GDPR後七日:有人犯大錯,有人被告,有人行銷搶風頭

GDPR後七日:有人犯大錯,有人被告,有人行銷搶風頭
Photo Credit: Andrew Harnik / AP Photo / 達志影像
我們想讓你知道的是

歐盟複雜且嚴格的GDPR法案,將為全球企業帶來空前的使用者隱私保護危機,但GDPR只是隱私保護重要性在網路世界彰顯的第一步,更嚴格的規範還緊接在後頭。

唸給你聽
powered by Cyberon

文:TenMaxADTechLab

約莫前兩個禮拜開始,全球使用者的信箱開始湧入各個企業針對一般資料保護法(General Data Protection Regulation, GDPR)的私隱權宣告信件,此法案於5月25日正式上路,雖然保護對象限為歐盟公民,但在沒有地域限制的網路世界,任誰都有可能受到波及。上路才一週,Google與Facebook兩大科技巨擘立刻遭到控訴,而根據法國知名管理顧問公司Capgemini表示,僅有15%的企業準備好面對GDPR,換言之85%的企業都「剉地等」。

複雜且嚴格的GDPR法案,將為全球企業帶來空前的使用者私隱保護危機,但GDPR只是私隱保護重要性在網路世界彰顯的第一步,更嚴格的規範,或許還緊接在後頭?

Google與Facebook恐被罰40億歐元

GDPR上路的第一天,Google與Facebook就被奧地利的私隱權倡議組織「None of Your Business」控告。在四項控訴案中,該組織私隱權律師Max Schrems分別向法國私隱主管機關CNIL控告Google,向奧地利、德國漢堡及比利時主管機關針對Facebook、WhatsApp及Instagram三樣產品控告。其中代表用戶控告Google及Facebook強迫使用者簽署同意用戶資料被蒐集及處理的條款。

而違反GDPR的企業最高可被罰全球營收的4%,Google與Facebook分別被要求罰最高37億歐元及39億歐元。

另外廣告封鎖工具Ghostery在5月25日發給使用者一封名為「幸福GDPR日」的E-mail,卻誤使用了副本發送而非密件副本發送,導致數百位使用者的信箱資訊遭到公開,與該封E-mail傳遞的「Ghostery以最高標準保護使用者的私隱」核心理念背道而馳,該公司隔日於官網上發出道歉啟事,但這項重大疏失已經傳遍社群媒體,不少人還用「#Ghostery #GDPRfail」來標記,成了GDPR上路後第一個企業出包的例子 。

Spotify即時行銷搶盡風頭

GDPR法案上路當日,雖然管轄範圍為歐盟公民,但5月25日當日的Google搜尋排行,關鍵字「GDPR」在台灣地區即來到了第12名,國外知名媒體則戲稱GDPR在近期的討論度比國際巨星碧昂絲(Beyoncé)還高。可見GDPR雖然只是一條國際法案,但卻與全球使用者息息相關,受到高度關注

gdpr-search
TenMax提供
5月25日的Google Trend列表,GDPR名列第12名

數位音樂服務軟體Spotify則出現了一個名為「I Love GDPR」的歌單,巧妙地將個人私隱資料融入歌單中,歌曲如「What’s Your Name」(你的名字是什麼)、「What’s Your Number」(你的電話幾號)、「What Did You Do In Last Summer」(你去年夏天都做些什麼)等等皆是與個人私隱權有關的歌名,歌單一釋出馬上獲得廣大網友的迴響,紛紛轉貼至各大社群媒體上,為Spotify做足了免費的行銷宣傳。

GDPR只是私隱保護的前哨站?ePrivacy才是大戰開打?

歐盟頒布的GDPR法案在上路的前後一週引來了全球企業、使用者的關切,討論度來到最高,然而這可能不是歐盟針對私隱權保護政策的最終回。目前歐盟為《電子私隱條例》(Regulation on Privacy and Electronic Communications,簡稱ePrivacy)做準備,正在受歐盟理事會的評估。

而ePrivacy與GDPR最大的不同有三點︰

1. ePrivacy側重電子通訊的私隱權

GDPR的管轄範圍為公司行號儲存與使用個人資料,然而ePrivacy較注重電子通訊領域。

換句話說,只要該資料的私隱關聯含有較高的通訊意味,主管機關人員就會認定為其屬於ePrivacy範軸,這兩項屬於相輔相成的關係。根據該指令,電子私隱條例是對電子通訊行業最初實施「電子通訊行業私隱權保護指令」的進階版。該指令最初主要集中在電子郵件和簡訊上,但擬議的法規還將解決WhatsApp,Facebook Messenger和Skype等服務以及物聯網(IoT)設備中的資料私隱問題。此外,電子私隱條例還將保護與電子通訊相關的元數據

2. ePrivacy包含了非個人的資料

GDPR專注於保護個人資料,但ePrivacy法規更側重於通訊的保密性,該提案指出「該法規還可能包含與法人有關的非個人性資料」。

最初的電子私隱指令通常被稱為「cookie法」,因為它強制公司行號使用cookie追蹤網際網路使用者之前需要告知使用者並徵求其同意。然而該規定將增加明確性與易懂性於同意規則之中,以及其他用於防止不必要通信追蹤的工具。

3. ePrivacy與GDPR立法精神

GDPR和擬議的電子私隱條例都從相似角度反映了私隱權議題,但是它們是從不同的法律章程的觀點出發的。正如提案本身所指出,電子私隱條例的基礎是「歐盟運作條約」第16條和第114條。但是它也反映了「基本權利憲章」第7條的一部分:「人人有權尊重他或她的私人和家庭生活、家庭和通訊內容。」

另一方面,GDPR基於「歐洲人權憲章」第8條,其中規定:「人人有權尊重他的私人和家庭生活、他的家庭和他的通訊內容。」然而,對於電子私隱,該提案指出,「基本權利憲章」第7條的含義和範圍應與「歐洲人權憲章」第8條相同。

GDPR及接踵而至的ePrivacy法案將為整個網路環境帶來巨變,網站主和廣告主應該持續關注後續發展並調適因應的政策,平衡三方之間權益,創造三贏局面。

延伸閱讀

本文經TenMaxADTechLab授權刊登,原文發表於此

責任編輯:丁肇九
核稿編輯:翁世航