20年來歐洲最大規模的個資法規在25日上路。(美聯社)
歐盟在2016年通過的「通用資料保護規則」(General Data Protection Regulation,GDPR)於25日正式生效。根據《英國廣播公司》(BBC)報導,未按照規定提供服務的公司機構,尤其是大型的網路服務業者且違規情節嚴重者,將面臨巨額罰鍰。協議生效後,更是引來許多中小業者一陣恐慌,唯恐動輒得咎。
英國的信息主管權責單位,資訊專員辦公室(Information Commissioner's Office,ICO)主任戴納姆(Elizabeth Denham)表示,將會盡力提供協助,也呼籲各企業單位尋求外部的法律諮詢。
面對疑慮,戴納姆也表示毋須太過恐慌,該單位會按照公平原則做出符合比例的管制,同時也強調企業有義務配合依法行事:「凡是自主通報,願意與我們合作,而且能提出有效的負責合約的企業,將會納入我們裁量管制行為的依據。」
25日生效的「通用資料保護規則」(GDPR)中,將所有機構在處理歐盟公民個人資訊時的行為皆納入管制。該規則給予了使用者對於個人資訊如何被機構使用的控制權,並有權要求相關機構在合理的情境下,刪除先前的個人資料。服務業者使用消費者的個資前,也必須明確地取得同意。此外,業者不得以提供進階服務為誘因,換取消費者的個人資訊。規則中也要求公司對個資保護採取更高的標準。
截至目前已有許多業者度消費者陸續發出電子郵件,請求用戶重新對接收行銷資訊等行為給予同意,目的在於取得消費者同意持續接收電子報。不過ICO表示,類似措施並非必要。ICO副主任伍德(Steve Wood)表示,「GDPR代表了不能再寄任何電子報」、「GDPR意味著每項行為都需要重新取得同意」等想法,基本上都是錯誤的迷思,業者並不需要完全重新與消費者建立同意關係。
Myth#8 Data breach reporting is all about punishing organisations. Information Commissioner, Elizabeth Denham busts this myth in her blog: https://t.co/r8edGShSOh pic.twitter.com/B5Byvz1CeR
— ICO (@ICOnews) 2018年5月24日
根據《衛報》(The Guardian)報導,25日的期限逼近之際,有許多服務業者,包括收購雅虎 (Yahoo!)和「AOL」的媒體集團「Oath」旗下網站在內,開始要求使用者在瀏覽網站前,必須先同意新推出的冗長服務條款。
《衛報》指,有些業者因不堪新法規衝擊,索性停止在歐洲的服務。例如,美國媒體集團「A+E」旗下的「History.com」、以及網遊《仙境傳說》(Ragnarok Online)都關閉了其歐洲伺服器。部分社群媒體,如「Pintrest」旗下的「Instapaper」,也表示會暫時停止在歐洲的服務。
新規則生效後,ICO有權對企業祭出高額罰鍰,最高可達2000萬歐元(約新台幣7億),若犯行嚴重,甚至可開罰年營業額的4%。英國中小企業聯盟(Federation of Small Businesses)表示,大多中小業者都尚未做好準備。該聯盟主席謝瑞(Mike Cherry)表示,「GDPR生效後,大概英國570萬間小型企業都無法遵守」,並稱該法規造成劇烈的負擔,甚至可能危及許多企業的生存,尤其是對於ICO的罰鍰更聞風喪膽。
Sites block EU users before GDPR takes effect https://t.co/xpG2TLztxM
— The Guardian (@guardian) 2018年5月24日
英國企業界的恐慌到什麼程度?根據《每日電訊報》(The Telegraph)報導,在GDPR生效的前一天(24),ICO的官方網站一度因為企業、消費者大量湧入尋求資訊,當機了2小時以上。畢竟,GDPR的生效是繼歐盟1995年的「個人資料保護指令」(Data Protection Directive)之後,最大型的個人資料保護法規改革。
另一方面,歐盟大國德國的情況也未見樂觀。根據《環球網》報導,德國保險公司聯合會的調查顯示,僅五分之一的中小企業已為新法做好準備。德國基督教民主聯盟經濟發言人則對媒體表示,GDPR是歐盟創造的巨大官僚怪物,會置企業於險境。不過也有資訊保護問題專家稱,歐盟已給了企業2年時間進行準備,新規定的目的是保護公民個人信息。
ICO戴納姆主任也表示同樣看法,強調新法通過至今已有2年時間,因此不會再給予執法緩衝期。「GDPR標示著企業處理個資的一個轉捩點」,戴納姆說,業者對待個資的方法,會是決定企業信任的核心價值。