全球搜尋引擎龍頭Google日前遭法國資料保護署以違反歐盟線上隱私法令為由,
台中南區老人安養中心
,重罰5,
四物
,000萬歐元(約新台幣17.6億元),
退休保險規劃
,這是歐盟通用資料保護法規(GDPR)上路以來開出的最高金額罰款,
台中市護理之家
,也是歐盟新隱私法規自2018年5月生效以來,
電動車電池
,首度對美國科技巨擘開罰大筆罰金。法國開罰理由是,
台中安養院
,Google告知用戶如何使用個資方式缺乏透明度,
黑糖餅
,用戶無法充分了解Google如何使用個資,
台中黑糖家
,剝奪用戶控管個資的能力,且Google推播的個人化廣告,也未適當的獲得用戶同意。一般認為,法國的決定將迫使Google重新思考如何徵求用戶同意,為旗下歐洲數10億美元廣告事業蒐集個資。這項裁決將加深其他科技業者、資料經紀商、信用參考機構,及廣告集團可能遭投訴的憂慮。 在判決二天後,Google透過媒體聲明不服,表示該公司根據法規及使用者經驗測試,努力製作了盡可能透明而簡潔易懂且法規同意的流程以便發送個人化廣告。Google同時表示擔心這項判決對歐洲及其他地區出版商、原創內容製作商及科技業者造成影響。基於上述理由,Google決定上訴。Google的擔心並非空穴來風,目前Facebook的案件也正在調查中。而包括Amazon、Apple、Netflix、Youtube等八家串流媒體服務業者也被控告在不同程度上違反了歐盟關於使用者資訊存取權利的法規。事實上Google的被罰並非特例,去年底德國一家聊天平台遭入侵,駭客盜走並公布187萬名用戶的電子郵件帳號、用戶姓名與居住地等資訊,加之網站竟以明文存放用戶密碼,而被裁罰2萬歐元;葡萄牙一家醫院的工作人員使用虛假帳戶訪問患者記錄,被罰款40萬歐元;奧地利的一家當地企業因拍攝公共空間的安全監控攝影機而被罰款。這些案例顯示GDPR並非聊備一格的政策宣示,而是已開始嚴格執行的法規。以台灣廠商而言,受到GDPR最直接影響的包含航空海運貨運承攬業、高科技製造業和金融業,以及有設立歐盟分支機構的企業。此外,凡是網站或提供的服務會提供歐盟民眾瀏覽使用,或者是會蒐集、處理和利用歐盟公民資料的企業或組織,不論是否有在歐盟設立公司,均需遵循,以確保歐盟民眾個資不會遭到濫用或外洩。由於違反GDPR最高可裁處2,000萬歐元或該年度全球營業額4%的罰鍰,只要與歐盟企業或民眾有業務相關的企業,恐怕都需嚴肅對待。以下是幾點建議:首先,企業須自我評估企業內部個資處理的風險程度,不僅從資安角度切入,而是應從業務流程全面檢視,確認各個環節中,與歐盟民眾個資互動情況,據此調整因應,包括企業營運流程及資訊系統的改善。其次,GDPR立法精神在於轉變過去將蒐集來的個人資料視為企業所屬資產,回歸為這些資料僅是為用戶暫時管理;亦即企業僅是託管而非擁有。因此需強化組織內控系統的分權原則與最小使用權限,而且應善盡個資當事人權益的保護,例如使用當事人易於理解的告知方式,以及尊重當事人行使個資可攜權等法定權利。最後,雖說GDPR為歐盟所制訂的法規,但對全球各國相關法令皆產生影響。在可見的未來,在歐盟示範下,對於民眾隱私保護的嚴格立法現象將是可預期的。我國個人資料保護法之內容與含括範圍不及GDPR廣泛與明確,因此對台灣企業而言容易發生即便符合國內個資法之規範,但未必符合GDPR。在現今無國界網路時代中,難以保證企業得以完全免除在GDPR規範外。因此我們建議審視我個資法內容,評估是否有需因應調整之處,以免廠商於國際市場中誤觸受罰;同時企業也可藉此調整導入一套符合個資保護國際趨勢的系統和制度,為將來的全球化打下基礎。,