GDPR境外管辖及同意之介绍(台湾)

2018.8.21
李蒂娜 律师

GDPR是欧洲议会及欧盟理事会在2016年4月27日通过的规则,全名为「个人资料保护一般规则(General Data Protection Regulation)」,简称GDPR,GDPR除了前言外,分成11章,共99条条文。从2018年5月25日开始施行。从通过到施行有2年的缓冲期,让欧盟会员国及其他适用GDPR的各国企业可以有法律遵循(legal compliance,下称「法遵」)的准备时间。

GDPR的前身是1995年的「个人资料保护指令(Data Protection Directive)」。「规则」跟「指令」的差别在于「指令」必须由各会员国入法才会有拘束力,「规则」则是各会员国一体适用,直接有拘束力。

GDPR能够以「规则」来通过,代表当时欧盟28个会员国都愿意放弃某种程度的主权,由欧盟来决定各国个人资料要如何保护、保护范围多大、违反的处罚多强。

从个人及企业的角度而说,一般人的个人资料可以得到更完善的保护,而GDPR虽然号称史上最严格的个人资料保护法,但是各企业在欧盟各会员国不再需要根据所在国不同将相关文件及设备在地化(localization),有效降低法遵成本,让个人资料可以在会员国间自由流通,达到数字单一市场的共同目标。

虽然说GDPR是主要适用在欧盟的会员国,但是近年来,由于国际贸易产品、服务跨境流通,加上电子商务快速发展,透过网络购买商品或服务已成为现代人繁忙生活中不可或缺的好帮手,购物网站、社群网站、航空公司、旅行社、饭店、银行等天天在处理着你我的个人资料,这些企业纵使未在欧盟设点[1] (Establishment),但是如果提供商品或服务给在欧盟的数据主体(Data Subject,下称「个人」)或者监看(Monitoring)个人在欧盟的行动都可能有GDPR的适用。

由于我国个人资料保护法与GDPR的规定有所出入,因此,在台湾的企业除了遵守我国的个人资料保护法外,也需要确认是否有GDPR的适用,假使是在GDPR的适用范围内,就有必要根据GDPR相关规定进行盘点,了解所持有之在欧盟个人之个人资料种类及数量,设计符合相关规定的外部及内部稽核与控制文件和程序,并于系统、程序设计伊始就应该考虑个人资料保护,仅处理[2]必要的个人资料,达到个人资料最少化,以确保企业的个人资料处理合法、正确、透明、安全无虞。

本文透过参考欧盟Article 29 Working Party(下称WP 29)公布的准则,简要说明对我国比较重要的二个GDPR概念,希望能在企业判断有无适用及适用GDPR时有所帮助。

一、境外管辖(Extraterritoriality)

1. 在欧盟有设点:

是否在欧盟境内实际处理在欧盟个人的个人资料,在所不问。例如虽然是欧盟的公司,但实际上处理是在美国或者云端,也会有GDPR的适用。

2. 在欧盟没有设点:

(1) 但提供在欧盟的个人商品或服务,不问是否需要付款(例如:试用);或者监看在欧盟个人于欧盟境内的行动(如心率手环、智能检测手环),都会有GDPR的适用[3]

(2) 甚么叫做「提供」在欧盟的个人服务或商品?主要是指以在欧盟的个人为营销目标,例如付款方式可使用欧元、使用欧盟某国特定的语文(如有法文版)或提到在欧盟的客户曾接受服务或购买商品就会被认为是以在欧盟的个人为营销目标。

3. B-B也会变成B-C:

GDPR是适用于B-C的情况,也就是提供商品或服务的对象必须是个人而非其他企业, 如果只是单纯企业与企业间的买卖或提供服务,则不在适用之列。但是企业必须注意,提供商品或服务后,有无提供商品或服务给该等国外企业的顾客,举例来说,A公司将商品卖给B公司,因为是B-B,所以在这个商品买卖上,并不会有GDPR的适用,但是,如果A公司提供保证书,要商品的最终使用者上网登入个人资料提供保固服务等,而最终使用者为在欧盟的个人,就是提供服务给欧盟的个人,A公司就会有GDPR的适用。

4. 除符合不需设代表(处)的例外情况外,适用的企业就必须在欧盟设代表(处)[4],如果应设代表(处)而未设,最高行政罚款可以到1000万欧元或前一个会计年度全球营业总额的2%[5]

二、同意(Consent)

1. 仅凭「同意」合法处理个资其实很危险

GDPR里可以合法处理个人资料的事由,共有6种[6]。除了个人的「同意」外,还有履约所必要或缔约前因个人要求所采取之步骤、法律明文、保护个人或他人之重大利益、基于公共利益或公务机关执行法定职权之必要、追求正当利益之目的所必要等5种。

虽然个人的「同意」列在第一种,但并不代表公司应该依照排列先后顺序考虑,反而应该优先寻找有无其他种合法处理事由,有必要时,再加上「同意」来确保处理个人资料的合法性。主要原因是因为,GDPR里也要求同意必须是可以随时撤回的。所以如果所凭借的处理基础只有「同意」,那在同意撤回后,个人的许多权利包括资料删除权等都会发生,后续复杂的问题也因此衍生,因此,如果能多多利用其他列举的事由为基础,会是比较妥当的方式。

由于GDPR里将个人资料分成两类,不同的个人资料,要求的「同意」标准也就有所不同。 不同种类个人资料,不同程度的同意。

(1) 一般个人资料:

GDPR里将「同意」定义为个人在被告知应告知事项后,在自由意志下,就基于特定目的处理其个人资料的要求,给予明确肯定之表示[7]

a. 同意应该是在告知了应告知事项后所做出的决定[8]:应该要告知的项目至少包括:数据管理者的身分及联络方式(谁要我的个人资料?)、处理目的及依据(为甚么要我的个人资料?)、搜集及使用哪些个人资料(要我的哪些个人资料?)、个人有甚么权利、自动化处理个人资料作成决定(Automated individual decision-making)、(如果有跨境传输)跨境传输的风险[9]等。

b. 同意必须是在自由意志下所给予(freely given)的:主要在强调个人有真正的选择权(Genuine Choice),例如,我要下载使用修图软件app,你就不可以叫我开GPS让你定位我否则我就没办法使用,因为这两者目的并不兼容(not compatible)。在这种情况下,我并没有真正的选择权[10]

c. 同意必须是清楚(Unambiguous)的:就是要有书面或口头的表示,使用的方式也可以是电子方式,

(2) 特别种类个人资料:

这类个人资料的同意,GDPR第9条里增加了「明确」(Explicit)的要求,例如撰写同意书、填写表格后扫描以电邮寄送或是签名后上传或使用电子签章,甚至是电话录音,都能符合这个要求,要求较为严格。

3. 未满16岁人的同意:提供网络服务给未满16岁或更小(授权各会员国订定)的未成年人,就处理个人资料方面,必须由法定代理人代为或授权为之,而且数据管理者取得同意后,也要尽一切合理的努力去确认同意为真正。

4. 罚则:

如果没有得到处理一般个人资料、特殊种类个人资料的同意[11](除有其他合法事由外)而对个人资料进行处理,最高行政罚款可以到2000万欧元或4%前一个会计年度全球营业总额[12]至于违反有关未满16岁人同意的规定,最高则可以罚到1000万欧元或前一个会计年度全球营业总额的2%[13]

[1] 指在欧盟有效、真正运作的经常性安排,是否有法人格在所不问。详参GDPR前言第22段。

[2] 请注意GDPR并未如我国区分搜集、处理及使用,一概以「处理」称之。详参GDPR第4条有关「processing」的定义。

[3] 参GDPR第3条、第27条。

[4] 参GDPR第27条。

[5] 参GDPR第83条第4项。

[6] 参GDPR第6条。

[7] 参GDPR第4条第1项第(11)款。

[8] 参GDPR第13条及第14条。

[9] 参WP 29发布之Guidelines on Consent under Regulation 2016/679。

[10] 同上。

[11] 参GDPR第6条、第7条、第9条。

[12] 参GDPR第83条第5项。

[13] 参GDPR第83条第4项。