解說製作符合GDPR的隱私政策時的要點

若處理歐盟(EU)域內使用者的個人資料，則必須遵守《歐盟一般資料保護規則》（GDPR），並需制定符合GDPR的隱私政策。然而，許多人可能因不夠了解GDPR的細節，而不確定自己的網站是否需要遵循GDPR，以及應如何適當應對。

因此，本文將解說GDPR的概要及制定符合GDPR的隱私政策時需注意的要點。同時，本所也將介紹日本的相關應對狀況以及知名企業的案例，供您參考。

關於GDPR與隱私政策

究竟什麼是符合GDPR的隱私政策呢？本文將解說GDPR的概要及其隱私政策所需承擔的義務。

GDPR與隱私政策

GDPR是由歐盟制定的一項規範，詳細規定了個人資料的保護及處理方式。GDPR適用於歐洲經濟區（EEA：包括歐盟成員國、挪威、冰島、列支敦士登，不包括瑞士的EFTA成員國）。以下情況下，日本企業也可能受到GDPR的適用：

• 向EU境內的資料主體提供商品或服務
• 在EU境內監控資料主體的行為

資料主體是指被識別或可識別的自然人，即個人資料相關的個體。

符合上述情況的企業需要重新審視並修訂其隱私政策（隱私通知）。若違反GDPR，可能面臨高達2,000萬歐元的罰款，或全球年銷售額4%的罰金。

參考：日本貿易振興機構｜「歐盟一般資料保護規範（GDPR）」[ja]

為了安心進行與EU國家的交易，確認隱私政策的重要性不言而喻。

GDPR規定的個人資料獲取時的「資訊提供」

GDPR規定，在獲取個人資料時，管理者必須向資料主體提供特定資訊，且GDPR第12條第1項詳述了資訊提供的方式。

其內容如下：

• 必須簡潔、透明、易懂且容易獲取
• 使用清晰簡明的語言
• 向兒童提供資訊時，需採取適當措施
• 可透過書面或適當情況下的電子方式，或其他手段提供
• 若資料主體要求，應能口頭提供資訊

此外，GDPR第12條第5項指出，提供資訊應當是無償的。應檢查自家的隱私政策是否符合上述要求，並在必要時進行修訂。

修訂符合GDPR的隱私政策時的要點

在GDPR中，分別針對「從數據主體本人獲取個人數據的情況（GDPR第13條）」和「從非數據主體獲取個人數據的情況（GDPR第14條）」，列出了多項個人數據管理者應向數據主體明確說明的事項。

管理者應明確說明的事項包括以下幾點：

• 管理者的身份、詳細聯絡方式
• 若有代理人，則包括代理人的身份、詳細聯絡方式
• 數據主體的訪問、更正、刪除、限制、數據可攜性、提出異議的權利
• 處理個人數據的目的、法律依據
• 個人數據保存期限，或決定該機構的標準
• 相關的個人數據類型

在明確說明的事項中，有些是日本隱私政策中未包含的，因此在這些方面需要重點修訂。關於基於日本個人信息保護法的隱私政策，請參考以下文章。

相關文章：基於個人信息保護法的隱私政策制定時的要點是什麼？[ja]

本文將重點解釋在基於日本個人信息保護法的隱私政策中未包含的要點，以及修訂的要點。

資料處理的合法性依據

在GDPR中，與個人資料保護法不同，明確規定了「資料處理的合法性依據」是必須的。個人資料的處理要合法，其依據有以下六項（GDPR第6條）：

• 資料主體的同意
• 合約的履行
• 法律義務
• 生命相關的利益
• 公共的利益
• 正當的利益

只要適用上述六項中的任何一項，就可被認定為合法，因此，應在隱私政策中明確說明。對於首次獲取資訊的個人，可以通過新的隱私政策獲得其同意來應對。

然而，需要注意的是，對於已經獲得同意的使用者的處理方式。對於在隱私政策修訂前已獲得同意的人，可能需要重新獲得同意。

在這種情況下，可以在隱私政策中記載六項合法依據中的任一項，並以此為基礎獲得對修訂的同意。

收集資訊的項目與使用目的

在傳統的隱私政策中，通常會在同一頁面上列出收集的資訊、使用目的以及使用條款等，並一次性獲得同意。然而，在GDPR（一般資料保護規則）中，要求必須明確化使用者同意的對象。

建議按照收集的資訊分別列出使用目的，並採用讓使用者對每項目的逐一表示同意的顯示格式。

明確化使用目的

在歐盟通用資料保護規範（GDPR）中，規定必須明確指出取得資訊的使用目的。例如，若使用目的僅表述為「為了服務改善」等含糊內容，則可能因目的不夠明確而被判定為不適當。

此外，GDPR規定不得進行與原定目的不相符的額外處理，因此在修訂隱私政策時也應當注意這一點。

消除權與數據可攜帶權

許多企業在傳統的隱私政策中，已經包含了存取權和更正權的條款。然而，在GDPR（一般資料保護規則）中，還要求必須明確記載「消除權與數據可攜帶權」。

消除權是指使用者有權要求管理者刪除其個人數據的權利。數據可攜帶權則是指個人能將其數據轉移到另一項服務的權利。

舉例來說，這包括從手機公司A轉移到手機公司B的過程中，將契約者的數據和通話記錄等資料進行轉移。為了符合GDPR的要求，隱私政策中必須包含這些權利的相關條款。

明確指出資料保存期限

在GDPR（日本《一般資料保護規則》）中，必須明確指出傳統隱私政策中未曾記載的「個人資訊的保存期限」。若無法決定具體期限，則可透過明示保存期限的決定標準來應對。

日本企業對GDPR的應對狀況

本文將介紹一般財團法人日本資訊經濟社會推進協會與株式會社アイ・ティ・アール共同發布的《企業IT利活用動向調查2021》集計結果（詳細版）[ja]。

根據調查結果，實施GDPR對策的日本企業並不多，其中有26.1%的企業表示正在對GDPR進行對應（考慮中）。截至2021年的統計數據顯示，許多企業並未與歐盟進行個人數據的轉移。

關於與歐盟進行個人數據交換的調查結果如下：

從上圖可以看出，有44.4%的企業回答「目前沒有交換，未來也沒有計劃進行交換」，佔比最高。有12%的企業表示「過去有交換，但自GDPR實施後，歐盟和日本分別處理數據」。

「目前沒有交換，但計劃未來進行」的企業佔25.9%，「目前正在進行交換」的企業佔17.6%，這表明未來可能會有更多企業與歐盟進行數據交換，但截至2021年的調查時點，這樣的企業仍然不多。

資料來源：JIPDEC／ITR《企業IT利活用動向調查2021》[ja]

知名企業對GDPR的應對

許多企業希望修訂其隱私政策以符合GDPR，但卻不確定應該包含哪些內容。在此，本所將詳細解說Google與Facebook作為企業對GDPR應對的案例。

Google 對GDPR的對應

Google 為了應對GDPR（一般資料保護規則），宣布了以下措施：

• 提高對用戶的透明度
• 改善用戶的管理能力
• 增強資料可攜性
• 改進保護者同意及兒童適當使用網際網路的工具
• 支援商業用戶與合作夥伴
• 加強隱私合規計劃

以下將詳細解說這些措施。

參考：Google「針對歐盟一般資料保護規則（GDPR）的Google準備工作[ja]」

提升對用戶的透明度

為了讓用戶更容易理解Google收集的資訊及其原因，並使資訊更易於查找，本所正在改善和更新隱私政策。其他更新的內容包括：

• 新增有關資訊管理、匯出和刪除的詳細說明
• 除了文字說明外，還增加了影片和圖表

此外，本所也修改了設定，使隱私設定頁面更容易打開。

用戶管理改善

為了符合《日本・一般資料保護規則》(GDPR)的要求，本所改進了用戶管理的方法。改變的內容如下：

• 在「我的活動」中可以查看和刪除數據
• 新增了按主題、日期和產品搜索的功能
• 可以檢查符合個人需求的隱私設置
• 可以管理和隱藏顯示的廣告
• 在Google儀表板中可以掌握數據

此外，自GDPR實施之前，本所就已經讓用戶資訊和廣告等更容易管理。

提升數據可攜性

Google提供了各式各樣的服務，包括Google相冊、Google雲端硬碟、Google日曆和Gmail等。為了符合GDPR（一般資料保護規則）的要求，Google在數據可攜性方面採取了以下措施：

• 擴充支援數據下載的服務與管理項目
• 新增定期下載數據的排程功能

加強監護人同意與改善兒童適當使用網際網路的工具

Google為了讓監護人與兒童能適當使用網際網路，提供了家庭連結(Family Link)應用程式。透過家庭連結的使用，監護人可以為兒童創建專屬帳戶。

該應用程式允許設定與管理家庭規則，如「使用時間管理」和「設備的暫時停用」等功能。

商業用戶與合作夥伴支援

為了遵守GDPR（一般資料保護規則），本所更新了Google合作夥伴（例如廣告主和網站運營者）在網站或應用程式中請求用戶同意的政策。其他更新內容包括：

• 提供支援GDPR遵循的工具
• 加強使用Google廣告服務的企業認證過程
• 更新資料處理條款
• 提供數據可攜性、資料事件通知等詳細資訊

加強隱私合規計劃

為了應對GDPR（一般資料保護規則），本所正在加強隱私合規計劃。具體內容如下：

• 改善隱私計劃
• 加強產品審查流程

此外，本所也在更全面地對數據處理進行文檔化。

Facebook對日本《一般資料保護規則》(GDPR) (2018年) 的遵守

Facebook宣布了以下措施以遵守GDPR：

• 確認從顯示廣告獲取的信息
• 選擇個人檔案信息
• 確認臉部識別技術（歐盟及加拿大）
• 更新的服務條款及數據同意協議
• 引入便於存取、刪除及下載信息的功能
• 向年輕用戶提供的信息

以下將詳細解說這些措施。

參考：Facebook「遵守一般資料保護規則(GDPR)並提供新的隱私保護措施[ja]」

確認從顯示廣告獲取的信息

Facebook的合作夥伴會使用「讚好」按鈕的點擊以及Facebook提供的工具獲取的信息來顯示廣告。Facebook提供了一種機制，讓用戶得知有關廣告的信息，並選擇是否允許合作夥伴使用這些信息來顯示廣告。

選擇個人檔案信息

Facebook的個人檔案中可能包含政治觀點、宗教信仰和人際關係等信息。用戶可以選擇是否繼續公開這些信息，以及是否允許將這些公開信息用於廣告。

用戶可以隨時自由選擇個人檔案信息，並且如果希望，可以輕鬆刪除這些信息。

確認臉部識別技術（歐盟及加拿大）

Facebook允許歐盟成員國和加拿大的用戶選擇是否使用臉部識別技術。其他地區的用戶也可以自由選擇是否使用此技術。

更新的服務條款及數據同意協議

Facebook將向用戶展示同意「服務條款」和「數據政策」的提示，這些文件包含了對服務運作方式的詳細信息。

引入便於存取、刪除及下載信息的功能

通過使用「個人數據管理工具」，用戶可以檢查和刪除有關自己的數據。此外，Facebook也讓下載和導出數據變得更加容易。

Facebook更新了移動設備上的活動日誌功能，使用戶能夠更容易地檢查過去分享的信息。

向年輕用戶提供的信息

Facebook原本就對十幾歲的用戶設置了一些限制，具體包括：

• 廣告類別的限制
• 禁止使用臉部識別（18歲以下）
• 限制查看和搜索十幾歲用戶分享的信息

此外，Facebook的初始設置是不公開用戶信息。

為了遵守GDPR，Facebook還特別設立了規定。對於歐盟成員國的用戶，查看廣告和個人檔案中的信息（如宗教信仰、政治觀點等）需要家長的許可。

在其他地區，用戶可以選擇是否允許合作夥伴使用從他們那裡獲取的數據來顯示廣告，以及是否在個人檔案中公開個人信息。

總結：GDPR相較於日本法對個人資料的範圍更廣，必須遵守

在GDPR中，包含了「針對每項取得資訊的使用目的進行明確化」、「明示刪除權及資料可攜權」、「明示保存期間」等多項規定，相較於傳統的日本法，使用者的權利範圍有了更廣泛的擴展。

一旦違反GDPR，企業可能需要支付巨額的罰款。因此，處理歐盟域內個人資訊的企業必須遵循GDPR。在歐盟域內展開業務或考慮未來進軍的企業，應該制定符合GDPR的隱私政策。

本所提供的對策介紹

Monolith法律事務所是一家在IT領域，特別是互聯網和法律方面擁有豐富經驗的法律事務所。近年來，全球商業活動的擴張日益加速，專業的法律審查需求也隨之增加。本所事務所提供國際法務相關的解決方案。

Monolith法律事務所的業務範圍：國際法務・海外事業[ja]