地表最嚴厲的個人資料保護法
歐盟於2018年5月25日所施行的號稱地表最嚴厲的資料保護法GDPR(General Data Protection Regulation),該資料保護法的實施讓大眾逐漸意識到「個人資料」是一個非常具有價值的重要資產,多數國家政府、公司企業以及消費者,亦始重新思考個人資料的蒐集、處理、被使用期限與被使用目的等,及規劃擬定最合適、最符合規範的方式。
你我不再只是旁觀者
GDPR的規範不論是五金行、雜貨店、小吃店或是跨國的國際大企業或是非營利組織與政府機構,只要接觸到歐盟公民並會蒐集他們的個資做應用,就必須遵守GDPR的規範1。
Ÿ
客戶資料有歐盟公民:
如:瓦城擁有歐盟公民的訂位姓名、電話、
如:圓山飯店擁有歐盟公民的訂位姓名、電話、信用卡資料
Ÿ
雇用歐盟員工或歐盟供應商:
如:某公司雇用具歐盟公民身分的正職、兼職員工,擁有他們的薪資紀錄、聯絡資訊、保險資料等
如:某公司與歐盟供應商合作,擁有聯絡資訊
Ÿ
非營利組織與政府機構:
如:非營利組織與政府機構擁有具歐盟公民的志工、贊助者、捐款人的聯絡資訊、稅捐資料等。
個資運用的三大角色
GDPR針對資料的蒐集、資料的處理和資料的運用,區分三種角色:資料當事人(亦稱資料主體)(Data Subject)、資料控制者(Data Controller)與資料處理者(Data Processor),下表以一電子商務網站舉例:
|
角色
|
權責
|
代表
|
|
資料當事人
|
資料自主權,可完全行使GDPR賦予的權利
|
使用電子商務網站的消費者
|
|
資料控制者
|
監督data processor,讓data subject能有效行使權利,資料控制者任務:公開且透明陳述隱私條款讓資料當事人有權行使權利個資收集範圍個資收集目的個資收集時間
|
電子商務網站擁有者
|
|
資料處理者
|
資料防禦全面保全,資料傳輸須加密及資料加密等
|
第三方供應商
|
天價罰金,沒有一家企業跟自己口袋過不去
GDPR施行以來之所以讓全球企業繃緊神經,除了縝密的隱私個資,合規定義與繁瑣的隱私工程規畫之外,另個即是天價的罰金,而該罰金區分兩種:
1. 資料控制者沒有合法事由,拒絕資料當事人刪除個資請求或下載個資請求及違法跨境傳輸個資等,最高可罰2仟萬歐元,或全球年度營業總額4%為罰款。
2. 資料控制者非法處理資料當事人個資或該個資遭駭導致洩漏後沒有主動通報或處置,與企業未任命資料保護長DPO(Data Protection Officer) ,最高可罰1仟萬歐元,或全球年度營業總額2%為罰款。
然而,許多企業面對須合規的龐大隱私工程規劃,選擇先退出歐洲市場待之後隱私工程都備妥後再進入歐洲市場,又或者就乾脆暫時退出歐洲市場,如:美國的論壇出版公司(Tribune Publishing Company),旗下的洛杉磯時報(LA Times)、芝加哥論壇報(Chicago Tribune)、紐約每日新聞(New York Daily News)、巴爾的摩太陽報(Baltimore Sun)和奧蘭多前哨報(Orlando Sentinel)等新聞網站早在2018年5月25日GDPR上路後就把歐洲使用者IP阻擋於門外,或許Tribune
Publishing Company評估過若要遵守GDPR的規範,需重新定義隱私規則所要付出的成本與執行範圍並不符合目前公司之效益。如下圖所示,當使用者是歐洲的IP將透過訊息直接告知目前不服務歐洲地區的使用者。
GDPR最嚴厲處分:英國航空遭重罰1.83億英鎊
2018年9月英國航空(British Airways)因官網與app遭駭4,導致連結至英國航空官網的使用者都被刻意導向假的官網,遭駭客藉機取得使用者的信用卡卡號、旅遊行程細節、個人姓名及住家地址等,估計將近50萬名使用者受害,經英國監管機關的英國資訊專員辦公室(Information Commissioner's Office,ICO)認定後根據GDPR的罰則裁定違反GDPR第32條「資料控制者(英航)針對個資(旅客)的安全需確保其風險及安全性」,再評估英航規模與被害旅客的人數後,ICO依英航2018年全年營收的1.5%計算,判處1.83億英鎊(2.41億美元),這也是GDPR上路以來罰金最高的判例。於GDPR條文中有明確規範要求資料控制者,需克盡全責保全資料當事人的個人資料,並徹底執行職責。
圖2 英國航空違反GDPR遭ICO重罰
個人資料如同21世紀的石油
紐約時報:「個人資料可視為21世紀的石油5」,在數位化生活之中活用個資大數據進而創造最大的商業利益,已是現代企業爭相搶奪的大餅,而其實台灣早在2012年10月1日就已施行個人資料保護法,針對違規者最高處2億台幣罰金,且依刑責還可處2年以下有期徒刑,台灣國人早已有個資保護的意識,然而,歐洲的GDPR要比台灣個資法再具有更高的罰金、個資定義更加廣泛並增加資料當事人可主動行使權利及自動化決策分析處理(Profiling)從嚴規範等。在現今便利的科技環繞生活環境之下,個人資料與隱私早就無所遁形,但只要個資遭到外洩,不僅個人受到危害甚至企業商譽名聲嚴重受影響,而在台灣有個資法及歐盟的GDPR等法令規範保護下,會對違法者依情節輕重祭出罰則,因此,做好個資防護網已是現代環境的顯學,不僅是個人與企業的保護之道,也是企業維持或提升競爭力的關鍵策略,你我先自我保全好自己無價的「石油」將是當代21世紀最重要課題!
參考資料:
1.
Art. 3 GDPR Territorial scope:https://gdpr-info.eu/art-3-gdpr/
2.
Art. 4 GDPR Definitions: https://gdpr-info.eu/art-4-gdpr/
3.
Recital 30 Online Identifiers for Profiling and Identification: https://gdpr-info.eu/recitals/no-30/
4.
Intention to fine British Airways £183.39m
under GDPR for data breach:
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
5. As Facebook Raised a Privacy Wall, It Carved an Opening for
Tech Giants: https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html
){kind=link}
0 留言