你曾經收到來路不明的社群邀請,或是推銷、詐騙電話嗎?你曾經想過,你在臉書上輸入的個人資訊,或在網路中瀏覽的紀錄被拿來做哪些使用了嗎?
歐盟新版個資保護法即將於5月上路
隨著科技發展迅速,個人的資料更容易被企業儲存和運用,進而增加隱私上的風險。對此,注重人權的歐盟自今年5月25日起將實施號稱「史上最嚴格」的歐盟個資保護法(簡稱GDPR),企業若違反規定,最重有可能被罰2千萬歐元,相當於新台幣7.2億元,或是前一年度全球營業額4%作為罰鍰。
「這影響太全面性了吧!」幾位學者在社群媒體上熱烈討論,不過,一般人可能會想,歐盟的事務離台灣很遙遠,這到底跟我們有什麼關係?
其實根據新規定,企業不論是在提供付費或免費的商品、服務時,只要會蒐集、處理到歐盟居民的個人資料前,都應該要取得個人真實、有效的同意,其中甚至包括取得網頁瀏覽者的所在地資料、網頁瀏覽歷史資料(cookies)。此外,更規範如果發生個人資料外洩的事件,企業必須在得知消息的72小時內通報主管機關。
台灣企業與歐盟貿易往來頻繁,無法置身事外
特別是GDPR的適用涵蓋範圍幾乎擴及全球,而事實上,根據經濟部國貿局整理財政部關務署的最新統計,2017年全年台灣對歐洲國家出口291.6億美元,比重為9.2%,年成長11.2%,歐盟一直是台灣第四大出口市場,也就是說以出口為導向的台灣產業完全無法置身事外。
普華商務法律事務所主持律師蔡朝安提醒,舉凡在歐盟有實體營運的企業,金融服務業、交通運輸業、品牌廠商、服務供應商,甚至主攻歐盟市場的媒體社交軟體電商等,都必須儘早落實相關法遵。
換句話說,就算沒有實體公司在歐盟的境內也必須一體適用GDPR,德勤商務法律事務所資深律師張憲瑋也舉例,像是航空公司通常無法避免存取歐盟居民的護照號碼,或是旅館業和交通運輸業提供服務給歐盟居民,金融或健康產業較常涉及到敏感性資料,以及具申請功能的電商網站和網路服務都應該高度警覺。
歐盟考量經濟發展和隱私保護的平衡性
其中可以觀察到,一些國際性的大型金融機構,近期推出新的理財商品,或是導入新型態服務時,也都會主動強調:服務契約符合GDPR的合規性,承諾會確保資訊安全與隱私權保護等等,可見該規定的影響所及。
其實在消費者愈來愈注重個人化體驗的同時,企業掌握用戶的資料來提供差異化服務已經相當普遍,但歐盟新規定反思了科技發展下的隱私保護,新的資料治理還必須考量資料脈絡,像是歐洲公民也可以主張企業將自己的資料刪除,或是自由地將自己的個資從某服務商搬到另一服務商等等。
「台灣企業過去在個資保護上的名聲其實不太好,」一名網路業者笑說,GDPR上路之後,如果還想跟歐洲做生意,不能再存僥倖心態。
