最重可被罰7億元台幣!5月25日,被冠上史上最嚴格的「歐盟通用資料保護規則」(EU General Data Protection Regulation,GDPR)法規正式生效,若有組織違反該法,最重可被處以全球營業額的4%或是2000萬歐元驚人罰款,展現歐盟以重法保護歐盟居民個資的決心。
航空、金融、科技、電信業積極準備,中小企業觀望心態濃
不僅罰款驚人,GDPR適用範疇涵蓋極廣。安侯法律事務所執行顧問翁士傑就指出以下三大類型公司都在GDPR的適用範疇。
1.在歐盟有營運據點的境外公司。
2.沒有據點但有提供產品或服務給歐盟境內居民。
3.提供服務給歐盟會員國公民。
「B2C業者型態業者,直接接觸第一線消費者,影響最深。而地域性強,僅在台灣或是亞洲地區服務的傳統產業業者影響較小。」達文西個資暨高科技法律事務所所長葉奇鑫分析。
因此台灣的航空、金融、科技、電信與旅遊業等五大類業者首當其衝。而這些業者也都積極迎戰GDPR,早在一兩年前就開始委請顧問做足準備。
不過,除了以上這些業者,多數中小企業警覺心不夠,或多保持觀望與僥倖心態。
觀望原因:驚人百萬花費,執法難且罰不到?
這些業者認為,GDPR主要針對Facebook、Google與Microsoft等美國科技巨頭,可以把這些巨人擋箭牌躲在後面看市場風向。
也有不少業者,因為GDPR合規費用驚人(業內律師指出至少百萬元台幣起跳),躊躇不前。
也有的採取更為消極的心態,台灣對歐盟來說「天高皇帝遠」,等真的有同業被罰了,再行動也不遲。
或商業活動範圍有限、風險不高,在歐盟境內沒有銀行帳戶,沒有可被執行的資產,就算被認定違反GDPR法規,歐盟法院也很難找到人執法,因此不用理沒在怕。
加上歐盟執法單位自己都還沒有準備好,業者的觀望心態又更濃了。「歐盟國家的企業也沒有準備好,GDPR概念很先進,但執法很困難,我認為還有三年左右的摸索期。」葉奇鑫指出。歐盟法院的執法難度高,以GDPR中的被遺忘權(right to be forgotten)來說,歐盟資訊安全局(ENISA)曾指出,被遺忘權要徹底實行(如告知所有相關連結公司完全刪除連結與複本)難度很高。
旅遊業小心成為下一個中興通訊
對於這些業者的觀望態度,專業律師的看法為何?
旅遊業者最要當心,為什麼呢?航空、金融、電信等業者財力雄厚,早拿出大把銀兩做合規程序,而多數旅遊業為中小企業,資金不充沛,未積極迎戰GDPR,「但旅遊業業者,常提供產品或服務給歐盟境內居民或提供服務給歐盟會員國公民,觸法風險性高,需要特別當心。」葉奇鑫強調。
而翁士傑則提醒,風險高的業者千萬不要抱持僥倖心態,認為歐盟法院罰不到。「歐盟可能會公布違法業者名單,並採取歐盟企業禁止與違法企業商業往來,作為懲罰。」
彭博23日才報導,美國對大陸企業中興通訊實施商業制裁,中興至少虧損952億元台幣。前車之鑑不可不防。
另外,雖說GDPR主要規範個人資料,而非企業資料,因此B2C業者要慎防但B2B的業者也不要以為可以高枕無憂。翁士傑強調,「以台灣科技代工業者來說,雖然沒有接觸第一線的消費者,但可能在歐盟設點開工廠,那其員工與往來的客戶等個資就屬於GDPR管轄,而在未來產品端也不會僅有硬體,也會包含軟體服務,在產品研發的過程中,極容易使用終端用戶個資,因此歐盟的企業客戶也會要求要符合GDPR。」
微軟全球助理法務長、台灣微軟公共暨法律事務部總經理施立成就說,「我演講時常把GDPR和2000年時的千禧蟲危機做個比較,當時很多人很緊張,但後來沒有發生什麼事,但GDPR可『完全不同』,歐盟有很強烈的執法決心,不用討論執法的決心。」
