GDPR 祭出 企業難以置身事外

文章來源:台灣德國萊因技術監護顧問(股) 公司   發表時間:2018/05/29 瀏覽次數:2397

工業 4.0、智慧化、大數據等產業發展皆離不開資料的採集傳輸及處理。2018 年 5 月 25 日起,號稱史上最嚴格的歐盟個資法 GDPR (通用資料保護法) 強制執行。  它是迄今為止覆蓋面最廣以及最嚴格的個人隱私保護法規,適用於全球,無論廠商是否在歐盟境內,只要其產品或服務在歐盟區銷售,並且關係到保存與處理歐盟公民個人資料者都必須遵守此法案。該法案的影響力不僅局限於歐洲,對於未來全球數位經濟也將產生深刻的影響。

歐盟通用資料保護法 GDPR(General Data Protection Regulation)已於 2018 年 5 月 25 日強制執行,為個人資料安全與隱私權設立嚴格的保護標準,提升個人資料保護層級與範圍。該法案由 11 章共 99 條組成,其中關於資料主體(data subject)的權利、資料控制者(data controller)和資料處理者(data processor)的權利義務都有註明。假如企業的服務中有歐盟客戶、供應商、會員、捐款人等,並擁有其個人資訊,如信用卡帳號、聯繫方式、會員資料等,或企業雇用歐盟公民並擁有其個人資訊,無論公司位於何處,皆適用於此法案。簡言之,此法案主要規範對象包括:

1. 所有在歐盟區銷售產品或提供服務的企業

2. 所有保存、處理歐盟公民資料的企業

3. 與企業是否在歐盟境內無關

只要和歐盟自然人個資相關,例如: 自然人姓名、身份證號碼、定位資料、線上身份識別及物理、生理、遺傳、心理、經濟、文化或社會身份等自然人要素相關的內容都是 GDPR 法案的保護範圍 。

同時,GDPR 的主要核心內容都是在管控個資擁有者、控制者與使用者的相關責任與限制。GDPR 認為企業應落實以下不同面向的個資是否符合法令要求:

  • 兒童的個資處理
  • 非必要使用的個資及禁止收集資料類型
  • 個資使用的知情同意
  • 個資的被遺忘權/修改權/移動權/刪除權/可攜帶權
  • 設置DPO (資料保護官)
  • 個資加密、隱私設計洩露通知
  • 非必要的產品服務功能設計

該法案從法律上定義了用戶隱私的重要意義,也決定了企業應如何合法地應用新技術、業務創新來獲取個人資料的巨大價值;違者會被課以2000 萬歐元或全球年營業額 4% (二者取其高),更可能被要求產品下架禁售。

為了因應此法案的公佈,目前已經有很多企業推出了相關應對措施,從資料保護的技術層面做出努力。例如,通過研究GDPR法案調整個人資料的使用和方法、由協力廠商認證公司進行詳細的認證和評估,找到違規專案並降低風險、進行詳細的法律諮詢,將風險控制在安全線以內等。   

德國萊因TÜV物聯網隱私安全服務中心負責人烏多·斯卡拉為呼籲企業用“同一種態度對待世界各地的消費者,而不應僅著眼於那些所謂的規定。” 全世界的消費者都是平等的,而保護用戶的隱私是全球企業的義務,更是責任。

建立在資料獲取、傳輸、存儲和運算基礎上的智慧與物聯網產品/服務首當其衝地成為了受 GDPR影響的主要產業,例如: 智慧可穿戴設備、智慧家庭、車聯網產品等。 為因應GDPR 的巨大影響,德國萊因 TÜV 為 IoT 產品提供 GDPR 解決方案。通過驗證的 IoT 產品和服務項目,會授與德國萊因TÜV的認證標誌。產品認證標準會依據 GDPR 法案的規定,從硬體與韌體、通信、App、文件記錄與資料使用的五個層面來評估 IoT 產品的隱私保護。 最近德國萊因發佈的 GDPR 白皮書已歸納整理 GDPR 的影響,也會比較 GDPR法案和台灣個資法有何不同,歡迎申請下載:http://bit.ly/2J77H66

 

以上新聞投稿內容由台灣德國萊因技術監護顧問(股) 公司全權自負責任,若有涉及任何違反法令、違反本網站會員條款、有侵害第三人權益之虞,將一概由台灣德國萊因技術監護顧問(股) 公司承擔法律及損害賠償之責任,與台灣產經新聞網無關。