非營利的英國隱私保護組織Privacy International(PI)上周投訴包括甲骨文(Oracle)在內的7家業者違反《歐盟通用資料保護規則》(EU General Data Protection Regulation,GDPR),並督促法國、英國及愛爾蘭的資料保護組織展開調查。

受到投訴的7家業者全都握有大量消費者資料,包括從事資料分析的甲骨文與Acxiom,提供廣告服務的Criteo、Quantcast、Tapad,以及信用報告業者Equifax與Experian。

PI認為,這些企業雖然都握有數百萬名消費者資料,但並非是家喻戶曉的品牌,因此極少受到挑戰。然而,根據業者所公開的行銷文件或隱私政策,它們在利用這些個人資料時並未取得使用者同意,也沒有處理這些個人機密資料的依據,還缺乏GDPR所明列的透明、合法、目的限制、數據最小化及準確性等要求。

換句話說,PI挑戰的是相關業者處理個人資料的深度,而且是GDPR對業者的基本要求。

PI指出,GDPR上線迄今已超過5個月了,該法令強化了個人保護自己資料的能力,對個人資料的處理有更嚴格的規定,理論上也提供更強大的執法權力,但GDPR真正的考驗就在於執行,例如這些握有大量用戶資料的企業即未曾被質疑。

GDPR祭出了高額罰金,讓不少企業情願選擇撤出歐盟市場也不願冒著觸法的風險,其最高罰款為2,000萬歐元(約7.2億元新台幣)或企業全球營收的4%,兩者取其高者。

儘管GDPR聽起來非常地嚇人,但迄今尚未有業者受到處罰,這可能是因為每一家企業都受到了有效的指導,而安全地在規定之內運作,不過也有人認為只是還沒有業者被逮到而已。


Advertisement

更多 iThome相關內容