本文刊登於經貿透視544期,2020年6月
三、GDPR連歐盟的企業都很難完全遵守
依據DLA Piper 於2020年1月所發布有關GDPR資料違反的調查報告(DLA Piper GDPR data breach survey: January 2020)[1]。2018年平均每日個資事件的通報為257件,2019年為278件,每年數以萬計的個資事件的通報,充分證明個人資料保護仍然處於非常危險的狀況,而持續成長的數字也說明GDPR法規遵循的成本非常高,即令GDPR在施行前已給予二年的緩衝期,正式施行後二年仍有許多歐盟地區的企業未能完成內部有關GDPR法規遵循的調整,更不用說有部分企業甚至直接以停止歐盟區域業務作為因應手段。歐盟資料保護委員會(European Data Protection Board)於2020年2月發布的諮詢報告中亦提及中小企業從事GDPR法規遵循確實是應注意的挑戰。
至於企業最擔心違反GDPR的高額罰鍰,歐盟施行GDPR二年來總罰鍰金額達1.14億歐元(確定的案件),處罰金額並不高,顯見初期歐盟各國仍以輔導相關機關、企業完善個人資料的法規遵循為主。高額罰鍰的案件,除先前法國資料主管機關CNIL於2019年1月21日以Google對消費者發送個人化廣告資訊透明度不足罰款5千萬歐元的案件引人注目外,2019年7月英國針對英國航空及萬豪飯店,分別針對50萬名旅客信用卡及5億客戶個資外洩事件,重罰1.83億英鎊和9,900萬英鎊(尚未確定),也令企業感受到GDPR所帶來的壓力。隨著GDPR施行屆滿二年,相信歐盟各國也已累積足夠的查處的經驗,未來恐怕將不會以幾十萬歐元的裁罰作為常態,高額處罰的威力將逐步顯現。台灣企業若有涉及歐盟區域業務者,盤點企業所有與歐盟經濟區有關的個資活動,針對GDPR採取法規遵循的必要措施,絕對必須列在優先辦理的事項。
四、個人資料洩漏的事件未見減少
然而,無可否認地,個資的世界並沒有因GDPR變得美好。GDPR可說是標準「防君子不防小人」的立法,對於正規經營的企業,當然會如預期投入適當的成本遵循法規,但對於惡意的個資犯罪者而言,GDPR雖然可能提高整體社會對於個資安全維護的水準,但相較於科技的發展則顯然遠遠不足,一個小的或新的資安缺口,即可能造成大規模的個資洩漏,甚至因為大筆個資合法取得的時間、費用成本大幅提高,反而導致個資的黑市日益猖厥的問題,也有資安的業者認為GDPR使合法的資安業者綁手綁腳,反而使資安業者與駭客間武器不平等,更難有效防堵惡意的個資犯罪。
2018年7月,新加坡保健服務集團遭到駭客攻擊,150萬病患的個資外洩,影響人數逾新加坡人口四分之一,包括新加坡總理李顯龍及多明政要逾三年的就醫紀錄,2019年8月底新加坡個人數據保護委員會發布聲明,除非法律要求,自同年9月1日起企業實質上持有、蒐集個人身分證資料是違法行為;韓國個資外洩的情形甚至嚴重到政府允許國民更改身分證字號;而日前傳出在暗網上高達3.5GB、逾2000萬筆台灣民眾身分證、生日、地址等個資,也引發政府機關及民眾的高度關注。如何與個資犯罪共處,除自我保護、減少對外提供個資之外,GDPR要求透過獨立的政府機關來督促所有的政府機關、企業,防堵大量個資的外流或濫用絕對有其必要,也期待台灣個人資料保護的專責機關能儘速設立。
五、結語
GDPR施行二週年,對於涉及歐盟區域業務的企業而言,應該是心驚膽憻的過程,因為GDPR抽象、不確定性的法條文字,即令是大企業都不敢有絕對的信心認為自己已經完全遵循GDPR。更不用說GDPR的遵循是一個只要企業有蒐集、利用個資的需求,就必須長期、隨時檢視,而不是一次性的投入評估就可以解決的議題。然而,隨著GDPR各項指引、案例的發布,未來幾年內應該可預期將朝向歐盟執委會所設定「明確」、「可操作」的法規環境邁進,緊接而來的議題應該是在全球個資保護的立法浪潮之下,跨國的產品或服務的提供,如何在複數法規適用下尋求可行之道,並透過個資法規的遵循爭取消費者對企業、品牌的信心,這也是在全球疫情稍減之時,企業必備的功課之一。
[1] 全文可於下述網址取得:https://www.privacyitalia.eu/wp-content/uploads/2020/01/DLA-Piper_Data-Breach-Report-2020.pdf, 2020/6/1 visited.