GDPR是歐盟《個人資料保護準則》(Directive 95/46/EC)的更新版,相比舊版本,GDPR不但自動成為成員國的法律一部分,並加上了針對企業保障個人資料的公民權利,成員國一致合作監察和執法的機制,以及有阻嚇力的罰則。歐盟法院2014年5月於Google Spain v AEPD and Mario Costeja González一案,判Google Spain敗訴,判詞認定歐盟公民擁有在搜尋器上的「被遺忘權」,後來GDPR立法時亦加入了這項權利,創全球先河。
在數碼年代,全球民眾已經習慣透過互聯網通訊和交易,但數碼安全和個人私隱保障一直是最大流弊,傳媒不時爆出大型企業電腦系統被黑客入侵盜取個人及信任卡資料,甚至巨企把用戶資料在未經充分同意下轉交第三方,令用戶的機密資料無法得到妥善保障。歐盟於2016年4月公布《一般資料保護規範》(GDPR),並在2018年5月正式執行,而由於GDPR適用於歐盟所有成員國和歐洲經濟區(EEA)的公民,以及與有關歐洲國家有業務來往的企業,加上GDPR內容全面,詳細列出用戶權利、企業責任和個人資料的涵蓋範圍,不少跨國企業均以此參照來制訂資料保障的政策,使GDPR迅即成為個人資料法例的國際標準。
[adrotate group=”3″]
GDPR是歐盟《個人資料保護準則》(Directive 95/46/EC)的更新版,相比舊版本,GDPR不但自動成為成員國的法律一部分,並加上了針對企業保障個人資料的公民權利,成員國一致合作監察和執法的機制,以及有阻嚇力的罰則。歐盟法院2014年5月於Google Spain v AEPD and Mario Costeja González一案,判Google Spain敗訴,判詞認定歐盟公民擁有在搜尋器上的「被遺忘權」,後來GDPR立法時亦加入了這項權利,創全球先河。
GDPR共十一章,總數九十九條法例,詳細列出使用者合法和公平收集及處理個人資料的準則,如使用者權利、安全管理、監督制度和資料跨境傳輸等,最為人熟知的,是GDPR規定企業須設立專責部門保障企業客戶的個人資料,以及須設有專員統領有關部門。此外,違反GDPR的罰款高達2000萬歐羅或企業全球營業額的4%,以較高者為準,令大多在歐洲有生意的國際企業(被迫)跟隨GDPR規定。
法例執行半年多後誕生首宗案例,Google於今年1月被法國國家資訊自由委員會(CNIL)裁定違反GDPR,罰款5000萬歐羅。Facebook在2018年年初被爆出在未經用戶同意下提供個人資料予數據分析公司劍橋分析,相繼被英國和美國監管部門判處巨額罰款,但因為案件在GDPR執行前曝光,否則Facebook已可能被歐盟國家相關部門重罰。事實上,在全球擁有接近24.5億名每月活躍用戶(截至2019年第三季)的Facebook,早在GDPR執行後,迅速把原本獲愛爾蘭國際總部管理、受愛爾蘭版服務條款限制(即受歐盟法律管轄)的18億非美加歐每月用戶,改為使用美國版服務條款,意味合共只有約3.9億的Facebook歐洲每月用戶受GDPR保障,明顯是為了減少GDPR的監管影響。
[adrotate group=”3″]
美國科網巨擘緊箍咒
GDPR獲不少大企業參考甚至跟隨,也成為在企業盡職審查(Due Diligence)和謹慎責任(Duty of Care)方面,個人資料保障和數碼安全的重要指標。知名醫療及旅遊安全服務公司國際SOS(International SOS)本身為企業管理層和外派員工提供醫療服務和安全顧問服務,因此掌握了企業及其員工的機密和個人資料。該公司的歐洲市場資料保護專員Katrin Murich指出,公司視GDPR為一大機會,檢討甚至改善內部資訊安全,把謹慎責任這個概念,自然延伸至包括個人私隱。她又稱,公司會把GDPR應用至全球客戶。
Katrin Murich承認公司增加了額外成本以實施GDPR,但認為長遠來說有助減低營運風險,增強客戶對公司有關個人資料保障的信心,從合規角度出發是重要的投資項目。
(原文刊於信報,作者郭耀斌)