2018年5月25日欧盟新版个人信息法《欧盟通用数据保护规则》(GDPR)上路,法规繁杂,如个人信息外泄72小时通报主关机关、设立数据保护长(DPO)数据被遗忘权与可携权,而罚则也相当惊人,若有组织违反该法,最重可被处以全球营业额的4%或是2,000万欧元惊人罚款。
当时有60%的企业认为还没有准备好,也因此当时在Google搜索中热度媲美国乐坛碧昂丝还高。现在来看,这个法规到底是玩真的?还是虚惊一场呢?
“是玩真的!比我们想象中的强烈!”安侯法律事务所执行顾问、金融法遵服务主持人、网络暨电子商务服务团队协同主持人孙欣在参加《数字时代》主办的未来商务展上强调。
孙欣指出,法规生效后截至今年一月份,整个欧洲境内,总共5万9千个通报事件,还有10万件的个人申诉。以国别来分,以荷兰、德国与英国的案件最多。
电话营销是被申诉主因
“电话营销被申诉的是主因?因此企业对于怎么拿到个人电话。电话中搜集与处理数据是否合法?都要特别的小心,因为电话营销本身就是一个扰民行为。”
孙欣指出有三大特征:
1.最常收到的申诉案件为:电话营销、电邮营销、监视录像器。
2.通常主关机关的调查是因起于当事人的申诉。
3.申诉案件整体是违规通报的两倍。
有哪些重大裁罚案?其中以法国政府对于Google裁罚案最为出名。主要理由如下,消费者不易找到个人信息告知的相关数据,且数据散见在不同文件中,需要多次点击才能完整了解;加上Google提供的服务太多,个人信息处理活动复杂,导致消费者无法理解个人信息告知中的说明、或告知有缺漏等。
“法国政府对于Google裁罚5,000万欧元的罚金,某种层面来说,GDPR法规也成为政府税收开辟财源的好管理,因为跨国企业一不小心,就会违规了,”孙欣指出。
裁罚价格很高,因此只有一个裁罚案成立,但对于政府的税收是很大的进补。
也可以看成一种贸易战争的手段
GDPR从国际贸易与国际政治的角度来看,也可以看成一种贸易战争的手段。 “经济制裁不仅通过关税与贸易,GDPR也是一种跨境制裁,提高跨国运营的门槛,也是一种限制与挑战,成为一种贸易战手段,”孙欣强调。
GDPR同时带动隐私服务相关的产业崛起,创造新商机。
不过,从市场面来看,GDPR也带动隐私服务相关的产业崛起。 “隐私需求也成为一个供应链,市场需求快速发展,供不应求,”孙欣说。如加拿大有企业特别提供PbD(Privacy By Design) Cert法规的认证,或是有公司针对企业并购过程中的隐私DD(Due Diligence)提供服务,与隐私工程(Privacy engineering)崛起。
最后,孙欣指出企业也不用惊慌,有些产业风险不高,如零售企业,但新兴科技产业是风险最大的,新兴科技业,常利用数据、云计算与IoT提供服务,因此都是高风险产业,B2C类型企业其次,另外若企业有产品/服务外销到国外,也会提高企业风险。
隐私规定越来越严格,回不去了
“隐私越来越严格,回不去了,”孙欣说,因此企业要有数据治理思维,把隐私保护视为企业投资。越早启动GDPR法规遵循,C/P值越高,因为在一开始,从系统、数据库到程序库等,要把企业责任与个人权利规划进去。
举例来说,针对数据可携权、遗忘权在公司系统与IT上,设计就很复杂。数据来自四面八方,有些还存储在公有云上面,企业必须确定个人的数据进到企业后,软件硬件层级存储在何处?用户一旦行使遗忘权,才能真正追本溯源找到数据存储之处,删除数据。