歐盟本月25日正式實施全名為《通用資料保護規則》,號稱史上最嚴的新版個資法,將讓歐洲公民擁有掌握個人資料的權利。新法一出,全球各家公司忙於更新隱私權條款,或是將用戶的資料管轄權移出歐盟。為什麼歐盟的個資法跟我們有關?對於公司的衝擊又是什麼?以下為您整理針對這部最嚴個資法的6個問題。
為什麼最近常收到一堆隱私權條款變更的訊息?
您若常註冊許多國際公司的帳號,或是登入社群網站,最近上網時可能會發現,民宿出租平台愛彼迎(Airbnb)、評論網站yelp、以及新聞媒體《美聯社》(Associated Press),不約而同寄出隱私權條款變更的通知信。常用的搜尋網站Google、社群網站臉書(Facebook)也出現隱私權變更的提示,這不是因為您的信箱被垃圾信攻擊,也不是您的電腦中毒,而是各家公司為了因應本月25日,歐盟28國全面生效的《通用資料保護規則》(General Data Protection Regulation,GDPR)所做出的調整。
GDPR laws come into force today in Europe. Why so many emails and what does it really mean? https://t.co/NP2XpI2mS3 #GDPRday Via @ReutersTV pic.twitter.com/eci3Rn5v1A
— Reuters Top News (@Reuters) 2018年5月25日
GDPR規定公司要做什麼?
GDPR旨在保障歐盟民眾的個人資料使用權、隱私權,規定公司必須使用淺顯易懂的文字,讓用戶了解公司如何蒐集並使用他們的資料,並尋求使用者確實同意,才能使用資料。因此各家公司必須改寫隱私權條款,Google更利用影片來講解隱私權政策。
GDPR的重點在於強化用戶使用資料的權利,讓用戶個資不再僅被公司掌控,公司必須讓使用者容易取得並使用自己的資料(近用權),並有權利將資料打包帶走(個資可攜權),使用者也有權利要求公司更正或刪除自己的資料(更正權、被遺忘權)。若用戶個資外洩,出現駭客入侵等事故,公司也必須要在72小時之內告知用戶。不能像搜尋網站雅虎(Yahoo!)等了2年,才於2016年揭露用戶資料外洩,最後更有30億用戶受害。
若公司未遵守GDPR,會遭受什麼處罰?
公司如果未遵守GDPR,將遭受歐盟重罰,最高可處2000萬歐元(新台幣7.09億元)或是該公司全球年營業額4%的罰鍰,取其高者來計算。以富可敵國的臉書(Facebook)為例,去年臉書全球的年營收達到407億美元(新台幣1.22兆元),一旦違反GDPR,最高恐被歐盟處以16億美元(新台幣482億元)的罰鍰,將重創臉書。
歐盟對違反GDPR的公司祭出重罰,促使各家公司必須正視新法,臉書就表示,過去18個月來致力於遵守GDPR,然而臉書4月遭媒體披露,將過去放在愛爾蘭國際總部,除了美、加、歐盟以外15億用戶的資料管轄權,移至美國加州的臉書總部。臉書雖已做好準備,25日新法施行的第一天,奧地利隱私權倡議者施雷姆斯(Max Schrems)仍控告臉書與Google,認為臉書和Google只提供用戶完全同意隱私權政策的選項,否則就不能使用服務,違反GDPR要求公司必須詳細取得用戶同意,才能夠使用客戶資料的規定。 (相關報導: 鄧湘全觀點:歐盟GDPR之個資法新知─不能不看! | 更多文章 )
GDPR會影響設籍在歐洲以外的公司嗎?
答案是會!只要公司有任何客戶居於歐盟境內,無論是自然人、法人,即屬於「歐盟境內之資料主體」(data subjects who are in the Union),公司在處理歐盟人民的個資時,就必須遵守GDPR的規定。
