如果有使用Google、Airbnb、Skyscanner這類跨國網路服務的讀者,近來應該都陸陸續續在信箱中,收到更新版的隱私條款聲明,這一切都跟5月25日正式上路,號稱「史上最嚴格個資法」的一般資料保護規定(General Data Protection Regulation,簡稱GDPR)有關。
雖說這項規範主要鎖定在歐盟,但正因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言,「沒有人是局外人」或許更適合用來形容法規上路後的衝擊,而究竟GDPR是什麼?怎麼樣會踩到紅線?這是你我都應該關心的議題。
「被遺忘權」為基礎,GDPR牽動全球企業
重視人權的歐盟,在1995年制定了個人資料保護指令(Data Protection Directive),但23年前網路服務並不普及,為了符合現代時空環境,2016年通過「一般資料保護規則」(General Data Protection Regulation, GDPR)取代了先前的法規,並在實際執行前,給了歐盟兩年的緩衝期,訂在2018年5月25日正式執行。
一晃眼兩年過去了,今天開始歐盟公民將享有個人資料從網路上全面消失的的權利。
根據GDRP官網描述,這條法規是「保護以及加強歐盟成員國人民的資料隱私,以及重塑整個地區內的組織處理資料隱私的方法。」雖是這麼說,但正因為網路無遠弗屆的特性,讓資料本身根本沒有地域性可言。
這項法規的基礎,是「被遺忘權(right to be forgotten)」,是一種在歐盟已經付諸實踐的人權概念,可以要求控制資料的一方,刪除所有個人資料的任何連結(link)、副本(copies)或複製品(replication);還有「資料可攜權(Right to data portability)」,意思是用戶可以將A服務的資料,轉移到B服務上,這也就是為什麼Instagram最近推出資料打包備份功能、蘋果推出管理個資工具。
而為什麼前面會說GDPR會「沒有人是局外人」,因為不論你是巷口小吃店或是跨國企業,只要接觸到歐盟公民並擁有他們的個資,那麼就適用於GDPR規範,影響的範圍包括:
客戶中有歐盟公民: 像是餐廳、旅館、旅行社、計程車、電商等,只要握有歐盟公民顧客的個資、信用卡資料都算。
雇用歐盟員工、歐盟供應商: 無論是正職員工、兼職員工、供應商、合作廠商,只要握有他們保險資料、薪資紀錄、聯絡資訊等都算。
非營利組織與政府機構 :不是只有企業,非營利組織與政府機構也適用 GDPR,如果志工、會員、贊助者、捐款人、顧問是歐盟公民,所掌握的聯絡資訊、稅捐資料等,都受 GDPR 規範。