.jpg)
筆者所任職的公司總部在歐洲,於是所有公司關於隱私權保護的設計都是依據歐盟個人資料保護法(GDPR)法遵進行。相較於亞洲部分國家要求的一些嚴格申報義務(以中國、菲律賓及越南為代表),歐盟雖然設計了一套全球的隱私權保護規範模板,也被批評過稍嫌嚴苛,例如對於跨境傳輸的規範,甚至有人認為是變相的資料在地化要求。然而深入探究,到底GDPR要求的是甚麼?應如何做到法遵?是否亦有規範類似的申報義務呢?
如果熟悉英文合約的人,或是曾與外商溝通談判過的讀者,應該可以大抵了解外國法遵的想法,簡單說就是規範一開始訂立的很詳細,假設前提是願意加入的人,同意這個遊戲規則,願意去了解並加以遵守(what a perfect world!)
同理,GDPR的設計初衷也是一致的。GDPR就是建立一套合理的行為規範,或可以說是適當的隱私保護機制,頒布後讓相關企業組織以資遵循。
因此GDPR並未要求申報義務,所有應予踐行的隱私保護程序設立與運作,都是公司內部自行建置及自我監督,
公司踐行的目的除GDPR法遵之外,自然是在有個資事故發生時,得以向主管機管提出作為免責或減輕責任之責罰考量依據。
至於GDPR法遵到底包含哪些項目?筆者以為,可以把個人資料當成一個有機體,從一開始蒐集處理到刪除整個循環全方面的考量,包含
蒐集合法基礎(是否取得合法同意)、是否盡妥善隱私權告知、個資蒐集內容為何(是否包含敏感個資、是否符合最小化原則)、蒐集目的為何(連結最小化原則、透明原則、得如何處理,及何時應刪除等)、是否有委外廠商(如有,如何進行監督?合約如何訂立?是否有下包商)、傳輸時匿名化(是否涉及跨境傳輸)、接觸使用人員控管、何時銷毀刪除、個資事故調查及通報、是否設有專責或專職人員處理等等。GDPR提供一套相當完整的保護規範系統,而以個人資料為一個有機體來思考,公司內部建置的隱私影響評估與完整的文件處理紀錄(ROPA),即GDPR設計得以協助達成自我監督檢驗的方式。
這樣說來GDPR是否過於嚴苛呢?筆者個人以為其並非陳義過高,雖然直言之以亞洲公司公司內部治理程度,如無法規強制規範,願意實踐到幾分讓人存疑,然縱以相對主張資料流通的美國各州亦紛紛針對隱私權立法規範,隱私權的保護視為來的趨勢。台灣目前法令規範雖尚未完全與世界接軌,但於可見的未來亦將緩步調整,尤以跨國企業內部的法遵意識必須與世界主流接軌,不得輕忽!
