跨國企業應具有之意識與行動方案

隨著有「史上最嚴格個資法」之稱的歐盟個人資料保護法(GDPR)的緩衝期結束,號稱「美國最嚴格隱私法案」的加州消費者隱私法(California Consumer Privacy Act, CCPA)即將於2020年1月1日生效,也將對跨國企業涉及加州居民個人資料之蒐集及處理進行規範。由此趨勢可知,企業如何處理隱私資料保護以及施行相關管控措施,已成為各國個資保護法案之重點;甚而,CCPA的推出,更是對於當今透過科技發展並運用個人資料進行更細緻服務的企業策略立下指標,企圖從科技發展與個人資料保護取得平衡點。

因此,在「Your life is not their business.」的口號下,加州政府針對加州居民個人資料的保護與權利行使範圍提出了五大目標:

  1. 企業在蒐集消費者資訊之際,必須披露其所收集資訊之類型、項目以及目的;
  2. 消費者有權拒絕企業販售或揭露消費者資訊予第三方;
  3. 企業應回應消費者對於個人資料的詢問與請求;
  4. 禁止企業因應差別定價策略提供不同個人資料保護服務,除非該差別定價與所涉及之消費者資訊有合理相關之理由;
  5. 消費者可對企業提出訴訟,並明訂罰款標準。

CCPA的推出除形塑公眾意識對於科技於生活運用的反思,也引發各州與聯邦政府著手消費者個人資料隱私法案的訂定,跨國企業未來恐將遭遇各州與聯邦規範手段寬嚴不同,企業無法錯其手足的狀況。因此,勤業眾信從協助客戶實施個人資料保護與管理制度導入方案的經驗中歸納下列實施重點做為企業審視當前制度完善程度之建議:

一、確認企業是否落入各國個資法規的適用範圍:以CCPA為例,企業年度總收入超過2,500萬美金、有大量蒐集或加州居民個人資料或年收入來源的50%以上出自於加州居民個人資料的販售時,則無論該企業是否於加州設立實體,其商業活動所涉及之蒐集或處理加州居民個人資料時皆將受到CCPA的規範。

二、依據所應遵循之外部法規梳理與盤點目前與個人資料相關之業務與流程,瞭解目前企業所有的個人資料的類型與內容,以及蒐集、處理與利用上述個人資料的目的,是否有達到手段與目的的合理正當性。

三、評估當前個人資訊管理制度框架、政策與目標是否符合外部法規要求,透過外部法規或採用國際標準來進行個資管理制度控管點進行驗證。

四、評估企業所實施之個人資料保護控管可滿足法令規範要求,包含是否已有相關規範以及具體安全管控措施,並針對不足之處執行強化,以確保已有適當安全控管機制。

五、透過風險評估檢視個人資料檔案所面臨之風險,依據風險的胃納程度、企業的營運型態與複雜性為基礎,採取相應之風險處理措施,發展改善個人資訊管理制度改善計畫。

在當前商業活動無國界與企業全球發展的趨勢下,追求服務創新與業務推廣之餘,完善個人資訊管理制度的運作,進而回應公眾對個人隱私保護的期待,將是企業新經濟時代下的考驗及建立消費者信任與永續發展的關鍵。

(吳佳翰、林彥良■勤業眾信風險管理諮詢執行副總經理、副總經理)

隱私個資GDPR2019OBCCPA