歐盟GDPR發威 企業謹慎因應控管風險

2018 年 05 月 31 日

工業4.0、智慧化、大數據等產業發展皆離不開資料的採集傳輸及處理。2018年5月25日起,號稱史上最嚴格的歐盟個資法GDPR(通用資料保護法)強制執行。它是迄今為止覆蓋面最廣以及最嚴格的個人隱私保護法規,適用於全球,無論廠商是否在歐盟境內,只要其產品或服務在歐盟區銷售,並且關係到保存與處理歐盟公民個人資料者都必須遵守此法案。該法案的影響力不僅局限於歐洲,對於未來全球數位經濟也將產生深刻的影響。

歐盟通用資料保護法GDPR(General Data Protection Regulation)已於2018年5月25日正式生效,為個人資料安全與隱私權設立嚴格的保護標準,提升個人資料保護層級與範圍。該法案由11章共99條組成,其中關於資料主體(data subject)的權利、資料控制者(data controller)和資料處理者(data processor)的權利義務都有註明。假如企業的服務中有歐盟客戶、供應商、會員、捐款人等,並擁有其個人資訊,如信用卡帳號、聯繫方式、會員資料等,或企業雇用歐盟公民並擁有其個人資訊,無論公司位於何處,皆適用於此法案。簡言之,此法案主要規範對象包括:

1. 所有在歐盟區銷售產品或提供服務的企業。

2. 所有保存、處理歐盟公民資料的企業。

3. 與企業是否在歐盟境內無關。

只要和歐盟自然人個資相關,例如: 自然人姓名、身份證號碼、定位資料、線上身份識別及物理、生理、遺傳、心理、經濟、文化或社會身份等自然人要素相關的內容都是GDPR法案的保護範圍 。

同時,GDPR的主要核心內容都是在管控個資擁有者、控制者與使用者的相關責任與限制。GDPR認為企業應落實以下不同面向的個資是否符合法令要求:

  • 兒童的個資處理;
  • 非必要使用的個資及禁止收集資料類型;
  • 個資使用的知情同意;
  • 個資的被遺忘權/修改權/移動權/刪除權/可攜帶權;
  • 設置DPO(資料保護官);
  • 個資加密、隱私設計洩露通知;
  • 非必要的產品服務功能設計;

該法案從法律上定義了用戶隱私的重要意義,也決定了企業應如何合法地應用新技術、業務創新來獲取個人資料的巨大價值;違者會被課以2000萬歐元或全球年營業額4% (二者取其高),更可能被要求產品下架禁售。

為了因應此法案的公佈,目前已經有很多企業推出了相關應對措施,從資料保護的技術層面做出努力。例如,通過研究GDPR法案調整個人資料的使用和方法、由協力廠商認證公司進行詳細的認證和評估,找到違規專案並降低風險、進行詳細的法律諮詢,將風險控制在安全線以內等。

德國萊因TÜV物聯網隱私安全服務中心負責人烏多·斯卡拉為呼籲企業用“同一種態度對待世界各地的消費者,而不應僅著眼於那些所謂的規定。”全世界的消費者都是平等的,而保護用戶的隱私是全球企業的義務,更是責任。

建立在資料獲取、傳輸、存儲和運算基礎上的智慧與物聯網產品/服務首當其衝地成為了受GDPR影響的主要產業,例如:智慧可穿戴設備、智慧家庭、車聯網產品等。為因應GDPR的巨大影響,德國萊因TÜV為IoT產品提供GDPR解決方案。通過驗證的IoT產品和服務項目,會授與德國萊因TÜV的認證標誌。產品認證標準會依據GDPR法案的規定,從硬體與韌體、通訊、App、文件記錄與資料使用的五個層面來評估IoT產品的隱私保護。 最近德國萊因發布的GDPR白皮書已歸納整理GDPR的影響,也會比較GDPR法案和台灣個資法有何不同,歡迎申請下載:

標籤
相關文章

歐盟ErP指令2010年擴大管制項目

2009 年 12 月 29 日

德國萊因助太陽能業者掌握調整體質時機

2011 年 10 月 06 日

智慧科技商機風險並陳 德國萊因探討保障之道

2018 年 05 月 11 日

聚焦歐系先進智造 TÜV:系統整合最難突破

2020 年 12 月 01 日

獲TÜV ISO 26262認證 聯嘉光電強化車用照明

2020 年 03 月 26 日

元太科技獲德國萊因全球首款類紙顯示驗證

2021 年 11 月 05 日
前一篇
康耐視推出ESD安全讀碼器
下一篇
乘上AIoT大浪 宇瞻提農業/水情管理解決方案