公司 也推出了个资管理系统,以因应 GDPR 修订。
金融机构持有大量个人识别资讯,每当涉及个资需要传输到境外、处理或利用到欧盟民众个资、海外设有分行、委外业务,都可能受到影响。再加上欧盟是世界第一大经济体,金流来往频繁,更不用说近年区块链技术的兴起,资料隐私安全议题更是影响甚大。
航空运输主宰当今人口移动的方式,旅客往返的机票、出入境资料也都涉及个人隐私。以台湾为例,华航、长荣两家国营航空业者来说,目前在欧洲都有航点,不仅在海外设有办公室,也需要频繁处理大量旅客资料。
