如果有使用Google、Airbnb、Skyscanner这类跨国网路服务的读者,近来应该都陆陆续续在信箱中,收到更新版的隐私条款声明,这一切都跟5月25日正式上路,号称「史上最严格个资法」的一般资料保护规定(General Data Protection Regulation,简称GDPR)有关。

虽说这项规范主要锁定在欧盟,但正因为网路无远弗届的特性,让资料本身根本没有地域性可言,「没有人是局外人」或许更适合用来形容法规上路后的冲击,而究竟GDPR是什么?怎么样会踩到红线?这是你我都应该关心的议题。

「被遗忘权」为基础,GDPR牵动全球企业

重视人权的欧盟,在1995年制定了个人资料保护指令(Data Protection Directive),但23年前网路服务并不普及,为了符合现代时空环境,2016年通过「一般资料保护规则」(General Data Protection Regulation, GDPR)取代了先前的法规,并在实际执行前,给了欧盟两年的缓冲期,订在2018年5月25日正式执行。

一晃眼两年过去了,今天开始欧盟公民将享有个人资料从网路上全面消失的的权利。

根据GDRP官网描述,这条法规是「保护以及加强欧盟成员国人民的资料隐私,以及重塑整个地区内的组织处理资料隐私的方法。」虽是这么说,但正因为网路无远弗届的特性,让资料本身根本没有地域性可言。

这项法规的基础,是「被遗忘权(right to be forgotten)」,是一种在欧盟已经付诸实践的人权概念,可以要求控制资料的一方,删除所有个人资料的任何连结(link)、副本(copies)或复制品(replication);还有「资料可携权(Right to data portability)」,意思是用户可以将A服务的资料,转移到B服务上,这也就是为什么Instagram最近推出资料打包备份功能、苹果推出管理个资工具。

而为什么前面会说GDPR会「没有人是局外人」,因为不论你是巷口小吃店或是跨国企业,只要接触到欧盟公民并拥有他们的个资,那么就适用于GDPR规范,影响的范围包括:

客户中有欧盟公民: 像是餐厅、旅馆、旅行社、计程车、电商等,只要握有欧盟公民顾客的个资、信用卡资料都算。

雇用欧盟员工、欧盟供应商: 无论是正职员工、兼职员工、供应商、合作厂商,只要握有他们保险资料、薪资纪录、联络资讯等都算。

非营利组织与政府机构 :不是只有企业,非营利组织与政府机构也适用 GDPR,如果志工、会员、赞助者、捐款人、顾问是欧盟公民,所掌握的联络资讯、税捐资料等,都受 GDPR 规范。

不论你是巷口小吃店或是跨国企业,只要接触到欧盟公民并拥有他们的个资,那么就会适用于GDPR规范。

怎样会违反GDPR?保护的范围包含哪些?

我们都希望自己的个资被企业合理使用,多数人的生活经验中,都有接过行销电话、简讯、诈骗电话,为了避免个资被任意分享或贩卖给第三方,GDPR保护的个资范围包括:

个人身分、生物特征: 例如电话号码、地址、车牌、病历资料、指纹、脸部辨识、视网膜扫描、相片、影片、电邮内容、问卷表单等,甚至社会认同、文化认同、地理位置等,只要是一个人所能产生出的任何资料,几乎都被重新定义为个人资料并受到保护。

线上定位资料: 例如 Cookie、IP 位置、行动装置 ID、社群网站活动纪录等。

而企业如果对欧盟公民的个资保护不周,像是资料外泄、个资遭骇、非法存取、分享给无权利使用的第三方;或是将个资用于非双方当初约定的目的,例如A活动搜集的资料,用于另一个不相关的B活动;以及就算在个资为外泄的情况下,没有采取足够的安全技术保护个资、没有给予当事人删除或更正个资的权力,都违反GDPR规范。

违反GDPR,最高可罚2000万欧元

一旦没有妥善处理个资或个资外泄,需要在72小时内通报给资料保护主管机关(Data Protection Authority),如果没有执行个资保护风险评估、没有任命资料保护长、没有即时通报、违法向第三国传输个资。

一旦违反以上状况,会被处以2000万欧元或全球总营业额4% 的罚锾。

60%的科技公司都还没准备好

本周剑桥分析(Cambridge Analytica)滥用8700万用户个资事件,祖克伯赴欧洲出席听证会,他在会议中表示,公司绝对会遵守将上路的GDPR 规范,为了符合这个精神,Facebook将推出「一键清除历史资料按钮」功能,允许用户删除所有储存的cookie、浏览历史。

但如果祖克伯说的是真的,那么Facebook有可能是其中的少数,「只有极少数的公司,能在25日100 %准备好。」法律公司United Lex首席隐私官Jason Straight说:「许多公司特别是美国公司,绝对是抢著在最后一个月,希望一切都能准备好。」

祖克伯赴欧洲出席听证会,他在会议中表示,公司绝对会遵守将上路的GDPR 规范。

因为根据一份研究机构Ponemon Institute,在今年四月针对1000家公司的调查指出,有半数的公司认为他们无法在期限内完成准备,综观整个产业来看,有60%的科技公司表示,他们准备不及。

本文获得数位时代授权转载