稅務專欄－企業如何因應歐盟新資保法

工商時報【吳佳翰 林彥良】 影響超過190個國家、罰則最高全球營業額4％的歐盟通用資料保護規則（General Data Protection Regulation, GDPR）將於2018/5/25生效，金融服務業、科技業、製造業、零售業及旅遊服務業等產業將面臨重大考驗。勤業眾信從GDPR顧問服務經驗中分析可能面臨之風險與挑戰： 隱私資料範圍與隱私資料地圖：針對新興科技帶來的資料處理技術，含IP地址、Cookies、GPS等藉由資訊科技自動擷取或系統彙整分析的資料均納入隱私資料範圍，故結合作業流程與資訊系統的隱私資料流分析及隱私資料地圖建立格外重要。企業應考量隱私資料地圖是否涵蓋自動化處理所涉及的隱私資料、電腦網頁與行動App擷取內容、使用者瀏覽分析紀錄、API介接資料內容與資料來源等議題。 資料控制者與資料處理者：企業服務或產品銷售過程涉及經銷、分銷或代理等模式，含控制者、共同控制者或處理者等角色並擔負不同的隱私資料管理責任。企業應考量臺灣總公司與歐盟海外據點間關係與責任、服務或產品銷售╱交易╱售後服務╱市場行銷等過程所涉及之隱私資料流分析、控制者與處理者間之協議或合約內容等議題。 當事人同意與權利行使：針對隱私資料之蒐集、處理、利用與傳輸等作業，企業應告知當事人，取得同意並舉證之，且提供當事人必要的權利。企業應考量告知內容與實際資料處理作業之一致性、當事人部份同意或拒絕後之處理方式、當事人明確同意之紀錄留存與舉證方式、資訊系統如何調整以應對被遺忘權╱資料可攜╱反對等權利之行使等議題。 資料保護官（DPO）設置：DPO對內負責監督管理企業隱私資料處理活動，並向最高管理階層報告；對外負責與隱私保護監管機構溝通。企業應特量領導監管機構與DPO設置區域之關聯性、與監管機構互動、DPO職能劃分與報告流程、DPO及相應組織架構規劃等議題。 去識別化、去連結化與資料加密：GDPR鼓勵企業依據隱私資料地圖及資料生命週期設置必要的保護措施，如資料去識別化、資料去連結化及資料加密等。企業應考量去連結化資料及其衍生資料盤點與控管方式、去識別化機制驗證方式、資料加密有效性等議題。 隱私資料跨境傳輸：資料跨境傳輸目前多採用三種方式，包含當事人明確同意（Consent）、標準契約條款（Standard Contractual Clauses）及企業自我約束規則（Binding Corporate rules）等。企業應考量當事人拒絕跨境傳輸後的產品╱服務提供方式、標準契約條款傳送方與接收方法律環境及隱私保護之一致性、企業自我約束規則獲得認可之可行性、區域或產業隱私保護規範如CBPR發展趨勢等議題。 資料外洩通知：企業如發生資料外洩後需於指定時限內通知監管機構或當事人，資料外洩相關應變處理作業也應保留完整紀錄。企業應考量歐盟海外據點與臺灣總公司之雙向通報流程、資料外洩判定與衝擊評估、當事人通知方式等議題。 勤業眾信以豐富的資安顧問服務經驗，協助企業面對全球新一波隱私保護浪潮所帶來的風險及挑戰，共同迎向數位化新契機。（本文作者吳佳翰為勤業眾信風險管理諮詢股份有限公司執行副總經理、林彥良為副總經理）