歐盟新個資法上路倒數 谷歌設法緩解緊張情緒
歐洲個資隱私規定即將生效,這將對Alphabet旗下的谷歌(Google)廣告事業產生什麼影響,谷歌今天設法紓緩線上出版商的疑慮。
路透社報導,在20年來最大個資隱私法改革的歐盟通用資料保護規則(GDPR)下,明天開始各大組織處理個資的理由必須透明。
GDPR上路後,違規企業恐最多被罰年營業額的4%,不過律師和歐盟官員都表示會有一段寬限期。
但這並沒有防止焦慮不安的情緒蔓延,本週各大企業在最後一刻仍在尋求並瞭解顧問、企業夥伴和監管機構的建議。
根據消息人士,谷歌主管今天在紐約市辦公室和透過私人電視轉播,向70家媒體和廣告公司表示,正著手遵守規定的工作,還說谷歌6月和8月會另外釋出工具協助出版商。
以購物、銀行業務或其他理由追蹤線上用戶的網路公司,將準備面臨大規模審查。GDPR新規定要求企業必須要有具體理由,例如徵求用戶同意,才得以取用個資。
對谷歌和廣告商而言,最糟的情況就是用戶拒絕分享他們的個資。用戶看到的部分廣告,不會再依他們的興趣量身打造內容。
沒有人是局外人、衝擊全球企業!史上最嚴個資法GDPR正式上路
如果有使用Google、Airbnb、Skyscanner這類跨國網路服務的讀者,近來應該都陸陸續續在信箱中,收到更新版的隱私條款聲明,這一切都跟5月25日正式上路,號稱「史上最嚴格個資法」的一般資料保護規定(General Data Protection Regulation,簡稱GDPR)有關。
雖說這項規範主要鎖定在歐盟,但正因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言,「沒有人是局外人」或許更適合用來形容法規上路後的衝擊,而究竟GDPR是什麼?怎麼樣會踩到紅線?這是你我都應該關心的議題。
「被遺忘權」為基礎,GDPR牽動全球企業
重視人權的歐盟,在1995年制定了個人資料保護指令(Data Protection Directive),但23年前網路服務並不普及,為了符合現代時空環境,2016年通過「一般資料保護規則」(General Data Protection Regulation, GDPR)取代了先前的法規,並在實際執行前,給了歐盟兩年的緩衝期,訂在2018年5月25日正式執行。
一晃眼兩年過去了,今天開始歐盟公民將享有個人資料從網路上全面消失的的權利。
根據GDRP官網描述,這條法規是「保護以及加強歐盟成員國人民的資料隱私,以及重塑整個地區內的組織處理資料隱私的方法。」雖是這麼說,但正因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言。
這項法規的基礎,是「被遺忘權(right to be forgotten)」,是一種在歐盟已經付諸實踐的人權概念,可以要求控制資料的一方,刪除所有個人資料的任何連結(link)、副本(copies)或複製品(replication);還有「資料可攜權(Right to data portability)」,意思是用戶可以將A服務的資料,轉移到B服務上,這也就是為什麼功能、蘋果推出。
而為什麼前面會說GDPR會「沒有人是局外人」,因為不論你是巷口小吃店或是跨國企業,只要接觸到歐盟公民並擁有他們的個資,那麼就適用於GDPR規範,影響的範圍包括:
客戶中有歐盟公民: 像是餐廳、旅館、旅行社、計程車、電商等,只要握有歐盟公民顧客的個資、信用卡資料都算。
雇用歐盟員工、歐盟供應商: 無論是正職員工、兼職員工、供應商、合作廠商,只要握有他們保險資料、薪資紀錄、聯絡資訊等都算。
非營利組織與政府機構 :不是只有企業,非營利組織與政府機構也適用 GDPR,如果志工、會員、贊助者、捐款人、顧問是歐盟公民,所掌握的聯絡資訊、稅捐資料等,都受 GDPR 規範。
怎樣會違反GDPR?保護的範圍包含哪些?
我們都希望自己的個資被企業合理使用,多數人的生活經驗中,都有接過行銷電話、簡訊、詐騙電話,為了避免個資被任意分享或販賣給第三方,GDPR保護的個資範圍包括:
個人身分、生物特徵: 例如電話號碼、地址、車牌、病歷資料、指紋、臉部辨識、視網膜掃描、相片、影片、電郵內容、問卷表單等,甚至社會認同、文化認同、地理位置等,只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。
線上定位資料: 例如 Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄等。
而企業如果對歐盟公民的個資保護不周,像是資料外洩、個資遭駭、非法存取、分享給無權利使用的第三方;或是將個資用於非雙方當初約定的目的,例如A活動蒐集的資料,用於另一個不相關的B活動;以及就算在個資為外洩的情況下,沒有採取足夠的安全技術保護個資、沒有給予當事人刪除或更正個資的權力,都違反GDPR規範。
違反GDPR,最高可罰7億台幣
一旦沒有妥善處理個資或個資外洩,需要在72小時內通報給資料保護主管機關(Data Protection Authority),如果沒有執行個資保護風險評估、沒有任命資料保護長、沒有即時通報、違法向第三國傳輸個資。
一旦違反以上狀況,會被處以2 千萬歐元(約新台幣七億元)或全球總營業額4% 的罰鍰。
60%的科技公司都還沒準備好
本周劍橋分析(Cambridge Analytica)濫用8700萬用戶個資事件,祖克伯赴歐洲出席聽證會,他在會議中表示,,為了符合這個精神,Facebook將推出「一鍵清除歷史資料按鈕」功能,允許用戶刪除所有儲存的cookie、瀏覽歷史。
但如果祖克伯說的是真的,那麼Facebook有可能是其中的少數,「只有極少數的公司,能在25日100 %準備好。」法律公司United Lex首席隱私官Jason Straight說:「許多公司特別是美國公司,絕對是搶著在最後一個月,希望一切都能準備好。」
因為根據一份研究機構Ponemon Institute,在今年四月針對1000家公司的調查指出,有半數的公司認為他們無法在期限內完成準備,綜觀整個產業來看,有60%的科技公司表示,他們準備不及。
台灣3大產業影響最深
GDPR之所以受到全球關注,是因為這不僅只是地域上的限制,凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。
而就台灣來說,以網路零售、金融、航空運輸業可能受到最多的影響。
網路零售: 這是一個會處理大量個人識別資訊(PII)產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於GDPR規範中。
金融: 金融機構持有大量個人識別資訊(PII),每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。
航空運輸: 這很好理解,以台灣華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
目前,台灣個資法第七條對個資收集的同意,仍是採取「推定同意」(當事人如未表示拒絕,相關單位若已提供其個人資料者,則推定當事人表示同意。),而非GDPR的「自願、具體聲明同意」的型態,許多國內專家認為應該要盡速修改為如同GDPR的同意要件。另外,前前後後費時三年,《資通安全管理法》也在5月11日於立法院三讀通過,未來台灣資安發展將邁向制度化,跟上世界各國的資安趨勢。
台灣企業如果擔心自己誤觸GDPR規範,可以聘請專業的第三方機構,來評估數據保護措施,進一步了解公司數據的來源、資料儲存位置、處理的方式,以及是否需要配合GDPR調整內部作業流程,來確保符合相關規範。
GDPR 簡介
規範對象 | 對歐盟境內人民提供商品、服務、客戶中有歐盟公民、雇用歐盟員工。 |
個資定義 | 包括電話號碼、地址、行動裝置 ID、社群網站等,會暴露個人身份的資料,以及血統、政治意見、宗教、生物特徵、性傾向等個人特徵都算。 |
當事人權利 | 更正權、刪除權、個資可攜權、拒絕權。 |
企業責任 | 知悉個資遭侵害,需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。 |
歐盟新個資法生效 加強保護消費者隱私
歐洲聯盟新個資保護法今天生效,歐盟當局表示隱私條款修改後,將能保護消費者個資不再洩光光。
因為歐盟通用資料保護規則(GDPR)的關係,各企業為了取得用戶明確同意,近幾週用戶陸續收到通知訊息和垃圾信。
儘管GDPR已於2年前正式通過,但到目前為止有一段寬限期來適應這些規則,企業因反應過慢,導致本週在最後一刻出現混亂局面。
英國資料保護監督機關資訊委員會辦公室(ICO)表示,隨著最後期限迫近,官網受到「一點干擾」,但「現在一切運作順利」。
尤其在爆出臉書(Facebook)個資外洩醜聞後,歐盟堅稱GDPR將成為保護用戶線上個資的全球指標。
歐盟主管司法事務執行委員喬霍瓦(Vera Jourova)說:「新規將能讓歐洲人重新掌握他們的個資。現在當提到個資時,人們就像是全身赤裸的攤在水族箱中一樣。」
違規企業最高將處以2000萬歐元或上一財年全球年度營業總額4%的罰款。