我國「個人資料保護專案辦公室」今(4)日揭牌,宣告我國邁向數位經濟時代,政府決心強化我國個人資料保護的里程碑。然而,被外界視為史上最嚴苛的歐盟個資保護法。《一般數據保護規則》(GENERAL DATA PROTECTION REGULATION,GDPR)已於今年5月下旬正式生效,接下來此專案辦公室的首要之務即是協助我國企業加以應對,避免觸法而招致最高2,000萬歐元的天價罰款,責任重大。
回顧我國個資法於2012年10月1日正式上路,當時所參照的藍本就是以歐盟執委會1995年通過的《個人資料保護指令》(DIRECTIVE 95/46/EC)為範本。其後,歐盟在2010年11月,通過決議重新檢討1995年《個人資料保護指令》的不足,特別是強化各會員國對個資保護專責單位的監督職責,減少個資蒐集及使用的成本,提高事後處分與問責,以因應數位經濟時代網路資訊交換的挑戰。歐洲議會在2016年先通過第 2016/679 號法案,並於今年5月25日通過GDPR。
對於和歐洲有直接、間接往來的台灣企業而言,須特別留意GDPR法規的原因,在於非歐盟會員國之第三方國家須取得「適足性」(ADEQUATE LEVEL OF PROTECTION)認可,才能「例外」從事跨境傳輸歐盟的個人資料,企業若不慎踩到GDPR紅線,罰責最高可達2,000萬歐元。
歐盟耗費6至8年時間,大幅修改歐盟1995年的個資保護指令而制訂出GDPR,對仿傚歐盟個資保護指令的台灣來說,要跟上歐盟執委會的腳步,取得歐盟個資法「適足性」認可,成立「個資保護專案辦公室」只是第一步。「專案辦公室」接下來要為國內產業、企業界承擔的責任十分艱鉅,就其他國家的經驗來看,待完成的挑戰及工作將接踵而至。
首先,參考目前已取得歐盟適足性認可的國家,如以色列、烏拉圭、紐西蘭或日本,皆花費至少2至3年以上的時間,與歐盟執委會不斷地諮商、對話、溝通,並且持續地蒐集適足性證據(ADQUACY FINDINGS),這項工作既重要、又重細節,加上頻率又高(日本兩年期間諮商了50多次,平均兩週一次),將會是「專案辦公室」成立之後,第一個最重要且艱巨的任務。
針對未來台歐GDPR適足性專業諮商會議,或需俱備「快速反應」的幕僚作業,以提高諮商會議的有效性。特別是台灣與歐盟時差達7~8小時,工作與下班時間正好相反的情形下,以電話、視訊直接溝通的可能性降低、難度提高。應思考如何與歐盟執委會建立「面對面」溝通之管道,以提高雙邊諮商的有效性。
除了「對外」與歐盟溝通,「專案辦公室」的任務應該還有「對內」各項宣傳、推廣與培訓。亦即,針對國內企業辦理各項GDPR教育、訓練課程,以有效宣傳、推廣GDPR的各項規範,並開設適當之培訓課程,以為業界培養足夠之個資法遵人才,因應數位時代之需求。其次,在台灣與歐盟諮商適足性的過程中(可能長達2~3年期間),須為國內企業制訂明確、並且可遵行的原則(GUIDELINES),以避免企業在這段期間,誤觸歐盟個資保護法。第三,在現有「台-歐盟產業對話會議」及「台灣-歐盟數位經濟論壇」之基礎上,作為雙邊資訊交流、未來合作的平台,對於形塑台-歐盟未來數位貿易、數位全球價值鏈、數位創新與數位經濟的共同成長,扮演育成者(INCUBATOR)角色。
最後,可能也是最重要的工作,應是持續辦理GDPR企業認證,目前歐盟關於GDPR認證的機制、標章等,尚在形成當中,台灣應把握機會,盡可能爭取在執委會制訂認證機制的過程中,參與討論、貢獻意見,為台灣產業爭取更有利的認證條件,以順利融入由歐盟領導的全球個資保護趨勢與措施。