歐盟個人資料保護規則（GDPR）上路，國內銀行業者對於新規定適用上仍有不少困擾。 
 

歐盟個人資料保護規則（GDPR）上路，國內銀行業者對於新規定適用仍有不少困擾，包括大量處理歐盟居民個資須受規範，何謂「大量」？還有歐盟各會員國仍有自訂規範空間，未來會如何執行仍不明確。
 

GDPR上周五正式上路，在歐盟設有據點的國內金融業都已依規定做好準備，不過，銀行業者表示，後續實際執行上，不論在歐盟有無設點者，仍存有四大困擾。
 

包括第一，未在歐盟未設點的銀行，若大量處理歐盟居民個資，仍須受GDPR規範，包括必須在歐盟境內設立資料保護代表人（DPR）等，但何謂「大量」，至今並無明確標準。
 

第二，目前多數執行標準尚未出爐，很多項目仍不具體，例如在當地設點的銀行，是否一定要設資料保護長（DPO），還是設專責人員或窗口也可？業者表示，GDPR是最低標準，也賦予歐盟廿八個會員國實際裁量空間，執行時可自訂更具體、甚至更嚴格的標準。目前僅德國已有規定，至於國內金融業設點最多的英國，則尚未出爐。
 

後續要關注的，除了「大量」等認定標準更具體外，還有像個資外洩的通知，或有無刑責規定等，都委由各國制訂，須留意各國作法。
 

第三、在歐盟未設點的銀行，歐盟居民的認定到底是採屬地或屬人，雖多數認為屬地，但依舊有兩派說法。

業者說，若以屬地主義來看，例如德國人在台灣開戶，不適用GDPR；但他回國後，資料仍傳輸到台灣總行時，才有適用GDPR問題。
 

第四、銀行都有網路銀行，未設點者如何認定對歐盟居民提供商品或服務，多數顧問認為要看有無「意圖」若有意對歐盟人提供商品，就須適用GDPR。但台灣的歐盟居民客戶，回到歐洲後，若繼續與台灣的總行往來，如何適用也可能是未來潛在困擾。
 

資料來源：https://udn.com/news/story/7243/3165656