歐盟搬出史上最嚴個資保護令!
轉自:天下雜誌637期
企業們注意了!歐盟史上最嚴的資料保護法,將改寫當今蒐集客戶個資的方法。保護範圍擴及指紋、臉部辨識、定位資料,未來想做歐盟生意,要先做好準備。
11月初的美國紐約,一場英特爾國際研討會的早餐會上,英特爾資料中心事業部副總戴維斯(Elisa Davis)突然開口問同桌歐洲記者,「你們怎麼看『歐盟通用資料保護法規』(GDPR,GeneralData Protection Regulation)?歐洲人民支持嗎?」
「絕對非常支持,」一名法國記者想都沒有想、非常迅速地回答。
這個對話,清楚反映出當前各界面對GDPR的典型態度——企業界的普遍茫然與心存僥倖,與歐盟勢在必行的熱烈氛圍,形成鮮明對比。
個資保護令有多嚴格?
2018年5月,GDPR將上路。這個被視為史上最嚴苛的資料保護令,帶有強烈人權保護色彩。
安侯法律事務所執行顧問翁士傑分析,對歐盟居民而言,個資應受保護的權利,是個人隱私權保護的延伸。企業若要對員工、客戶、第三方個人,進行個資蒐集、使用、儲存、監控或傳輸等處理,都被視為企業試圖侵入個人隱私,企業就有義務告知受影響的個人。
這包括了實體和虛擬世界的個資。科技變遷快速,GDPR對個資的定義又更為廣泛。除個人電話號碼、地址、健康資料、電子信箱等之外,像是指紋、臉部辨識、視網膜掃描、線上辨識碼以及線上定位資料,如Cookie、IP位置、行動裝置ID等,全都納入個資範疇。
GDPR影響範圍將會非常廣,不僅適用在歐盟設立子公司或分公司的企業,也適用所有有處理歐盟居民個資的歐盟境外企業。企業規模無論大小,橫跨服務、科技、製造、金融產業,都無可避免會受到影響。
歐盟過去訂出的環保標準,最終都成為全球標準,如今邁入物聯網時代,大數據分析傳輸已經無可避免,面對這項號稱史上最嚴格的資料保護令,企業要有心理準備,GDPR非常有可能成為資料保護的全球通用標準。
而且,歐盟可視情節輕重裁罰,最重的罰款高達2000萬歐元或全球營業額的4%。
歐盟向來對法令規範都不是玩玩而已。以今年來說,歐盟便以Google違反反壟斷法為理由,重罰了24億歐元的鉅額罰款,由此看得出歐盟對政策性法令的執行十分強勢,可預見歐盟未來會嚴格執行GDPR法規。
企業加緊腳步做準備
剩不到半年,GDPR就要上路,跨國大企業已經如臨大敵,各種挑戰也開始浮現。
打開世界記憶體、硬碟大廠金士頓的企業網站,已設有特別專頁,一開頭就詳細寫著:「歐盟GDPR:確定您遵循法規的前五大主要領域:任命資料保護長(DPO)、建立網路安全性方案、資料處理標準的安全性、備受肯定的盡責態度、了解同意書。」
這就像在教育,深怕員工及客戶誤踩新法地雷。
這當中,對金融服務業和製造業的衝擊最大。因為這些產業的企業手中握有許多與個人隱私最相關的資料。譬如,近期很夯的自動駕駛車就會面臨挑戰,駕駛的個資以及駕駛過程產生的相關數據,也都會是受GDPR保護的範疇。
除此之外,目前熱門的大數據分析公司,因個資保護範圍更廣,想運用AI工具做資料分析的運作空間,也將大大縮水。
例如,有當事人想刪除個資,不想參與自動化分析的機制,都有權利隨時提出反對權。
一名英特爾顧問就憂心地指出,歐盟的GDPR主要用來限制個人資料使用,卻沒有建立一套規則協助重度使用資料的公司運作。
微軟法律顧問薩格斯(Neal Suggs)坦言,自己接觸到的客戶遇到的最大問題,在於要定義哪一種資料需要被規範。
「企業會需要鑑定數據足跡(Digital footprint)。」薩格斯接受媒體訪問時指出。「這是最重要的第一步,先確認資料位置、管理流程,這會是最大的挑戰。」
除非企業不做歐盟生意,但這對出口導向的台灣或其他區域國家而言,幾乎不可能,因為歐盟是全球第三大經濟體。只要企業有電腦系統、伺服器及員工使用手機,都可能觸及GDPR規範,企業不能忽視這個無法預測的潛在風險。
企業們注意了!歐盟史上最嚴的資料保護法,將改寫當今蒐集客戶個資的方法。保護範圍擴及指紋、臉部辨識、定位資料,未來想做歐盟生意,要先做好準備。
11月初的美國紐約,一場英特爾國際研討會的早餐會上,英特爾資料中心事業部副總戴維斯(Elisa Davis)突然開口問同桌歐洲記者,「你們怎麼看『歐盟通用資料保護法規』(GDPR,GeneralData Protection Regulation)?歐洲人民支持嗎?」
「絕對非常支持,」一名法國記者想都沒有想、非常迅速地回答。
這個對話,清楚反映出當前各界面對GDPR的典型態度——企業界的普遍茫然與心存僥倖,與歐盟勢在必行的熱烈氛圍,形成鮮明對比。
個資保護令有多嚴格?
2018年5月,GDPR將上路。這個被視為史上最嚴苛的資料保護令,帶有強烈人權保護色彩。
安侯法律事務所執行顧問翁士傑分析,對歐盟居民而言,個資應受保護的權利,是個人隱私權保護的延伸。企業若要對員工、客戶、第三方個人,進行個資蒐集、使用、儲存、監控或傳輸等處理,都被視為企業試圖侵入個人隱私,企業就有義務告知受影響的個人。
這包括了實體和虛擬世界的個資。科技變遷快速,GDPR對個資的定義又更為廣泛。除個人電話號碼、地址、健康資料、電子信箱等之外,像是指紋、臉部辨識、視網膜掃描、線上辨識碼以及線上定位資料,如Cookie、IP位置、行動裝置ID等,全都納入個資範疇。
GDPR影響範圍將會非常廣,不僅適用在歐盟設立子公司或分公司的企業,也適用所有有處理歐盟居民個資的歐盟境外企業。企業規模無論大小,橫跨服務、科技、製造、金融產業,都無可避免會受到影響。
歐盟過去訂出的環保標準,最終都成為全球標準,如今邁入物聯網時代,大數據分析傳輸已經無可避免,面對這項號稱史上最嚴格的資料保護令,企業要有心理準備,GDPR非常有可能成為資料保護的全球通用標準。
而且,歐盟可視情節輕重裁罰,最重的罰款高達2000萬歐元或全球營業額的4%。
歐盟向來對法令規範都不是玩玩而已。以今年來說,歐盟便以Google違反反壟斷法為理由,重罰了24億歐元的鉅額罰款,由此看得出歐盟對政策性法令的執行十分強勢,可預見歐盟未來會嚴格執行GDPR法規。
企業加緊腳步做準備
剩不到半年,GDPR就要上路,跨國大企業已經如臨大敵,各種挑戰也開始浮現。
打開世界記憶體、硬碟大廠金士頓的企業網站,已設有特別專頁,一開頭就詳細寫著:「歐盟GDPR:確定您遵循法規的前五大主要領域:任命資料保護長(DPO)、建立網路安全性方案、資料處理標準的安全性、備受肯定的盡責態度、了解同意書。」
這就像在教育,深怕員工及客戶誤踩新法地雷。
這當中,對金融服務業和製造業的衝擊最大。因為這些產業的企業手中握有許多與個人隱私最相關的資料。譬如,近期很夯的自動駕駛車就會面臨挑戰,駕駛的個資以及駕駛過程產生的相關數據,也都會是受GDPR保護的範疇。
除此之外,目前熱門的大數據分析公司,因個資保護範圍更廣,想運用AI工具做資料分析的運作空間,也將大大縮水。
例如,有當事人想刪除個資,不想參與自動化分析的機制,都有權利隨時提出反對權。
一名英特爾顧問就憂心地指出,歐盟的GDPR主要用來限制個人資料使用,卻沒有建立一套規則協助重度使用資料的公司運作。
微軟法律顧問薩格斯(Neal Suggs)坦言,自己接觸到的客戶遇到的最大問題,在於要定義哪一種資料需要被規範。
「企業會需要鑑定數據足跡(Digital footprint)。」薩格斯接受媒體訪問時指出。「這是最重要的第一步,先確認資料位置、管理流程,這會是最大的挑戰。」
除非企業不做歐盟生意,但這對出口導向的台灣或其他區域國家而言,幾乎不可能,因為歐盟是全球第三大經濟體。只要企業有電腦系統、伺服器及員工使用手機,都可能觸及GDPR規範,企業不能忽視這個無法預測的潛在風險。
相關內容: