GDPR 歐盟一般性個人資料保護法規與 NGOs
歐盟向來被視為數位人權政策法令的領頭羊,例如 2009 年修正的「The Privacy and Electronic Communications Regulations」,率先宣佈了以歐盟及其會員國國民為主要訪客對像的網站,必須在網站上明示其 Cookie Policy,在取得網客訪客的同意後才能在其電腦上安裝 Cookie 小程式來記錄其在該網站上的瀏覽行為與偏好。
2016 年 4 月歐盟繼續強化其在此數位大數據時代下的個人資料保護框架,完成了第 2016/679 號 General Data Protection Regulation 《一般性個人資料保護法規》(以下簡稱 GDPR),依此要求各會員國須修正更新本國國內相關個資保護法令。
非營利非政府組織不比政府部門或是大型(跨國)企業,後者兩大部門手上相對掌握了大量國民(客戶廠商消費者)可識別個人身份的各種類型資料。有趣的是,隨著 GDPR 2018年5月底生效倒數日期逼近,在國外交流社群中,陸續看到不少歐洲 NGOs/NPOs(還不是那種「大型國際 INGOs」) 發問,欲了解在 GDPR 生效之前,組織本身要如何作好相關因應調整。
此現象反應出歐盟各行各業不論大小都擔心該如何遵法繼續贏得往來「客戶」信任,也揭示了GDPR 新法上路的時代契機:如何利用此機會來檢視過往在個資收集使用處理政策、手段與用途的合法性必要性,能否回應個別當事人的近用請求,有無提供及時必要的救濟措施等等要求。
GDPR 以歐盟會員國(屬地)或公民(屬人)為法律管轄範圍,雖然台灣絕大多數的 NGOs / NPOs 在業務上不受 GDPR 直接衝擊影響。不過 GDPR 本身在立法設計,到各政府個資主管機構所製作的教育宣傳材料,蠻值得台灣 NGOs/ NPOs 以此當前國際最佳法規標準,來檢視內部對待個人資料的態度與作法。故本文想從非營利非政府組織營運角度,簡介 GDPR 的一些重要規定,希望能引發本地 NGOs/NPOs 思考自身資料政策的足與不足之處。
NPOs/NGOs 應該先靜下來全盤地檢查:到底組織握有哪些個人資料,它們從何而來、相關的使用政策、機構與個資當事人的關係、機構對資料保存保護的義務責任等問題。組織對上述問題的答案是否有明文明確地寫下來,若有的話,大概可以說是那就組織現有的個資政策;如果還無明文明確的規則依據,則建議應快點試著擬出一份草稿。因為個資政策不只是組織進行內部規範的依據,也是取得外部客戶支持信任的重要基礎。 GDPR 提供明確框架,讓組織好好進行一番「個資健康檢查」。一般非營利非政府組織,最常見的個人資料來源與使用關係,大概有:
1.員工(含管理層如理監事)
2. 客戶(支持者,如:服務個案當事人、會員、捐款人、志工或是曾經連署參加組織某個活動留下資料者)
3. 合作者(如與行銷、廣告公司合作,使用他們提供的「行銷名單」或反之將自身上述的客戶名單提供給對方進行推銷。又或是使用某廠商的軟體與服務來存放管理手上持有的個人資料)
4. 其它(沒想到的,例如組織自身都還不知道手上的資料已被某人盜取,或是不知道自身一直處於合「法」被政府監控的狀態XD)
進入體檢室之前,NGO 勢必要先盤點清楚機構本身目前的資料類型、數量、取得來源、取得手段(含當事人同意形式)、資料的正確性、保存方式、保存時間、傳輸移動狀況、負責人員、安全保護措施等方方面面的狀況。再從現狀基礎上,一步一步地檢查哪些個資取得的依據過於模糊,哪些操作方式過於陳舊,哪些環節不符法令規定。為強化對資料當事者的保護,GDPR 課以個資管理者更重的責任,不只在收集處理使用資料的各種行為上都得合於法令規則,還得提出有確實達到法規要求的證明。
例如 GDPR 新規定個資收集時必須清楚說明其使用之目的,取得當事人有效明確的同意許可[註1]。故 NGOs/NPOs 在辦理募款活動、研討會工作坊、進行某連署聲援活動等等,若收集當事人的姓名、性別、電子郵件、電話、地址,則必須先清楚申明個資收集取得目的與上述活動之間的關聯必要(資料取得的最少化原則),所收集的資料是否會繼續作為未來相同目的之使用,此繼續使用的時間有多長,其繼續使用是否具有合於組織本身宗旨的合法與正當等等。
資料當事人的「同意」一直是西方設計個資保護上的重要防線之一,GDPR更新了所謂「同意」的意涵:當事人是在自由不受脅迫的狀態下進行的明確意向表達,且這樣的表達必須是以(文字、口頭)「聲明」或是作出清楚明確的確認行為才算數。換言之,2018年6月後,歐盟國家的個資同意書內容不僅要更針對更明白地解釋收集之目的與使用範圍,收集者不能以事先勾選好的內容來敷衍同意取得的有效性,也不能將當事人不表意見的沉默、不予回應的無為當作同意。GDPR 不僅強化了個人同意的明確性與力道,更進一步課以個資收集處理使用者要好好保存這些「同意書」作為證據查存的責任。至於 NGOs/NPOs 手上目前已有的個人資料,若欲繼續使用,則得提出證明過去已取得使用同意,符合 GDPR 同意權要件規定, 且未來使用上也須符合所申明的指定用途。
為提高當事人對自身資料的掌控, GDPR 同時賦予原當事人可向資料管理者請求自身資料的取得近用(Subject Access Requests)。想像某個最簡單狀況:貴機構遇到某位捐款人來信來電要求要刪除他/她過去留下的所有資料記錄,此時內部是否已有一套明確清晰的操作流程,能在最快時間內予以適當的處置。所謂「適當」的處置,不必然是完全依照當事人單方的請求,得依不同狀況做出判斷,而組織決斷反應都將取決於:是否有專責人員清楚處理程序,每位工作人員是否有正確的認知態度來對待經手的各式大大小小、「一般」或「敏感」個資、相關工具與操作協議的密合程度等等。單一小規模的個別狀況還相對容易,但如遇上沙盤沒寫的劇本、超出自身技術能力所能控制的「意外」,例如存放資料的電腦主機被駭,影響擴及了大多數當事者,NGO 有無預備因應措施、如何通知協助當事人最小化傷害等補救方案。這些大概就是讓歐盟 NGOs 近一年多來「頭痛」的東西。
故GDPR 給出的啟示從頭到尾就是:當外部政策法令的環境變化時,是否有必要(對歐盟所在地的 NGOs/NPOs 顯然是有必要)重新審視組織策略(是否已有發展策略,這回剛好遇上個人資料政策大翻動,故為「內部是否有明確的個資與隱私保護政策」),下延到符合策略目標的戰法挑選調整。(請另參見之前的「NGO 數位策略指引」)
對中小型的 NGOs/NPOs 而言,上述個資的收集、儲存和處理能夠調整成合法與符合當事人各式請求的狀況,其實是一筆不小的新增行政成本,一些大型的軟硬體服務企業,如微軟、Kingston 都紛紛發佈給客戶的提醒。在 NGOs/NPOs 部門,也有針對客戶關係管理系統(Customers Relation Management)的操作,有些服務商製作了一系列介紹文件(順便再來促銷自家商品)。當然與其參考廠商的文件,最重要的還是回到歐盟或是各會員國負責監督個人資料保議的獨立機關發佈的資源,例如(已脫歐但必大量受到 GDPR 影響)英國 ICO (Information Commissioner’s Office)發佈了一系列淺顯明白的教育文件。
台灣 NGO/NPO 看待 GDPR 為一紙遙遠國度的繁瑣又管不到我規定也就算了,但別忘了中華民國還有一部《個人資料保護法》。雖然它的保護密度遠不如 GDPR,主管機關(?)法令見解也不一定「正確」,但如之前提過。「個資政策不只是組織進行內部規範的依據,也是取得外部客戶支持信任的重要基礎」,如果NGOs/NPOs 還沒有一部明確的個資政策,好好地考慮此事已刻不容緩!
其它中文參考資源:
金融聯合徵信雜誌第三十期 2017 /6 歐盟「個人資料保護規則」導讀
[註1]:取得當事人同意是可以使用其個資的先決條件之一,但若有符合其它條件的狀況,依舊可以「合法」地使用其個資。通常因取得當事人同意是在各式合法條件中,相對容易達成的手段。英國 ICO的系列介紹有一份「GDPR consent guidance」,對同意權的適當設計、有效性範圍、資料管理者又如何來合法取得、記錄與管理同意文書有很清楚的介紹。
除了每週二在 Medium 平台發佈專文外,也歡迎訂閱「NGO推進器」雙週電子報,主動把文章滙整到訂戶電子郵件: https://www.getrevue.co/profile/twngo
