因應歐盟個資法 台灣銀行業只能靠自己 |台灣銀行

史上最嚴個資法、歐盟的GDPR剩下18天即將上路，未來若違反者最高可罰2千萬歐元、或年度全球營業額的4％。金管會主委顧立雄7日表示，在歐盟設營業據點的公司，其資料要傳輸第三國，該地必須經歐盟認證，但台灣受限於「外交困境」，暫無法由政府去申請，必須由銀行自力更生。

歐盟個人資料保護規則（GDPR）將在本月25日上路，適用範圍不僅限在歐盟設立或設冊的企業，只要有蒐集、處理及利用歐盟居民個資行為的境外企業，也都要適用。

金管會評估，相較於1995年頒布的個人資料保護指令，這次的新規定，對歐盟成員國更有拘束力，也大幅強化當事人應有的個資權利，包括企業收集個資必須要當事人明確有效同意；客戶有權行使被遺忘權、個資可攜權、資訊取得權及個資處理反對權、限制權等，企業運用新科技取得個資時，恐須更謹慎小心。

台灣有六家銀行，即台銀、合庫、兆豐、第一、華南、彰銀在歐盟設有分行，另外還有航空業者等，都必須面對即將上路的GDPR。

聯徵中心董事長郭建中表示，根據調查有77％的美國企業，打算投入100萬美元以上因應GDPR，且現在重要的不是資訊儲存技術，而是資訊蒐集流程。

顧立雄表示，歐盟GDPR的國際資料傳輸採「原則禁止、例外開放」，即要傳輸歐盟個資到第三國，必須確保第三國已達到「適當之保護水平」，這部分要通過歐盟執委會的適足性評估程序，由各國向歐盟提出申請評估。

顧立雄說，台灣是否提出申請，目前由國發會主導，但這涉及台灣固有的外交困境，可能先由金融機構個別申請，金管會3月時調查，各銀行已在進行，5月落實GDPR應該沒問題。