想做跨境歐盟國家生意,小心即將生效GDPR法案讓你的電商還沒賺錢先破產!
「來勢洶洶的GDPR」-史上最嚴格的個資保護條款姍姍來遲了
莫名其妙賠大錢系列:
1. 想做跨境歐盟國家生意,小心即將生效GDPR法案讓你的電商還沒賺錢先破產!
2. 以為只有歐盟的GDPR會罰你到脫褲?淺談美國的兒童在線隱私權保護法(COPPA)
3. 被垃圾信照三餐狂轟濫炸?關於電子報其實各國政府都有法可管你知道嗎?
4. 管很嚴還是住海邊?當心你的網站侵犯ADA美國身障保障法
相信最近(2018年4月底 ~ 5月) 大家的信箱一定被一堆隱私權更新條例塞得不要不要,像是Facebook、Google、Trello、Atlassian等。其中眼尖的妳們一定有注意到更新內容中的「全球現已發佈新的資料保護法規 (包括歐洲地區的GDPR)」,GDPR 這四個字分開都很容易理解,組合起來卻是相當陌生,但其實,這個歐盟的資料法規早就在頒布時,就掀起了一陣波瀾了。
但首先,個資法是甚麼呢?
相信大家一定常常有接到陌生的電話行銷經驗,不管是保險、貸款、或是單身聯誼,在你們負氣掛起電話的時候,通常也會心生懷疑「奇怪,為什麼他們會有我的電話呢」?小從電話大至身分冒用,這些案件在生活中的確層出不窮。
而個資法的目的,就是為了保障我們的資料在被企業所應用時,能夠被合理且不外洩的被使用,不管是Google問卷還是網站的會員註冊等,這些只要是可以被可識別出我「個人」的特別資訊時,都隸屬於個資法的保護範圍內。
但有了縝密的法律規範,個資外洩的案例仍然層出不窮,想想那些一直出現的詐騙電話,就可以知道個資外洩的問題其實從過去就一直持續發生,僅管有部份可能是有內神通外鬼所造成的(例如高中賣通訊錄給補習班可以爽賺500元),但各種網路服務的興起(例如網路購物等)後,的確也造就了各種個資外洩犯罪的多樣化。當然,重視公民權益的歐洲國家,針對這樣的權益問題當然也不容忽視,於是在全歐盟公民的期待下,GDPR也因此催生了。
GPDR全名為General Data Protection Regulation,中文可稱一般資料保護規定,主要的目的為了保護歐盟人民的個資及隱私權,無論資料的傳送、儲存、保護還是管理上,無疑是現今全球最嚴苛的隱私權要求,並預計在2018年的5/25號生效(早在2016/5/25就推行了,但因為歐盟成員國眾多,所以延到今年在正式生效),而這也是為甚麼提供網路服務的各大企業,紛紛在上線前釋出版本更新的關鍵。
那GPDR和一般先前的法規,究竟是嚴格了多少,讓各大角頭無不戰戰兢兢呢?
首先要從資料的定義開始講起,一般對個資的定義上,包含住址、ID、姓名、信箱、電話、病史等可以廣泛代表你「個人」的特別資料等,當然在個資法的保護範圍內,但特別的是,GPDR不僅僅是保護了這些基本資料,亦針對象是IP、Cookie、社群網站帳號、軌跡以及行動裝置ID等也是這次的保護範圍,而且他們對保護的定義並非只有在外洩或是沒有同意授權的使用上,若是你的規範不夠縝密、沒有足夠的技術來保護這些資料,甚至不小心Log外流洩漏這些個資的使用紀錄,那很抱歉就違反了GPDR的條例了。
另外GPDR還新增了資料的「被遺忘權」,也就是個人資訊一但過期,就算你是Google這樣的搜索龍頭,也必須將這樣敏感的個資作移除的動作,簡單說就是讓每個人都擁有可以讓自己的資料被移除的權力。
此外也賦予當事人資料的反對權,例如一但資料處理不當,當事人是有資格可以讓資料被下架的,而這個反對權也可以延伸到大數據得頗析和應用上,簡單說,你不想要你的數據被納入資料庫(或是有相關的疑問時),你是可以有反對權力的。
再來是「對象」,不管你是跨國集團還是矽谷新創,你是法人還是政府機關,還是GPDR保護對象如下
1. 服務歐盟公民,並且直接(或間接)需要蒐集、處理、利用個人資料時。
2. 員工或夥伴有歐盟公民,包含志工、顧問、外包商、贊助人..等。
簡單說,只要你公司跟一滴滴歐盟公民有關,GPDR就和你無法脫鉤。
最後是「罰則」,GPDR並非像是勞檢那樣罰個三萬五萬(歐元)的來達到殺雞儆猴效果,他的最高罰緩可高達2000萬歐元,或是年度「全球營業額」的4%,這重重的一刀如果當真劃下,無遺絕對是對企業的一筆重創,如果臉書的資料外洩在2018/5/25後,我想絕對是一個重創,更別提如果被黑客駭走資料後的後果,只能用不堪設想來形容。
但不論罰則、對象還是定義等,這對個人資料保護上,無疑是往前進的一大步,也意味著台灣現行的法規和實作上,勢必也必須進行內容上的調整,僅管嚴苛,但這也是一種全球性的呼籲,畢竟個資外洩事件總是防不勝防,只有從企業規範著手,才是有效更除的一大關鍵。而各大企業的對應方針,也只有從自身的機制去作詳細的檢視,才有辦法避免這些外洩疑雲不再發生。有要求才會有進步,如果可以防止外洩和詐欺事件頻傳,那我想絕對是良政下的惡法。
像這種突發性的事件(其實也是規劃很久,但對一般來說消息不靈通的普通公司算是突發事件)。基本上如果你的網站是使用套件組裝而成的,是沒有可能在短期內會合格的。即使是WordPress這樣的大型主程式,如果顧客要求刪除帳號,你也只能冒著讓訂單資料被破壞的風險,刪除他的使用者(User)帳號。直到目前最新的WordPress 4.9版,看起來都不是很容易解決這件事(特別是你安裝了很多與購物車有關的外掛的話)。
所以如果真的要做跨國貿易等級的網站,並不是說不能使用WordPress去改,而是如果沒有一個稍微資深一點的工程師坐鎮。應該是很難把功能修改成同時符合各國法規與需求。至少只是個會使用軟體的操作員是不夠的。當然,這時候付費請相關產業公司代為處理也是一個很棒的方式。畢竟一個工程師很懂程式,但他不見得懂法律與商業邏輯。這部分就要請有需求的各位自行去判斷了。
最後,如果你喜歡我們的文章,別忘了到我們的FB粉絲團按讚喔!!