Google違反GDPR遭罰 反思企業個資作為/詹文男

作者:詹文男/資策會產業情報研究所(MIC)所長

全球搜尋引擎龍頭Google 2019年一月遭法國資料保護署(CNIL)以違反歐盟線上隱私法令為由,重罰5,000萬歐元,這是歐盟通用資料保護法規(GDPR)上路以來開出的最高金額罰款,也是歐盟新隱私法規自2018年五月生效以來,首度對美國科技巨擘開罰大筆罰金。
資策會產業情報研究所(MIC)所長
資策會產業情報研究所(MIC)所長

CNIL表示,開罰理由是Google告知用戶如何使用個資方式缺乏透明度,用戶無法充分了解Google如何使用個資,剝奪用戶控管個資的能力,且Google推播的個人化廣告,也未適當的獲得用戶同意。

一般認為,CNIL的決定將迫使Google重新思考如何徵求用戶同意,為旗下歐洲數十億美元廣告事業蒐集個資。這項裁決也將加深其他科技業者、資料經紀商、信用參考機構,以及廣告集團可能遭投訴的憂慮。

事實上Google被罰並非特例,去年底德國一家聊天平台遭入侵,駭客盜走並公布187萬名用戶個人檔案中的電子郵件帳號、用戶姓名與居住地等資訊,加之網站竟以明文存放用戶密碼,而被裁罰2萬歐元;葡萄牙一家醫院的工作人員使用虛假帳戶訪問患者記錄,被罰款40萬歐元;奧地利的一家當地企業因拍攝公共空間的安全監控攝影機而被罰款。這些案例顯示GDPR並非聊備一格的政策宣示,而是已開始嚴格執行的法規。

以臺灣廠商而言,受到GDPR最直接影響的包含航空海運貨運承攬業、高科技製造業和金融業,以及有設立歐盟分支機構之企業等。此外,凡是網站或提供的服務會提供歐盟民眾瀏覽使用,或者是會蒐集、處理和利用歐盟公民資料的企業或組織,不論是否座落在歐盟境內,或者是否有在歐盟設立公司,仍需遵循GDPR,以確保歐盟民眾個資不會遭到濫用或外洩。由於違反GDPR最高可裁處2,000萬歐元或該年度全球營業額4%的罰鍰,只要與歐盟企業或民眾有業務相關的企業,恐怕都需嚴肅對待。以下是幾點建議:

首先,企業須自我評估企業內部個資處理的風險程度,從業務流程全面檢視,確認各個環節中,與歐盟民眾個資互動情況,據此調整因應作為,包括企業營運流程及資訊系統的改善。

其次,GDPR立法精神在於轉變過去將蒐集來的個人資料視為企業所屬資產,回歸為這些資料僅是為用戶暫時管理。亦即企業僅是託管,非擁有。因此需強化組織內控系統的分權原則與最小使用權限。而且應善盡個資當事人權益的保護,例如使用當事人易於理解的告知方式,以及尊重當事人行使個資可攜權等等法定權利。

最後,雖說GDPR為歐盟所制訂的法規,但對全球各國相關法令皆產生影響。在可見的未來,在GDPR示範下,對於民眾隱私保護的嚴格立法現象將是可預期的。我國個人資料保護法的內容與含括範圍不及GDPR廣泛與明確,因此對台灣企業而言,容易發生即便符合國內個資法之規範,但卻未必符合GDPR。在現今無國界網路時代中,難以保證企業得以完全免除在GDPR規範外。因此建議審視我個資法內容,評估是否有需因應調整之處,以免廠商於國際市場中誤觸受罰;同時企業也可藉此調整導入一套符合個資保護國際趨勢的系統和制度,為將來的全球化打下基礎!






 (本文內容為作者個人觀點,不代表本部立場)
分享至 Google Plus 友善列印
    Google 回應(0)
    Facebook 回應()

張貼留言