最嚴資料保護令!歐盟《一般資料保護規則》GDPR即將上路

隨著最近有心人駭入臉書API,非法取得8700萬名用戶資料後違規賣給英國政治顧問公司「劍橋分析」做選舉預測引發軒然大波,個人隱私資料保護的議題再度被熱烈討論,在生技領域更存在影響生命安全與健康的人類基因數據保護議題,對於資料安全的規範不容被忽視。

《一般資料保護規則》GDPR新法上路

一向重視人權的歐盟,早在2016年4月即批准了《一般資料保護法規》(General Data Protection Regulation,簡稱 GDPR),該法預計2018年5月25日正式生效;該GDPR係為保護歐盟地區居民之個人數據資料的使用安全而訂定,旨在建立一套全球通用的數據保護處理標準,表示即使是歐盟以外企業、學校或政府機構,當須要使用或直接、間接取得、處理歐盟地區人民個人隱私資料都須受此規範限制。

除姓名、身份證或護照等證件號碼、住址、電話號碼外,任何能直接或間接識別個人身分的「敏感性」資訊,若未取得當事人授權,企業不得使用或處理;而所謂「敏感性」資料係指有關種族、宗教、政治理念、疾病、基因數據、性向等範疇,皆受到GDPR保護。

對製藥業的衝擊

對歐洲以外的藥廠,尤其醫藥研發重鎮的美國大藥廠而言將面臨什麼障礙呢?根據Pharma Phorum指出,無論這些藥廠的總部在哪裡,若需要使用歐盟公民的個人資料皆須獲得同意,而且請求同意必須「明確」、「容易了解」並「解釋將如何使用個人資料」,而任何可能直接、間接使資料所有人身分曝光的數據都須經過「編輯」,除以上幾點外,更別忘了GDPR還允許歐盟公民行使「被遺忘權」,這也是讓Google最頭大的挑戰。

Pharma Times寫道:製藥業及生技業開發者通常使用大量世界各地患者數據進行統計及分析,這些數據大多都有正當使用權源並且以合法使用為目的,業者可以在數據庫中存取某患者的個人數據,但這些資訊並不一定經過本人同意使用;現在,在GDPR的架構下,業者將不得不向數據所有人發出通知,並取得使用同意。

現在最大的問題是,像是試圖擴大使用底線的資料庫保管或控制者,該如何在遵循法規下擴大數據使用範圍?亦或是保有數據多年但沒有使用的數據庫管理者,是否要對數據所有人寄發通知都是一個問題,這些世界各地大藥廠準備好因應新法律了嗎?

看看美國科技大廠Microsoft如何因應,並向顧客證明絕對遵守GDPR資料保護

喜歡這篇文章嗎?立即分享

你可能感興趣的文章