理律法律事務所2月邀請律師,
網路行銷
,說明歐盟新版個資法GDPR對台灣產業的衝擊。 圖/聯合報系資料照片 分享 facebook 歐盟新版個資法「通用資料保護法規」(GDPR)即將在廿五日實施,
網路行銷達人
,號稱史上最嚴的個資法,
網站租用
,其將對國內產業的衝擊,
關鍵字優化
,各界多已表達意見;而各部會如國發會、通傳會與金管會等單位亦皆發布消息,
購物網站租用
,表明有妥善的因應措施。筆者依據歐盟官網資料,驚喜發現歐盟執委會在今年一月九日的「適足性」行政決定中,台灣竟然在「法定稽核」此一大項中的「稽核架構等價性」與「職權單位適足性」二個細項上,獲得承認(總共有十六大項)。 歐盟此一行政決定的實務依據尚不得而知;但鑑諸國內相關發展,似乎尚有強化的必要。我國現行個資法雖委由各部會充任行政監理的專責機關,但是各部會迄今的管理辦法並未核實開展。不僅行政檢查(個資法第廿二條以下)絕少實施,甚至連管理辦法本身應具有的組織要求與技術規範,亦多懸而未決。而攸關國際交互承認的稽核與驗證制度,則迄今未有法律依據。究其實,台灣業界的個資法「法規遵循」動力多來自「產業自主」,而非公權力要求;其格式與方法則依賴民間稽核或驗證機構的版本。此一現象,正面而言,上述獲得承認的「稽核架構等價性」與「職權單位適足性」二個細項,似乎是國內企業積極運用具有國際背景的稽核或驗證機構所造成的效果;但負面而言,則使得國內相關業務不僅陷於混亂無序,且相當不利於本土技術與管理模式的發展。至於其他十五大項(多為金融事務),我國因國際地位問題,顯然吃了虧。多項豁免規定我國無法享有。這就有賴務實地爭取實質承認的努力。GDPR並非如此嚴格,而難以達到其要求;可預見的未來,歐盟會員國中亦尚有若干成員無法達標。另一方面,許多法律與人文上的誠懇實踐,事實上也足以達成法規遵循的目的;並不一定需要花大錢、拉高技術複雜度。這就需要仰賴政府機關做為表率,務實而勤勉地履行政策釐清、制度引進與監理實作了。另外,許多歐盟的相關制度,我國顯然尚不熟悉,比如GDPR第四十條的「(企業)行為準則」(CoC);其著重產業自律,頗符合我國需要發展實質關係的國情。另外,GDPR第四十七條的企業約束規則(BCR);BCR是一種工具,有助跨國公司在國際間移轉個人資料,以提供給其附屬公司。目前,歐盟認可兩種BCR。歐盟執委會對台灣的二項承認,已是相當良好的開始。惟未來當雙方針對個資法的業務更加熟悉對方時,台灣的實務進程就必須有更扎實的表現了。無論如何,在此份針對卅五個對象的行政決定中,台灣能列名其上已經顯示我國的實質國際地位。國人應務實、樂觀地迎向GDPR,無須過度反應。,