2018年5月25日歐盟新版個資法《歐盟通用資料保護規則》(GDPR)上路,法規繁雜,如個資外洩72小時通報主關機關、設立資料保護長(DPO)資料被遺忘權與可攜權,而罰則也相當驚人,若有組織違反該法,最重可被處以全球營業額的4%或是2,000萬歐元驚人罰款。
當時有60%的企業認為還沒有準備好,也因此當時在Google搜尋中熱度比美國樂壇碧昂絲還高。現在來看,這個法規到底是玩真的?還是虛驚一場呢?
「是玩真的!比我們想像中的強烈!」安侯法律事務所執行顧問、金融法遵服務主持人、網路暨電子商務服務團隊協同主持人孫欣在參加《數位時代》主辦的未來商務展上強調。
孫欣指出,法規生效後截至今年一月份,整個歐洲境內,總共5萬9千個通報事件,還有10萬件的個人申訴。以國別來分,以荷蘭、德國與英國的案件最多。
電話行銷是被申訴主因
「電話行銷被申訴的是主因?因此企業對於怎麼拿到個人電話。電話中搜集與處理資料是否合法?都要特別的小心,因為電話行銷本身就是一個擾民行為。」
孫欣指出有三大特徵:
1.最常收到的申訴案件為:電話行銷、電郵行銷、監視錄影器。
2.通常主關機關的調查是因起於當事人的申訴。
3.申訴案件整體是違規通報的兩倍。
有哪些重大裁罰案?其中以法國政府對於Google裁罰案最為出名。主要理由如下,消費者不易找到個資告知的相關資料,且資料散見在不同文件中,需要多次點擊才能完整了解;加上Google提供的服務太多,個資處理活動複雜,導致消費者無法理解個資告知中的說明、或告知有缺漏等。
「法國政府對於Google裁罰5,000萬歐元的罰鍰,約新台幣17.5億元,這個金額相當於台灣縣市政府的稅收!某種層面來說,GDPR法規也成為政府稅收開闢財源的好管理,因為跨國企業一不小心,就會違規了,」孫欣指出。
裁罰價格很高,因此只有一個裁罰案成立,但對於政府的稅收是很大的進補。
也可以看成一種貿易戰爭的手段
GDPR從國際貿易與國際政治的角度來看,也可以看成一種貿易戰爭的手段。「經濟制裁不僅透過關稅與貿易,GDPR也是一種跨境制裁,提高跨國營運的門檻,也是一種限制與挑戰,成為一種貿易戰手段,」孫欣強調。
不過,從市場面來看,GDPR也帶動隱私服務相關的產業崛起。「隱私需求也成為一個供應鏈,市場需求快速發展,供不應求,」孫欣說。如加拿大有企業特別提供PbD(Privacy By Design) Cert法規的認證,或是有公司針對企業併購過程中的隱私DD(Due Diligence )提供服務,與隱私工程(Privacy engineering )崛起。
最後,孫欣指出企業也不用驚慌,有些產業風險不高,如零售業者,但新興科技產業是風險最大的,新興科技業,常利用數據、雲端與IoT提供服務,因此都是高風險產業,B2C類型企業其次,另外若企業有產品/服務外銷到國外,也會提高企業風險。
隱私規定越來越嚴格,回不去了
「隱私越來越嚴格,回不去了,」孫欣說,因此企業要有資料治理思維,把隱私保護視為企業投資。越早啟動GDPR法規遵循,C/P值越高,因為在一開始,從系統、資料庫到程式庫等,要把企業責任與個人權利規劃進去。
舉例來說,針對資料可攜權、遺忘權在公司系統與IT上,設計就很複雜。資料來自四面八方,有些還儲存在公有雲上面,企業必須確定個人的資料進到企業後,軟體硬體層級儲存在何處?使用者一旦行使遺忘權,才能真正追本溯源找到資料儲存之處,刪除資料。
