相信最近 (2018 年 4 月底 ~ 5 月) 大家的信箱一定被一堆隱私權更新條例塞得不要不要,像是 Facebook 、 Google 、 Trello 、 Atlassian 等。其中眼尖的妳們一定有注意到更新內容中的 「全球現已發佈新的資料保護法規 (包括歐洲地區的 GDPR) 」,GDPR 這四個字分開都很容易理解,組合起來卻是相當陌生,但其實,這個歐盟的資料法規早就在頒佈時,就掀起了一陣波瀾了。
但首先,個資法是什麼呢?
相信大家一定常常有接到陌生的電話行銷經驗,不管是保險、貸款、或是單身聯誼,在你們負氣掛起電話的時候,通常也會心生懷疑 「奇怪,為什麼他們會有我的電話呢」? 小從電話大至身分冒用,這些案件在生活中的確層出不窮。
而個資法的目的,就是為了保障我們的資料在被企業所應用時,能夠被合理且不外泄的被使用,不管是 Google 問卷還是網站的會員註冊等,這些只要是可以被可識別出我 「個人」 的特別資訊時,都隸屬於個資法的保護範圍內。
但有了縝密的法律規範,個資外泄的案例仍然層出不窮,想想那些一直出現的詐騙電話,就可以知道個資外泄的問題其實從過去就一直持續發生,僅管有部份可能是有內神通外鬼所造成的 (例如高中賣通訊錄給補習班可以爽賺 500 元),但各種網路服務的興起 (例如網路購物等) 後,的確也造就了各種個資外泄犯罪的多樣化。當然,重視公民權益的歐洲國家,針對這樣的權益問題當然也不容忽視,於是在全歐盟公民的期待下,GDPR 也因此催生了。
GPDR 全名為 General Data Protection Regulation,中文可稱一般資料保護規定,主要的目的為了保護歐盟人民的個資及隱私權,無論資料的傳送、儲存、保護還是管理上,無疑是現今全球最嚴苛的隱私權要求,並預計在 2018 年的 5/25 號生效 (早在 2016/5/25 就推行了,但因為歐盟成員國眾多,所以延到今年在正式生效),而這也是為什麼提供網路服務的各大企業,紛紛在上線前釋出版本更新的關鍵。
那 GPDR 和一般先前的法規,究竟是嚴格了多少,讓各大角頭無不戰戰兢兢呢?
首先要從資料的定義開始講起,一般對個資的定義上,包含住址、 ID 、姓名、信箱、電話、病史等可以廣泛代表你 「個人」 的特別資料等,當然在個資法的保護範圍內,但特別的是,GPDR 不僅僅是保護了這些基本資料,亦針對象是 IP 、 Cookie 、社羣網站帳號、軌跡以及行動裝置 ID 等也是這次的保護範圍,而且他們對保護的定義並非只有在外泄或是沒有同意授權的使用上,若是你的規範不夠縝密、沒有足夠的技術來保護這些資料,甚至不小心 Log 外流泄漏這些個資的使用紀錄,那很抱歉就違反了 GPDR 的條例了。
另外 GPDR 還新增了資料的 「被遺忘權」,也就是個人資訊一但過期,就算你是 Google 這樣的搜索龍頭,也必須將這樣敏感的個資作移除的動作,簡單説就是讓每個人都擁有可以讓自己的資料被移除的權力。
此外也賦予當事人資料的反對權,例如一但資料處理不當,當事人是有資格可以讓資料被下架的,而這個反對權也可以延伸到大數據得頗析和應用上,簡單説,你不想要你的數據被納入資料庫 (或是有相關的疑問時),你是可以有反對權力的。
再來是 「對象」,不管你是跨國集團還是矽谷新創,你是法人還是政府機關,還是 GPDR 保護對象如下
1. 服務歐盟公民,並且直接 (或間接) 需要蒐集、處理、利用個人資料時。
2. 員工或夥伴有歐盟公民,包含志工、顧問、外包商、贊助人.. 等。
簡單説,只要你公司跟一滴滴歐盟公民有關,GPDR 就和你無法脱鈎。
最後是 「罰則」,GPDR 並非像是勞檢那樣罰個三萬五萬 (歐元) 的來達到殺雞儆猴效果,他的最高罰緩可高達 2000 萬歐元,或是年度 「全球營業額」 的 4% ,這重重的一刀如果當真劃下,無遺絕對是對企業的一筆重創,如果臉書的資料外泄在 2018/5/25 後,我想絕對是一個重創,更別提如果被黑客駭走資料後的後果,只能用不堪設想來形容。
但不論罰則、對象還是定義等,這對個人資料保護上,無疑是往前進的一大步,也意味着台灣現行的法規和實作上,勢必也必須進行內容上的調整,僅管嚴苛,但這也是一種全球性的呼籲,畢竟個資外泄事件總是防不勝防,只有從企業規範着手,才是有效更除的一大關鍵。而各大企業的對應方針,也只有從自身的機制去作詳細的檢視,才有辦法避免這些外泄疑雲不再發生。有要求才會有進步,如果可以防止外泄和詐欺事件頻傳,那我想絕對是良政下的惡法。
校正小編補充
像這種突發性的事件 (其實也是規劃很久,但對一般來説消息不靈通的普通公司算是突發事件) 。基本上如果你的網站是使用套件組裝而成的,是沒有可能在短期內會合格的。即使是 WordPress 這樣的大型主程式,如果顧客要求刪除帳號,你也只能冒着讓訂單資料被破壞的風險,刪除他的使用者 (User) 帳號。直到目前最新的 WordPress 4.9 版,看起來都不是很容易解決這件事 (特別是你安裝了很多與購物車有關的外掛的話) 。
所以如果真的要做跨國貿易等級的網站,並不是説不能使用 WordPress 去改,而是如果沒有一個稍微資深一點的工程師坐鎮。應該是很難把功能修改成同時符合各國法規與需求。至少只是個會使用軟體的操作員是不夠的。當然,這時候付費請相關產業公司代為處理也是一個很棒的方式。畢竟一個工程師很懂程式,但他不見得懂法律與商業邏輯。這部分就要請有需求的各位自行去判斷了。
