ROPA(records of processing activities)是歐盟GDPR制度之下的法律概念,或許對一般人而言有點陌生,通常接觸到個資比較先提到個資衝擊影響評估(PIA),然所謂ROPA其實就是針對個人資料(以下簡稱個資)一系列完整的管理紀錄,台灣政府推動的台灣個人資料保護與管理制度DP mark有引進類似的概念。
GDPR第三十條規範
個資控管者(controller),即蒐集處理個資委任企業,應維護其負責之處理活動紀 錄。該紀錄應包含個資長(data privacy officer)之姓名及聯絡方式、處理目的、資料主體類型及個人資料類別之描述、個資接受者、跨境傳輸、個資保存期間、以及安全措施等。同條亦要求受任蒐集處理之企業(processor)進行類似的ROPA紀錄。
雖然說建立一個完整的文件處理紀錄是相當好的風險控管前提要件,然亦可理解如各項個資蒐集處理都要建檔,對企業來說是一個沉重的行政負擔,
ROPA建置完整之後, PIA相對而言就容易許多。這也可看出歐盟對個資管理的邏輯脈絡。
在亞太區域ROPA被引進的國家包含印尼、馬來西亞、菲律賓、越南、泰國。筆者文章討論至今,或許可逐漸窺知,對於個資控管較為嚴格的反而是東南亞開發中國家,相對高度開發的亞太各國如日本、新加坡、澳洲、紐西蘭等,或許因為主張經濟自由資訊流通,或許是因為國內法遵意識較高,甚或因為政府監管較低,而對於個資蒐集處理控管要求反而較低—但這並不表示個資事故發生率較高,或是個資保護較不安全。
法律規範的寬鬆或嚴謹,牽涉到法政策、各國社會文化風土民情,無法一概而論好壞。然在現今國際村概念下,跨國企業涉及的法遵議題不僅是企業合法設立國內法問題而已,尤其個資蒐集處理往往牽涉跨國,消費者遍佈世界各地,在未來cookie可能逐步消失或受限制的狀況下,各企業將無法直接透過與後端系統合作追蹤到個人足跡時,各企業現今均卯足全力吸納會員蒐集個資,建立自家資料庫,進而在合法範圍內分析比對找到消費族群(target audience)。是故筆者談及GDPR以及亞太各國個資法律規範,對台灣以外的國家個資法發展及相關重要議題進行初淺的介紹,希望能為國內企業擴展較宏觀的法遵視野。