歐盟新個資法上路倒數 谷歌設法緩解緊張情緒

歐洲個資隱私規定即將生效，這將對Alphabet旗下的谷歌（Google）廣告事業產生什麼影響，谷歌今天設法紓緩線上出版商的疑慮。

路透社報導，在20年來最大個資隱私法改革的歐盟通用資料保護規則（GDPR）下，明天開始各大組織處理個資的理由必須透明。

GDPR上路後，違規企業恐最多被罰年營業額的4%，不過律師和歐盟官員都表示會有一段寬限期。

但這並沒有防止焦慮不安的情緒蔓延，本週各大企業在最後一刻仍在尋求並瞭解顧問、企業夥伴和監管機構的建議。

根據消息人士，谷歌主管今天在紐約市辦公室和透過私人電視轉播，向70家媒體和廣告公司表示，正著手遵守規定的工作，還說谷歌6月和8月會另外釋出工具協助出版商。

以購物、銀行業務或其他理由追蹤線上用戶的網路公司，將準備面臨大規模審查。GDPR新規定要求企業必須要有具體理由，例如徵求用戶同意，才得以取用個資。

對谷歌和廣告商而言，最糟的情況就是用戶拒絕分享他們的個資。用戶看到的部分廣告，不會再依他們的興趣量身打造內容。

沒有人是局外人、衝擊全球企業！史上最嚴個資法GDPR正式上路

如果有使用Google、Airbnb、Skyscanner這類跨國網路服務的讀者，近來應該都陸陸續續在信箱中，收到更新版的隱私條款聲明，這一切都跟5月25日正式上路，號稱「史上最嚴格個資法」的一般資料保護規定（General Data Protection Regulation，簡稱GDPR）有關。

雖說這項規範主要鎖定在歐盟，但正因為網路無遠弗屆的特性，讓資料本身根本沒有地域性可言，「沒有人是局外人」或許更適合用來形容法規上路後的衝擊，而究竟GDPR是什麼？怎麼樣會踩到紅線？這是你我都應該關心的議題。

「被遺忘權」為基礎，GDPR牽動全球企業

重視人權的歐盟，在1995年制定了個人資料保護指令（Data Protection Directive），但23年前網路服務並不普及，為了符合現代時空環境，2016年通過「一般資料保護規則」（General Data Protection Regulation, GDPR）取代了先前的法規，並在實際執行前，給了歐盟兩年的緩衝期，訂在2018年5月25日正式執行。

一晃眼兩年過去了，今天開始歐盟公民將享有個人資料從網路上全面消失的的權利。

根據GDRP官網描述，這條法規是「保護以及加強歐盟成員國人民的資料隱私，以及重塑整個地區內的組織處理資料隱私的方法。」雖是這麼說，但正因為網路無遠弗屆的特性，讓資料本身根本沒有地域性可言。

這項法規的基礎，是「被遺忘權（right to be forgotten）」，是一種在歐盟已經付諸實踐的人權概念，可以要求控制資料的一方，刪除所有個人資料的任何連結（link）、副本（copies）或複製品（replication）；還有「資料可攜權（Right to data portability）」，意思是用戶可以將A服務的資料，轉移到B服務上，這也就是為什麼功能、蘋果推出。

而為什麼前面會說GDPR會「沒有人是局外人」，因為不論你是巷口小吃店或是跨國企業，只要接觸到歐盟公民並擁有他們的個資，那麼就適用於GDPR規範，影響的範圍包括：

客戶中有歐盟公民： 像是餐廳、旅館、旅行社、計程車、電商等，只要握有歐盟公民顧客的個資、信用卡資料都算。

雇用歐盟員工、歐盟供應商： 無論是正職員工、兼職員工、供應商、合作廠商，只要握有他們保險資料、薪資紀錄、聯絡資訊等都算。

非營利組織與政府機構 ：不是只有企業，非營利組織與政府機構也適用 GDPR，如果志工、會員、贊助者、捐款人、顧問是歐盟公民，所掌握的聯絡資訊、稅捐資料等，都受 GDPR 規範。

怎樣會違反GDPR？保護的範圍包含哪些？

我們都希望自己的個資被企業合理使用，多數人的生活經驗中，都有接過行銷電話、簡訊、詐騙電話，為了避免個資被任意分享或販賣給第三方，GDPR保護的個資範圍包括：

個人身分、生物特徵： 例如電話號碼、地址、車牌、病歷資料、指紋、臉部辨識、視網膜掃描、相片、影片、電郵內容、問卷表單等，甚至社會認同、文化認同、地理位置等，只要是一個人所能產生出的任何資料，幾乎都被重新定義為個人資料並受到保護。

線上定位資料： 例如 Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄等。

而企業如果對歐盟公民的個資保護不周，像是資料外洩、個資遭駭、非法存取、分享給無權利使用的第三方；或是將個資用於非雙方當初約定的目的，例如A活動蒐集的資料，用於另一個不相關的B活動；以及就算在個資為外洩的情況下，沒有採取足夠的安全技術保護個資、沒有給予當事人刪除或更正個資的權力，都違反GDPR規範。

違反GDPR，最高可罰7億台幣

一旦沒有妥善處理個資或個資外洩，需要在72小時內通報給資料保護主管機關（Data Protection Authority），如果沒有執行個資保護風險評估、沒有任命資料保護長、沒有即時通報、違法向第三國傳輸個資。

一旦違反以上狀況，會被處以2 千萬歐元（約新台幣七億元）或全球總營業額4% 的罰鍰。

60％的科技公司都還沒準備好

本周劍橋分析（Cambridge Analytica）濫用8700萬用戶個資事件，祖克伯赴歐洲出席聽證會，他在會議中表示，，為了符合這個精神，Facebook將推出「一鍵清除歷史資料按鈕」功能，允許用戶刪除所有儲存的cookie、瀏覽歷史。

但如果祖克伯說的是真的，那麼Facebook有可能是其中的少數，「只有極少數的公司，能在25日100 %準備好。」法律公司United Lex首席隱私官Jason Straight說：「許多公司特別是美國公司，絕對是搶著在最後一個月，希望一切都能準備好。」

因為根據一份研究機構Ponemon Institute，在今年四月針對1000家公司的調查指出，有半數的公司認為他們無法在期限內完成準備，綜觀整個產業來看，有60%的科技公司表示，他們準備不及。

台灣3大產業影響最深

GDPR之所以受到全球關注，是因為這不僅只是地域上的限制，凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。

而就台灣來說，以網路零售、金融、航空運輸業可能受到最多的影響。

網路零售： 這是一個會處理大量個人識別資訊（PII）產業，包括跨境電商、連鎖商店、旅遊服務、餐飲，只要是替歐盟顧客服務，掌握信用卡資料、地址、基本個資，都屬於GDPR規範中。

金融： 金融機構持有大量個人識別資訊（PII），每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務，都可能受到影響。

航空運輸： 這很好理解，以台灣華航、長榮兩家國營航空業者來說，目前在歐洲都有航點，不僅在海外設有辦公室，也需要頻繁處理大量旅客資料。

目前，台灣個資法第七條對個資收集的同意，仍是採取「推定同意」（當事人如未表示拒絕，相關單位若已提供其個人資料者，則推定當事人表示同意。），而非GDPR的「自願、具體聲明同意」的型態，許多國內專家認為應該要盡速修改為如同GDPR的同意要件。另外，前前後後費時三年，《資通安全管理法》也在5月11日於立法院三讀通過，未來台灣資安發展將邁向制度化，跟上世界各國的資安趨勢。

台灣企業如果擔心自己誤觸GDPR規範，可以聘請專業的第三方機構，來評估數據保護措施，進一步了解公司數據的來源、資料儲存位置、處理的方式，以及是否需要配合GDPR調整內部作業流程，來確保符合相關規範。

GDPR 簡介

歐盟新個資法生效 加強保護消費者隱私

歐洲聯盟新個資保護法今天生效，歐盟當局表示隱私條款修改後，將能保護消費者個資不再洩光光。

因為歐盟通用資料保護規則（GDPR）的關係，各企業為了取得用戶明確同意，近幾週用戶陸續收到通知訊息和垃圾信。

儘管GDPR已於2年前正式通過，但到目前為止有一段寬限期來適應這些規則，企業因反應過慢，導致本週在最後一刻出現混亂局面。

英國資料保護監督機關資訊委員會辦公室（ICO）表示，隨著最後期限迫近，官網受到「一點干擾」，但「現在一切運作順利」。

尤其在爆出臉書（Facebook）個資外洩醜聞後，歐盟堅稱GDPR將成為保護用戶線上個資的全球指標。

歐盟主管司法事務執行委員喬霍瓦（Vera Jourova）說：「新規將能讓歐洲人重新掌握他們的個資。現在當提到個資時，人們就像是全身赤裸的攤在水族箱中一樣。」

違規企業最高將處以2000萬歐元或上一財年全球年度營業總額4%的罰款。

GDPR上路首日有人提告 美新聞網站屏蔽

歐洲個資新法今天生效，已有民眾迫不急待伸張新法賦予權利，對用戶個資處理方式違規的企業提告。為免糾紛，「洛杉磯時報」等美國新聞網站暫時對歐洲讀者屏蔽。

路透社報導，歐洲聯盟（EU）開始實施的通用資料保護規則（GDPR），對於企業搜集和使用用戶的個人資料，賦予民眾更大決定權限。

奧地利運動人士施倫斯（Max Schrems）今天以違法運作為由，對谷歌（Google）、臉書（Facebook）、Instagram（IG）和WhatsApp等網站和社群軟體提告。他聲稱這些服務要求使用者只能接受強制的隱私權條款，否則必須完全放棄使用。

施倫斯在向歐洲數個法院提告前受訪時表示，這種只能「接受或拉倒」的方式，違反GDPR讓民眾可自由選擇是否允許企業使用他們的個資。

施倫斯說：「應該提供『是或否』的選項。許多這些企業現在強迫你同意他們的隱私政策，這完全違反法律。」

GDPR不僅大幅修改網路興起前訂定的歐盟個資保護法，更重要的是，對違規企業最高可課處達全球營收4%的罰金，幾乎和反壟斷罰金規模相當，以Google為例，可能高達數十億美元

奧地利資料保護局（Data Protection Authority）局長暨歐洲資料保護委員會（European DataProtection Board）主席傑利尼克（Andrea Jelinek）表示，她預期一旦GDPR開始在歐盟28個成員國生效，將冒出訴訟。

法新社則報導，若干美國主要新聞網站今天對歐洲讀者屏蔽，包括「洛杉磯時報」（LA Times）、「芝加哥論壇報」（Chicago Tribune）、紐約「每日新聞」（New York Daily News）、「巴爾的摩太陽報」（Baltimore Sun）和「奧蘭多前哨報」（OrlandoSentinel）。它們屬於同一家媒體公司Tronc。

這些新聞網站今天都對歐洲讀者顯示相同訊息：「很遺憾，我們的網站目前在大多數歐洲國家無法顯示。我們正在解決這個問題，並努力研究能讓我們在歐洲市場提供全方位數位服務的選項。」

李氏企業公司（Lee Enterprises）擁有的美國地方報紙，包括「聖路易郵訊報」（St. Louis PostDispatch）和「亞利桑那每日太陽報」（ArizonaDaily Sun），今天也對歐洲讀者屏蔽。公司網站寫道，在GDPR生效的歐盟國家，目前無法提供讀者瀏覽權限。

臉書提升帳號安全 簡化雙重驗證設定

臉書認為雙重驗證是目前在業界中，最能為帳戶安全提供額外保障的方法，臉書今天宣布簡化雙重驗證，鼓勵用戶使用，進入設定頁面並點擊「安全與登入」，即可啟用雙重驗證。

Facebook（臉書）今天表示，雙重驗證是提高網路帳號安全性的最佳做法，為了讓雙重驗證設定更簡易，Facebook提供兩種雙重驗證設定的方法：一、 為了讓用戶更方便使用雙重驗證，Facebook精簡設定流程，並在過程中幫助用戶更容易理解如何操作。

二、 Facebook更擴增用戶保護個人帳號的方法，確保即使不用手機號碼也能使用雙重驗證。

先前，Facebook曾要求用戶提供電話號碼，從手機取得一封六位數驗證碼的簡訊。現在，當用戶啟用雙重驗證，Facebook將會解釋雙重驗證的運作機制，並提供與Google Authenticator和Duo Mobile相同的方法所產生的驗證碼，讓用戶能自行選擇要使用簡訊或是透過應用程式來進行驗證。

Facebook認為雙重驗證是目前在業界中，最能為帳戶安全提供額外保障的方法。因此，Facebook鼓勵用戶使用雙重驗證，進一步讓Facebook帳號能有多一層的保障。

提供『是或否』的選項？絕對有！絕對可以選「同意」或是「不同意」！「不同意」就不能使用Facebook！不能註冊！

GDPR效應：仍有至少千個新聞網站封鎖歐盟讀者

一名網站開發人員Joseph O'Connor於本周指出，自從歐盟在今年5月實施GDPR迄今，仍然有超過1,000個新聞網站封鎖歐盟用戶存取，無獨有偶地，由哈佛大學尼曼基金會（Nieman Foundation）所建立的尼曼新聞學實驗室也在本周揭露，美國前一百大新聞網站中也有1/3封鎖了歐盟讀者。

於今年5月25日正式上路的GDPR為《歐盟通用資料保護規則》（EU General Data Protection Regulation）的簡稱，它闡明所有歐洲民眾都有權檢視企業所握有的個資，而且還能要求企業刪除這些個資，企業除了必須取得蒐集與使用個資的明確同意之外，也必須在發生資料外洩事件的72小時內通知使用者與主管機關，否則就將面臨龐大的罰款，也讓擔心自己不符GDPR要求的企業選擇規避。

O'Connor所蒐集的清單大多數屬於美國的新聞媒體，它們會在歐盟用戶存取時，跳出無法服務該區用戶的聲明。O'Connor強調，此一清單並不完整，意謂著封鎖歐盟用戶的新聞網站並不只這1,000家。

至於尼曼新聞學實驗室的Jeff South則把範圍縮小到全美一百大新聞網站，發現有1/3都封鎖了歐盟用戶，包括洛杉磯時報、聖地牙哥聯合論壇報、芝加哥論壇報及紐約每日新聞等。

不過，在美國排名前五名的紐約時報、USA Today、華爾街日報、華盛頓郵報與阿肯色州民主黨人公報（Arkansas Democrat-Gazette）則都允許歐盟用戶存取。

對於新聞媒體的自保行為，有不少抱怨都是來自於美國或其它地區的居民，主要是當他們到歐洲開會、出差或旅遊時，無法造訪熟悉的新聞網站，有的是批評GDPR政策，也有人要求這些媒體應該儘快符合規定。

另外還有些媒體認為，反正來自歐盟的流量也不多，與其大費周章變更該公司的政策或架構，不如直接封鎖歐盟用戶。

O'Connor亦打造了一個開源的PHP命令列程式GDPR451，可用來尋找自GDPR上線後仍可自歐盟存取的網站。