史上最嚴格的個資法─歐盟一般資料保護規則(GDPR)去年上路,任何企業的商品有販賣到歐盟,或者運用到任何歐盟企業、自然人或公務機關的個體資料,都要遵守GDPR。國發會近期三度與歐盟協商台灣的適足性認定,未來也勢必要修現行的個資法因應。
其實不只商業活動,非營利性質的學術參訪交流團,只要涉及跟歐洲公民之間的資料交易、交換、交流行為,都會受到影響。若台灣無法以政府層級取得歐盟GDPR的適足性認定,未來台灣企業或民間組織與歐盟或符合GDPR認定的國家資訊交換時,就必須自行負擔合規成本,否則也可能受罰。
也就是說,按照歐盟的規範,台灣的各類型產業企業,都會面臨各種法規上調整,取得GDPR適應,增加企業自行負擔成本。
GDPR甚至規範五百人以上的組織,必須成立個資保護單位或是設立資訊長,種種規範對中小企業來說,其實很容易疏忽;因此,現在已經有許多律師、會計師事務所,提供整套產業模組的方式,幫助中小企業降低GDPR合規成本。
GDPR不只規範台歐間的往來,也包含取得認定的非歐盟國家。台灣長期以來與日本有非常深度且頻繁的經貿交流,由於日本已經取得歐盟GDPR的認定,他們一切都必須符合GDPR規範,因此,我們與日本之間的商業或動、學術交流,只要設及任何資訊交換,也都必須受到規範。
從大層面來看,進入資料經濟時代,未來資料跨境傳輸勢必趨漸頻繁,如果沒有取得GDPR的適足性認定,台灣在跨境傳輸速度就可能拖慢。若未來愈來愈多國家取得GDPR認定,台灣在個資保護上也可能與國際脫軌。