详尽探讨《通用资料保护规则》(GDPR)

通用资料保护规则

欧盟 (EU)会员国原本各自为政的个资处理法规，随着《通用资料保护规则》即将上路，及其整并强化之立法目的，会员国全数一体适用新版规则，以建构欧盟一致保护框架。

目前 28 个会员国各自订立个资法规，法之效力拓及国际贸易。不过正因如此，行使个资保护的权利更显绑手绑脚、窒碍难行。

《通用资料保护规则》影响效力无远弗届，各种企业不管规模大小、产业类别，皆有所牵连。而不同业务如何遵守本规则、合理使用客户个资，亦有不同因应处理方式。

2016年，欧洲议会、欧洲高峰会通过第 2016/679 号法案(GDPR)，将于 2018 年 5 月 25 日生效施行。新版规则保护自然人的个资，侧重资料处理与自由流通。本文将协助各位了解何谓 GDPR、所应履行之职责、不可触犯的层面。另外，我们也向您保证，Benchmark 邮件行销工具严格遵循《通用资料保护规则》。

新版规则绝非取代欧盟会员国现有法令，而是同步整合各国个资法与 GDPR。会员国仍可依照国内相关规范做出判决，不过，要注意的是，责任方必须参照《通用资料保护规则》做为判决主要依据，而不是各国本身的个资法规。

若您目前符合所在国/地区的个资法令，那么您已打下稳固基础。不过，您仍需修正某些层面以便符合新版规则的规定。

规划营销邮件策略时，三大重点请谨记于心：用户同意、查阅使用、个资搜集。

用户同意

根据《通用资料保护规则》第四条第11款，个资当事人所谓的「同意」指的是，透过任何无偿提供的声明、具体明确的同意行为，清楚表达当事人同意他人处理与他/她有关的通用资料；

如前述定义所言，用户的同意需明确、清楚。这两个词消除了任何不确定或含煳不清的界线。

第32条：当事人以明确的肯定行为表达同意，透过任何无偿提供的声明、具体明确的同意行为，清楚表达当事人同意对方处理与他/她有关的通用资料，例如：书面声明（电子方式或口头陈述），包括浏览网站时勾选同意选项、为资讯社会服务（网络影音服务）进行技术设定、其他陈述或行为清楚地表明当事人接受他人对他/她的个资处理。

用户未应答、不作为或事先替用户勾好同意选项皆不可视为同意。所谓同意指的是同意他人以单一(多重)同等目的处理所有通用资料。当个资处理牵涉不同目的时，每一项都应取得当事人同意。若他人以电子方式向当事人提出同意请求，该请求必须清楚、简洁、而且不会造成个资处理不必要的负面影响。

举例：

我最近参加一场贸易展览，因而在会展上搜集了不少名片，我准备将这些名片键入资料库并上传到我的 Benchmark 帐户，为的是发送电子报。

有了新版规定，我这样做合法吗？

答案是否定的。即便取得每通用的口头确认，会展上拓展人脉不代表您有权使用他们的个资。 GDPR 要求取得双方达成协议的证据。

GDPR 指出，万一需要审查，责任方必须提出用户清楚明确的同意声明，也就是拿出证据证实用户同意他人使用自己的个资。

建议改善作法：

⦁ 审视您搜集个资的方法，消除当中含糊不清的方式。

⦁ 分析您的资料库，只保留用户同意您使用他们个资的证明。

查阅使用

处理个资的责任方需提供每位用户简单明了的处理管道，用来修改自己的通用资料；另需提供确认管道，让用户透过电子方式（例如：网站、订阅表格、电邮确认）同意他人使用个资。

责任方将有一个月的时间取得用户同意。若是複杂的请求（因为要完成用户要求的必要步骤导致），可延长至两个月。