相信最近 (2018 年 4 月底 ~ 5 月) 大家的信箱一定被一堆隐私权更新条例塞得不要不要,像是 Facebook、Google、Trello、Atlassian 等。其中眼尖的妳们一定有注意到更新内容中的「全球现已发布新的资料保护法规 (包括欧洲地区的 GDPR)」,GDPR 这四个字分开都很容易理解,组合起来却是相当陌生,但其实,这个欧盟的资料法规早就在颁布时,就掀起了一阵波澜了。

但首先,个资法是什么呢?

相信大家一定常常有接到陌生的电话行销经验,不管是保险、贷款、或是单身联谊,在你们负气挂起电话的时候,通常也会心生怀疑「奇怪,为什么他们会有我的电话呢」? 小从电话大至身分冒用,这些案件在生活中的确层出不穷。

而个资法的目的,就是为了保障我们的资料在被企业所应用时,能够被合理且不外泄的被使用,不管是 Google 问卷还是网站的会员注册等,这些只要是可以被可识别出我「个人」的特别资讯时,都隶属于个资法的保护范围内。

但有了缜密的法律规范,个资外泄的案例仍然层出不穷,想想那些一直出现的诈骗电话,就可以知道个资外泄的问题其实从过去就一直持续发生,仅管有部份可能是有内神通外鬼所造成的 (例如高中卖通讯录给补习班可以爽赚 500 元),但各种网路服务的兴起 (例如网路购物等) 后,的确也造就了各种个资外泄犯罪的多样化。当然,重视公民权益的欧洲国家,针对这样的权益问题当然也不容忽视,于是在全欧盟公民的期待下,GDPR 也因此催生了。

 

GPDR 全名为 General Data Protection Regulation,中文可称一般资料保护规定,主要的目的为了保护欧盟人民的个资及隐私权,无论资料的传送、储存、保护还是管理上,无疑是现今全球最严苛的隐私权要求,并预计在 2018 年的 5/25 号生效 (早在 2016/5/25 就推行了,但因为欧盟成员国众多,所以延到今年在正式生效),而这也是为什么提供网路服务的各大企业,纷纷在上线前释出版本更新的关键。

那 GPDR 和一般先前的法规,究竟是严格了多少,让各大角头无不战战兢兢呢?

首先要从资料的定义开始讲起,一般对个资的定义上,包含住址、ID、姓名、信箱、电话、病史等可以广泛代表你「个人」的特别资料等,当然在个资法的保护范围内,但特别的是,GPDR 不仅仅是保护了这些基本资料,亦针对象是 IP、Cookie、社群网站帐号、轨迹以及行动装置 ID 等也是这次的保护范围,而且他们对保护的定义并非只有在外泄或是没有同意授权的使用上,若是你的规范不够缜密、没有足够的技术来保护这些资料,甚至不小心 Log 外流泄漏这些个资的使用纪录,那很抱歉就违反了 GPDR 的条例了。

另外 GPDR 还新增了资料的「被遗忘权」,也就是个人资讯一但过期,就算你是 Google 这样的搜索龙头,也必须将这样敏感的个资作移除的动作,简单说就是让每个人都拥有可以让自己的资料被移除的权力。

此外也赋予当事人资料的反对权,例如一但资料处理不当,当事人是有资格可以让资料被下架的,而这个反对权也可以延伸到大数据得颇析和应用上,简单说,你不想要你的数据被纳入资料库 (或是有相关的疑问时),你是可以有反对权力的。

再来是「对象」,不管你是跨国集团还是矽谷新创,你是法人还是政府机关,还是 GPDR 保护对象如下

 

1. 服务欧盟公民,并且直接 (或间接) 需要搜集、处理、利用个人资料时。

2. 员工或伙伴有欧盟公民,包含志工、顾问、外包商、赞助人.. 等。

 

简单说,只要你公司跟一滴滴欧盟公民有关,GPDR 就和你无法脱钩。

最后是「罚则」,GPDR 并非像是劳检那样罚个三万五万 (欧元) 的来达到杀鸡儆猴效果,他的最高罚缓可高达 2000 万欧元,或是年度「全球营业额」的 4% ,这重重的一刀如果当真划下,无遗绝对是对企业的一笔重创,如果脸书的资料外泄在 2018/5/25 后,我想绝对是一个重创,更别提如果被黑客骇走资料后的后果,只能用不堪设想来形容。

但不论罚则、对象还是定义等,这对个人资料保护上,无疑是往前进的一大步,也意味着台湾现行的法规和实作上,势必也必须进行内容上的调整,仅管严苛,但这也是一种全球性的呼吁,毕竟个资外泄事件总是防不胜防,只有从企业规范着手,才是有效更除的一大关键。而各大企业的对应方针,也只有从自身的机制去作详细的检视,才有办法避免这些外泄疑云不再发生。有要求才会有进步,如果可以防止外泄和诈欺事件频传,那我想绝对是良政下的恶法。

校正小编补充

像这种突发性的事件 (其实也是规划很久,但对一般来说消息不灵通的普通公司算是突发事件)。基本上如果你的网站是使用套件组装而成的,是没有可能在短期内会合格的。即使是 WordPress 这样的大型主程式,如果顾客要求删除帐号,你也只能冒着让订单资料被破坏的风险,删除他的使用者 (User) 帐号。直到目前最新的 WordPress 4.9 版,看起来都不是很容易解决这件事 (特别是你安装了很多与购物车有关的外挂的话)。

所以如果真的要做跨国贸易等级的网站,并不是说不能使用 WordPress 去改,而是如果没有一个稍微资深一点的工程师坐镇。应该是很难把功能修改成同时符合各国法规与需求。至少只是个会使用软体的操作员是不够的。当然,这时候付费请相关产业公司代为处理也是一个很棒的方式。毕竟一个工程师很懂程式,但他不见得懂法律与商业逻辑。这部分就要请有需求的各位自行去判断了。