GDPR後七日:有人出包,有人被告,有人跟風大賺一筆

GDPR後七日:有人出包,有人被告,有人跟風大賺一筆
Photo Credit: ALEX BRANDON/UPI / Newscom / 達志影像
我們想讓你知道的是

複雜且嚴格的GDPR法案,將為全球企業帶來空前的使用者隱私保護危機,但GDPR只是隱私保護重要性在網路世界彰顯的第一步,更嚴格的規範還緊接在後頭。

唸給你聽
powered by Cyberon

文:TenMaxADTechLab

約莫前兩個禮拜開始,全球使用者的信箱開始湧入各個企業針對一般資料保護法(General Data Protection Regulation, GDPR)的隱私權宣告信件,此法案於5月25日正式上路,雖然保護對象限為歐盟公民,但在沒有地域限制的網路世界,任誰都有可能受到波及。上路才一週,Google與Facebook兩大科技巨擘立刻遭到控訴,而根據法國知名管理顧問公司Capgemini表示,僅有15%的企業準備好面對GDPR,換言之85%的企業都「剉地等」。

複雜且嚴格的GDPR法案,將為全球企業帶來空前的使用者隱私保護危機,但GDPR只是隱私保護重要性在網路世界彰顯的第一步,更嚴格的規範,或許還緊接在後頭?

新法案才上路就被告!Google與Facebook兩大巨擘恐被罰40億

GDPR上路的第一天,Google與Facebook就被奧地利的隱私權倡議組織「None of Your Business」控告。在四項控訴案中,該組織隱私權律師Max Schrems分別向法國隱私主管機關CNIL控告Google,向奧地利、德國漢堡及比利時主管機關針對Facebook、WhatsApp及Instagram三樣產品控告。其中代表用戶控告Google及Facebook強迫使用者簽署同意用戶資料被蒐集及處理的條款。

而違反GDPR的企業最高可被罰全球營收的4%,Google與Facebook分別被要求罰最高37億歐元(約1290億台幣)、及39億歐元(約1360億台幣)。

另外廣告封鎖工具Ghostery在5月25日發給使用者一封名為「幸福GDPR日」的E-mail,卻誤使用了副本發送而非密件副本發送,導致數百位使用者的信箱資訊遭到公開,與該封E-mail傳遞的「Ghostery以最高標準保護使用者的隱私」核心理念背道而馳,該公司隔日於官網上發出道歉啟事,但這項重大疏失已經傳遍社群媒體,不少人還用「#Ghostery #GDPRfail」來標記,成了GDPR上路後第一個企業出包的例子 。

歐盟個資法GDPR來了!網站主該如何因應?

GDPR搜尋排行竄升到第12名 Spotify即時行銷風頭搶盡

GDPR法案上路當日,雖然管轄範圍為歐盟公民,但5月25日當日的Google搜尋排行,關鍵字「GDPR」在台灣地區即來到了第12名,國外知名媒體則戲稱GDPR在近期的討論度比國際巨星碧昂絲(Beyoncé)還高。可見GDPR雖然只是一條國際法案,但卻與全球使用者息息相關,受到高度關注

gdpr-search
TenMax提供
5月25日的Google Trend列表,GDPR名列第12名

數位音樂服務軟體Spotify則出現了一個名為「I Love GDPR」的歌單,巧妙地將個人隱私資料融入歌單中,歌曲如「What’s Your Name」(你的名字是什麼)、「What’s Your Number」(你的電話幾號)、「What Did You Do In Last Summer」(你去年夏天都做些什麼)等等皆是與個人隱私權有關的歌名,歌單一釋出馬上獲得廣大網友的迴響,紛紛轉貼至各大社群媒體上,為Spotify做足了免費的行銷宣傳。

GDPR只是隱私保護的前哨站?ePrivacy才是大戰開打?

歐盟頒布的GDPR法案在上路的前後一週引來了全球企業、使用者的關切,討論度來到最高,然而這可能不是歐盟針對隱私權保護政策的最終回。目前歐盟為《電子隱私條例》(Regulation on Privacy and Electronic Communications,簡稱ePrivacy)做準備,正在受歐盟理事會的評估。

而ePrivacy與GDPR最大的不同有三點:

1. ePrivacy側重電子通訊的隱私權

GDPR的管轄範圍為公司行號儲存與使用個人資料,然而ePrivacy較注重電子通訊領域。

換句話說,只要該資料的隱私關聯含有較高的通訊意味,主管機關人員就會認定為其屬於ePrivacy範軸,這兩項屬於相輔相成的關係。根據該指令,電子隱私條例是對電子通訊行業最初實施「電子通訊行業隱私權保護指令」的進階版。該指令最初主要集中在電子郵件和簡訊上,但擬議的法規還將解決WhatsApp,Facebook Messenger和Skype等服務以及物聯網(IoT)設備中的資料隱私問題。此外,電子隱私條例還將保護與電子通訊相關的元數據

2. ePrivacy包含了非個人的資料

GDPR專注於保護個人資料,但ePrivacy法規更側重於通訊的保密性,該提案指出「該法規還可能包含與法人有關的非個人性資料」。

最初的電子隱私指令通常被稱為「cookie法」,因為它強制公司行號使用cookie追蹤網際網路使用者之前需要告知使用者並徵求其同意。然而該規定將增加明確性與易懂性於同意規則之中,以及其他用於防止不必要通信追蹤的工具。

3. ePrivacy與GDPR立法精神

GDPR和擬議的電子隱私條例都從相似角度反映了隱私權議題,但是它們是從不同的法律章程的觀點出發的。正如提案本身所指出,電子隱私條例的基礎是「歐盟運作條約」第16條和第114條。但是它也反映了「基本權利憲章」第7條的一部分:「人人有權尊重他或她的私人和家庭生活、家庭和通訊內容。」

另一方面,GDPR基於「歐洲人權憲章」第8條,其中規定:「人人有權尊重他的私人和家庭生活、他的家庭和他的通訊內容。」然而,對於電子隱私,該提案指出,「基本權利憲章」第7條的含義和範圍應與「歐洲人權憲章」第8條相同。

GDPR及接踵而至的ePrivacy法案將為整個網路環境帶來巨變,網站主和廣告主應該持續關注後續發展並調適因應的政策,平衡三方之間權益,創造三贏局面。

延伸閱讀

本文經TenMaxADTechLab授權刊登,原文發表於此

責任編輯:丁肇九
核稿編輯:翁世航