因應歐盟GDPR 掌握隱私保護設計制度七原則

普華商務法律事務所(PwC Legal)與工研院於2018年8月28日及29日於台北與新竹各舉辦一場「歐盟GDPR與我國個資法比較及常見誤解之因應與遵循」研討會，台北場次邀請國家發展委員會法制協調中心劉美琇副主任到場，詳細說明歐盟跨境傳輸規範以及我國爭取歐盟GDPR適足性的作業方向；新竹場次則邀請留學德國的中興大學法律系廖緯民副教授到場，說明歐盟GDPR認證與稽核對我國爭取歐盟適足性承認之效益。

在本次的研討會，共同主辦單位之一工研院王鵬瑜主任及林亞璇副理以實務為例，詳細說明及比較GDPR與我國個資法的差異；普華商務法律事務所主持律師蔡朝安、副總經理張馨云及協理蔡孟祥則以實務經驗為基礎，從歐盟GDPR遵法的決策層面以及執行層面，具體說明我國企業如何因應GDPR的實施。

普華商務法律事務所特別強調的點有幾個方面：

1. B to C的企業以及B to B的企業如何在不同的商業模式基礎下，管理GDPR的遵法風險。
2. 跨國企業如何以符合成本效益的方式，因應GDPR最優先應該注意的規定。
3. GDPR所強調的「隱私保護設計/預設」(privacy by design/ default)，究竟應該如何落實。
4. 如何導入一個穩健的GDPR法遵制度。
    

歐盟GDPR常見誤解

我國企業常誤認為只有直接面對歐盟消費族群的行業有受影響，其實GDPR對於我國提供消費性電子產品的製造廠商也有所影響。因為我國的製造廠商有很多在歐盟都設立有營運據點，並在當地國聘有員工，所以視其營運規模，或多或少都有歐盟當地員工個資遵法問題。另外，我國的製造廠商或代工廠商，陸續都已經被上游廠商要求簽署或聲明遵守歐盟GDPR規定，所以縱使企業本身並非直接受到GDPR的管轄，仍有因為簽署了契約而致其需要遵守GDPR要求的契約義務，這是需要加以注意的。

掌握歐盟GDPR隱私保護設計制度七原則

普華商務法律事務所主持律師蔡朝安表示，此次歐盟GDPR較先進的修改重點還有「隱私保護設計/預設」(privacy by design/ default)，此主要是要求企業蒐集與處理個資前，應先訂有制度評估對於個資的保護是否完整，例如當企業有新的業務流程或系統上線時，需先執行或檢視蒐集了哪些個資，對於個資的保護採取了哪些方法進行影響評估（DPIA），以便降低風險。企業建置隱私保護設計制度，主要有七個原則須掌握：

1. 主動非被動—採取主動措施。在事前預測風險，以防止隱私侵入事件的發生。
2. 隱私為預設需求—在IT系統或服務流程中自動內建隱私保護，也就是用戶不必採取任何行動，隱私即可受到保護。
3. 隱私納入設計—隱私措施納入系統或服務流程的設計與建置當中，讓隱私政策成為設計的重要成分。
4. 功能需完善—確保各種合法利益及目標都能平衡兼顧，以雙贏而非零和的方向進行保護。
5. 整體安全/完整生命週期保護—採取完整的保護策略，可以確保個資蒐集、處理、利用、刪除等各階段都能受到保護。
6. 透明公開—讓資訊的蒐集處理利用流程能透明化，讓資料當事人充分知悉。
7. 尊重使用者隱私/以使用者為中心—以資料當事人為中心，確保資料當事人的利益可以獲得充分的保護。
    

普華商務法律事務所副總經理張馨云分析，我國企業對於歐盟GDPR似乎有著不少的誤解。這些誤解包含有個資盤點的目的、企業設置資料保護長的前提要件、個資處理在GDPR下的定義與範圍、個資處理者與個資控管者的判別方式、自動化決定的定義、取得驗證應該就合規、GDPR會不會使得拿到名片也不能使用名片上的資訊等方面，都有待進一步的澄清，才能做好遵法。

普華商務法律事務所協理蔡孟祥對於GDPR規範個資去識別化的處理，進一步加以說明。個資如何做到去識別化或匿名化，一般而言有下列：

1. 例如去掉名字中的一個字，如配合資料的其他部分，仍可清楚的對號入座，就未達到去識別化的功能，通常檢視資料整體，適當的切割資料，避免資料的完整性，才能達到去識別化的要求。
2. 匿名化通常係去識別化的技術之一，其他如遮蔽、重複、編碼或改變等也是常見的手段，匿名化技術的應用的資料的多寡而有不同的匿名效果。
3. 去識別化的目的是卸除資料的識別性，而常見的識別方式是拼湊、反向工程、猜測驗證等，依據這些可能的手段去組合及應用不同的匿名技術，才能產生具體的效果。

普華商務法律事務所主持律師蔡朝安建議，因應歐盟GDPR，企業應從決策面與作業面分別加以注意。企業首先須思考擬投入多少資源遵守GDPR，在形式合規以及實質合規方面都落實遵法，並調整資源配置，落實內部個資管理制度。台商企業不論是否會直接面對歐盟的消費者，都必須要注意GDPR的規定，建置內部相關個資管理規範，做好法遵也才能夠確保遵法與維持公司商譽。