歐盟執委會自2012年1月提出數據保護改革草案以來,經過4年多的討論,歐洲議會終於在2016年4月27日通過歐盟規則2016/679,也就是對自然人的個人資料保護規則(the EU General Data Protection Regulation,GDPR),此規則自2016年5月24日起生效,並取代歐盟指令95/46/EC。新法規定2年過渡期,直到歐盟各成員國均實施GDPR,才自2018年5月25日起全面施行新法,歐盟各成員國必須在此前將GDPR轉化為與內國法一致。
GDPR確保對自然人高度保護的一致性,並解決以下問題:
ü 加強保護個人權利
ü 強化歐盟內部市場
ü 確保個資保護加強執法
ü 簡化個資的國際傳輸
ü 設置個資全球保護標準
為了使歐盟各成員國落實並遵守GDPR新規定,企業必須時時依循更高的資料保護標準,也可能因此而採取新的內部管控程序。重點如下:
- 為了提供自己的產品和服務,企業必須盡可能減少獲取或處理個人資訊,這使得社交網路服務必須確保用戶擁有最嚴格的隱私設定,而不是用戶必須自己想辦法退出註冊時就自動被授權網站可取得的個人資料。
- 企業負有保護資訊蒐集更加透明化的責任,所以企業必須獲得用戶「清晰明確」的同意才能取得並處理個人資料,且企業必須提供用戶簡單的方法撤回授權企業取得個資的同意,用戶個資被取得後將被用在什麼用途,也必須清楚直白地說明陳述。
- 在新的個人資料保護規則下,任何處理大量個資業務的企業,都必須聘雇一名員工專門負責保護個資,違反規定者將在72小時內被公開揭露。
- 歐洲議會認為新的保護規則將使企業受益,因為建立了一套歐盟全部成員國都必須遵守的規則(而非各成員國各自的規則)及單一的監控機構,若企業或任何組織違反了新的保護規則,將處以高達全球營業額4%的鉅額罰款。
- GDPR除了規範企業,也使歐盟公民能對自己的個資擁有更大的操控權,包括「數據可攜性」,也就是在不同服務間移動個資的權利。例如:要求目前的網路服務供應商(ISP)將特定資訊透露給新的ISP,比如將所有連絡人資料和郵件從google移動到yahoo,或者利用現有的社交網路帳戶之數據建立新的社交網路帳戶。
- 被遺忘權(Right to be forgotten)是新的保護規則的另一大重點,歐洲法院裁定個人可以要求搜尋引擎從包括「不相關」或「過期」的個人資訊結果中移除連結,而這種拘束性判決不僅成為歐盟法律的一部分,且已經延伸到覆蓋各種類型的個人數據資料。例如某甲可以要求FB刪除其帳號及所有和某甲有關的資料,而FB公司必須立即執行。當然,這情形有例外,當個資被用於歷史、統計和科學研究目的時,為了公眾等理由,FB可以不刪除這類個資。此外,兒童享有特殊保護,GDPR要求社群網路在讓兒童註冊帳號前必須得到父母的同意,但年齡限制並沒有統一規定,每個國家可能設立自己的年齡門檻。