號稱史上最嚴格的歐盟資料保護規範(General Data Protection Regulation,GDRP)來勢洶洶,預定於2018年5月25號生效。距離GDPR上路只剩六個月不到的現在,還沒意識到其嚴重性的企業要從何開始著手?微軟全球副總裁暨副總法律顧問尼爾・薩格斯(Neal Suggs)提醒,第一步不是急著買產品和技術,而是徹底盤點自己手上握有的數據,以及打造「尊重數據」的企業文化。
歐盟最嚴格個資法GDPR,引發全球關注
GDPR是歐盟隱私權法律,目的在於讓個人能控制個人資料、掌握這些資料會被用在哪些地方,以及要求企業提升資料安全性,其中,個人資料包含所有可識別出特定人身份的資料,如姓名、地址、IP地址等,企業在使用這些資料前需明確取得個人同意,個人也可要求企業更正或刪除個人資料。
相較以往區域性的資料保護法案,這條歐洲隱私法引起全球關注的原因在於,就算公司並不設在歐盟地區,只要蒐集、儲存、使用和分享的資料和歐盟居民有關,就會受到GDPR影響,一旦違反,企業最高將面臨高達2,000萬歐元、或是該年度全球營業額4%的罰鍰(看何者金額較高)。
薩格斯說明,不分產業類型、幾乎所有企業都會受到GDPR影響,舉例來說,連網車由於可辨識誰在車內、車子目的地等與個人身份相關的數據,也必須符合GDPR的規範;另外,航空公司因為會存取到歐盟居民的護照號碼,也是受GDPR影響的大戶。不過以資料敏感性來說,金融、健康相關產業則會首當其衝。
回到台灣,哪些企業應該特別注意?勤業眾信總經理萬幼筠補充,台灣的飯店和交通等旅遊業者,以及提供終端服務的業者,因為有機會和歐盟居民接觸到,都會受GDPR影響。另外像是app供應商,過去可能會存取用戶手機通訊錄作為網路行銷管道,也踩到GDRP紅線。他提醒,重點是在利用用戶數據做任何用途前,一定要取得當事人同意。
給台灣企業的建議:先盤點數位足跡、打造合規流程
薩格斯建議,業者第一步要先檢視和盤點公司擁有哪些「數位足跡(digital footprint)」,也就是收集了哪些資料,以及這些資料存在哪裡,只要收集到消費者個資、涉及跨境傳輸,就可能有風險。也因為這類資料可能散落於公司的客戶資料庫、意見反映表單、電子郵件等各處,整理起來無疑是一大工程。
為了讓商業流程符合GDPR規範,增加資料管理人力、加強儲存保護措施、尋求外部資源,都是最直接的方式,但也需要不少成本。根據PwC調查,77%的美國跨國企業表示,打算投入超過100萬美元以符合GDPR規範。而對資源和成本相對較不充裕的中小企業而言,薩格斯則建議,可以從「流程」著手。
「這完全不是技術問題,而是流程問題,」他指出,對新創或中小型企業而言,打造尊重數據和數據擁有者的企業文化是第一件要做的事,包含制定儲存和使用資料的規範、擁有讓用戶決定資料使用目的的流程等,而這些並不會花太多成本。他認為,空有資料管理技術、但使用資料方法仍是錯誤的,依然不可行,「重點是要打造合規的企業文化。」他再次強調。