法國RGPD（GDPR）企業合規指南

歐盟《一般資料保護規則》（GDPR），在法國稱為RGPD，自2018年實施以來，仍有許多企業未能完全合規。罰款最高可達2000萬歐元或全球年營收的4%，法國監管機構CNIL持續加強執法，合規已刻不容緩。

本指南涵蓋核心義務及最新變化，包括2025年AI透明度要求。

為什麼必須重視

違規類型	最高罰款
技術違規	1000萬歐元或營收的2%
權利侵害	2000萬歐元或營收的4%

CNIL自RGPD生效以來已開出超過4億歐元罰單。中小企業同樣無法倖免——5萬至50萬歐元的處罰經常波及各種規模的組織。

七大核心義務

1. 知情同意

同意必須滿足：

• 自由給予 — 禁止預勾選框
• 具體明確 — 每個目的單獨同意
• 充分知情 — 清楚說明資料用途
• 明確無誤 — 需要使用者主動行為

2. 處理活動紀錄

250人以上企業強制要求，但建議所有企業建立。須包含處理目的、資料類別、接收方、保留期限和安全措施。

3. 資料保護長（DPO）

公共機構、大規模資料處理組織和處理敏感資料的組織必須任命。即使不是強制的，任命DPO也是最佳實踐。

4. 資料保護影響評估（DPIA）

當處理可能對個人權利產生高風險時必須進行。例如：影像監控、使用者描繪、健康資料處理。

5. 外洩通知

資料外洩發生時：

• 72小時內通知CNIL
• 高風險時通知受影響個人
• 記錄每次外洩，即使是輕微的

6. 知情權

每個人都有權知道收集了哪些資料、原因、保留時間、誰可以存取、以及如何行使權利（存取、更正、刪除、可攜）。

7. AI透明度（2025年新增）

自2025年起，使用AI進行自動化決策的組織必須告知相關個人、解釋所用邏輯、並允許對決策提出異議。

如何安全共享合規文件

RGPD合規文件包含敏感資訊：處理紀錄、影響評估、稽核報告、與監管機構的通信。

透過一般郵件傳送會增加風險。**LOCK.PUB**可以建立帶密碼保護和自動過期的連結，安全地與DPO、律師或CNIL共享文件。透過LINE傳送連結即可，方便又安全。

CNIL免費工具

CNIL提供多種免費合規工具：

• PIA：開源影響評估軟體
• 處理活動紀錄範本（可從cnil.fr下載）
• 分包商指南（處理者義務）
• 產業框架（醫療、人力資源、客戶）

RGPD合規清單

• 處理活動紀錄保持最新
• 發布隱私政策
• Cookie橫幅合規
• 同意流程文件化
• 任命DPO（如必須）
• 外洩通知程序
• 包含RGPD條款的分包商合約
• 員工訓練
• 高風險處理的DPIA
• 資料主體請求回應流程

常見錯誤

1. 混淆同意與合法利益 — 這是兩個不同的法律依據
2. 過度保留資料 — 「以防萬一」地保留資料是違法的
3. 忽視分包商 — 你對處理者負有責任
4. 忽略安全 — RGPD要求適當的技術措施
5. 無視資料主體權利 — 你有1個月的回覆期限

結語

RGPD合規是一個持續的過程，而非一次性專案。規則在變化，CNIL在加大執法力度，公民的隱私期望在不斷提高。

從基礎開始——紀錄、透明、安全——然後逐步完善。當需要共享敏感的合規文件時，使用LOCK.PUB來安全完成。

---

資料保護不僅是法律義務，更是對客戶和員工的承諾。