歐盟GDPR與個人資料保護認證

「個人資料保護法」（data protection law）已是國際上的重要法律；我國新法（簡稱PIPA）於2012年10月1日施行。而稱號史上最嚴格個資法的歐盟「一般資料保護規定」（簡稱GDPR）則甫於今年5月25日正式施行。個資保護法制化、業務化、究責化的趨勢，使其成為現代公司治理的重要內涵。然而企業界迄今對相關規範的掌握並不熟悉，以致法規遵循（compliance）的業務化難以開展。另一方面，如何將企業個資管理的成果加以合理評價、以判定其是否達成法規遵循，自然備受關注。國際上的法制經驗顯示：其主要法制模式有行政監理制及民間認證制。本文介紹德國法制，評析其對「個資保護稽核」（Datenschutzaudit）的法制經驗與實務內容；此足以顯示個資保護其實具有許多實作要素與本土化法規內涵，而我國迄今的認證或輔導思維，則經常是受規範主體的政府與企業，被動接受套裝格式之輔導，因而欠缺實作深度，此離德國與歐盟法制所鼓勵的主動構思個資保護個案整體概念」（Datenschutzkonzept）、突出創想高度的原則距離相當遙遠。另外，本文再以歐盟法制為觀察重點，論述其個資保護認證（data protection certification）的法律意義與發展趨勢。在此基礎上，本文提出「會計個資保護認證」的建議，期待能加速助成我國申請歐盟GDPR「適足性」認定的達成。