歐盟隱私保護法規GDPR於日前正式生效，臺灣則是早已施行類似性質的個人資料保護法。兩者之間究竟有何異同？是否只要不違反個資法便不須擔心GDPR的高額罰金？以下便以各個角度及案例分析之：

一、對個人資料之定義

二、蒐集時當事人之同意

相關案例：

奧地利的隱私權倡議組織「None of Your Business」分別對 Google 在法國提起 37 億歐元、Facebook 在奧地利提起 39 億美元的告訴。None of Your Business 律師 Max Schrems 公開強調，這些大公司就算聲稱已推出新的政策和產品以符合 GDPR，但往往最後還是迫使使用者只能選擇「接受」或「放棄」；這種「強迫同意」的行為（forced consent）根本等同「未取得同意」，還是違背了 GDPR 的原則。

三、處理個資之原則

四、國際傳輸個資之原則

五、罰則

六、GDPR的適用範圍

1.本規則適用於控管者或處理者在歐盟境內之分支機構所為之個人資料處理活動，不問該處理是否發生於歐盟境內。(第三條之一)
2.本規則適用於由非設立於歐盟境內之控管者或處理者對於歐盟境內之資料主體所為涉及如下事項之個人資料處理。(第三條之二)

• (1)在歐盟境內設有分公司、子公司或其他據點、分支機構的台灣企業。
• (2)雖未在歐盟境內設點，但因進行跨境商品或服務之交易而取得歐盟境內個人的資料，或對於歐盟境內之個人活動有所監測者。
• (3)為歐盟企業處理個人資料或提供有關服務如資料處理、雲端服務的台灣企業。
• (4)其他接受來自歐盟之個人資料之企業。

按照個資處理機構是否為歐盟轄內，及資料主體是否為歐盟民眾，整理出以下表格：

• 1.資料主體是歐盟公民與資料處理者/控制者位於歐盟區域
• 2.資料主體是歐盟公民與資料處理者/控制者並非位於歐盟區域
• 3.資料主體不是歐盟公民與資料處理者/控制者位於歐盟區域
• 4.資料主體不是歐盟公民與資料處理者/控制者並非位於歐盟區域

七、實際案例

1.社群平台 －－FB的資料移出

FB於GDPR生效前將愛爾蘭國際總部管轄的非歐盟公民用戶個資6億筆移出至美國，並轉為適用美國法規，以達到上述圖表的4，進而迴避GDPR的管制。

剩下原本就屬於歐盟管轄的3.7億歐盟用戶則直接受到歐盟法令的管轄。

目的：因為GDPR要求處理個資前須取得使用者明確的同意，且有被遺忘權和高額罰金等種種嚴格規範，將適用之個資數量減少，得以降低營運風險。

2.APP－－Unroll.me及Streetlend

Unroll.me專門提供管理各種藉由電子郵件訂閱內容之服務，Streetlend則是提供左鄰右舍物品租借的平台。兩間公司於5月23日時宣布退出歐洲市場，並刪除歐洲客戶所有的資料。退出之原因是兩間公司原本服務美國使用者，所以並未規劃因應GDPR，故退出市場以免受罰。

目的：由於GDPR的罰則相當嚴重，且據專家統計，企業平均要花費130萬歐元(約4530萬新台幣)的支出以符合GDPR規範，對於眾多企業而言是一筆過於沉重的成本，使得它們寧願退出歐洲5億人口的市場，也不願意更新服務管理。

3.金融服務－－臺灣金管會

臺灣金管會已經著手識別金融企業是否有在歐洲設置分行，或是有涉及歐洲公民的服務，並進行相對應的控管。國內在歐盟設有分行或子公司的金融業，共有十家，包括六家銀行、兩家證券業及兩家保險業，業者都已依GDPR規定，採取設置資料保護長、跨境傳輸簽訂標準個資保護契約（SCC）等措施；而未在歐盟設點的業者，由於歐盟各會員國實際執行時標準可能不一，因此沒有人敢說完全不適用，只是適用的程度不同，目前仍需觀望實際解決之道。

八、總結

因GDPR的範圍過於擴張，國發會主委陳美伶赴歐爭取適用性認定。陳美伶表示：台灣早就有「個人資料保護法」，既有相關準則，紀律也不錯，對於GDPR上路，「需要警覺，不用太緊張」； 但是從範圍來看，儘管部分單位機構並無在歐洲設點，也是屬於本地服務，但是很難保證不會有歐盟民眾來臺並使用相關服務，如此適用性之界定仍有待商榷。

面對GDPR正式生效，國際管理標準也做出因應措施，如個資管理系統BS10012即改版為2017版。有心完善個資相關管理措施者可以從BS10012開始著手準備。