作者:資策會產業情報研究所所長 詹文男
全球搜尋引擎龍頭Google今年初遭法國資料保護署(CNIL)以違反歐盟線上隱私法令為由,重罰5,000萬歐元(約新台幣17.6億元),這是歐盟通用資料保護法規(GDPR)上路以來開出的最高金額罰款,也是歐盟新隱私法規自2018年五月生效以來,首度對美國科技大廠開罰大筆罰金。
法國資料保護署表示,開罰理由是Google告知用戶如何使用個資方式缺乏透明度,用戶無法充分了解Google如何使用個資,剝奪用戶控管個資的能力,且Google推播的個人化廣告,也未適當的獲得用戶同意。一般認為,法國資料保護署的決定將迫使Google重新思考如何徵求用戶同意,為旗下歐洲數十億美元廣告事業蒐集個資。這項裁決也將加深其他科技業者、資料經紀商、信用參考機構,以及廣告集團可能遭投訴的憂慮。
而在判決二天後,Google透過媒體聲明表示不服,表示該公司根據法規及使用者經驗測試,努力製作了一個儘可能透明而簡潔易懂的GDPR同意流程以便發送個人化廣告。Google同時表示擔心這項判決對歐洲以及其他地區出版商、原創內容製作商及科技業者造成的影響。
基於上述理由,Google決定上訴。Google的擔心並非空穴來風,目前Facebook的案件也正在調查中。而包括Amazon、Apple、Netflix、Youtube-等八家串流媒體服務業者也被控告在不同程度上違反了GDPR關於使用者資訊存取權利的法規。
事實上Google的被罰並非特例,去年底德國一家聊天平台遭入侵,駭客盜走並公布187萬名用戶個人檔案中的電子郵件帳號、用戶姓名與居住地等資訊,加之網站竟以明文存放用戶密碼,而被裁罰2萬歐元;葡萄牙一家醫院的工作人員使用虛假帳戶訪問患者記錄,被罰款40萬歐元;奧地利的一家當地企業因拍攝公共空間的安全監控攝影機而被罰款。這些案例顯示GDPR並非聊備一格的政策宣示,而是已開始嚴格執行的法規。
以臺灣廠商而言,受到GDPR最直接影響的包含航空海運貨運承攬業、高科技製造業和金融業,以及有設立歐盟分支機構之企業等。此外,凡是網站或提供的服務會提供歐盟民眾瀏覽使用,或者是會蒐集、處理和利用歐盟公民資料的企業或組織,不論是否座落在歐盟境內,或者是否有在歐盟設立公司,仍需遵循GDPR,以確保歐盟民眾個資不會遭到濫用或外洩。由於違反GDPR最高可裁處2,000萬歐元或該年度全球營業額4%的罰鍰,只要與歐盟企業或民眾有業務相關的企業,恐怕都需嚴肅對待。以下是幾點建議:
首先,企業須自我評估企業內部個資處理的風險程度,且非僅從資安角度切入,而是應從業務流程全面檢視,確認各個環節中,與歐盟民眾個資互動情況,據此調整因應作為,包括企業營運流程及資訊系統的改善。尤其不管客戶是企業或一般民眾,只要有牽涉到歐盟地區的個人或組織,都必須遵守相關法令,千萬不要忽略或輕視,以免因小失大。
其次,GDPR立法精神在於轉變過去將蒐集來的個人資料視為企業所屬資產,回歸為這些資料僅是為用戶暫時管理。亦即企業僅是託管,非擁有。因此需強化組織內控系統的分權原則與最小使用權限。而且應善盡個資當事人權益的保護,例如使用當事人易於理解的告知方式,以及尊重當事人行使個資可攜權等等法定權利。這些年資訊安全事件頻傳,未來也只會更嚴峻,投入必要的資源,做好應有的防護,需要高層的重視與承諾。 最後,雖說GDPR為歐盟所制訂的法規,但對全球各國相關法令皆產生影響。在可見的未來,在GDPR示範下,對於民眾隱私保護的嚴格立法現象將是可預期的。我國個人資料保護法之內容與含括範圍不及GDPR廣泛與明確,因此對台灣企業而言容易發生即便符合國內個資法之規範,但卻未必符合GDPR。在現今無國界網路時代中,難以保證企業得以完全免除在GDPR規範外。因此建議審視我個資法之內容,評估是否有需因應調整之處,以免廠商於國際市場中誤觸受罰;同時企業也可藉此調整導入一套符合個資保護國際趨勢的系統和制度,為將來的全球化打下基礎!
(全篇完)