GDPR戰火延燒，英國隱私保護組織PI投訴甲骨文等7業者違反GDPR

非營利的英國隱私保護組織Privacy International（PI）上周投訴包括甲骨文（Oracle）在內的7家業者違反《歐盟通用資料保護規則》（EU General Data Protection Regulation，GDPR），並督促法國、英國及愛爾蘭的資料保護組織展開調查。

受到投訴的7家業者全都握有大量消費者資料，包括從事資料分析的甲骨文與Acxiom，提供廣告服務的Criteo、Quantcast、Tapad，以及信用報告業者Equifax與Experian。

PI認為，這些企業雖然都握有數百萬名消費者資料，但並非是家喻戶曉的品牌，因此極少受到挑戰。然而，根據業者所公開的行銷文件或隱私政策，它們在利用這些個人資料時並未取得使用者同意，也沒有處理這些個人機密資料的依據，還缺乏GDPR所明列的透明、合法、目的限制、數據最小化及準確性等要求。

換句話說，PI挑戰的是相關業者處理個人資料的深度，而且是GDPR對業者的基本要求。

PI指出，GDPR上線迄今已超過5個月了，該法令強化了個人保護自己資料的能力，對個人資料的處理有更嚴格的規定，理論上也提供更強大的執法權力，但GDPR真正的考驗就在於執行，例如這些握有大量用戶資料的企業即未曾被質疑。

GDPR祭出了高額罰金，讓不少企業情願選擇撤出歐盟市場也不願冒著觸法的風險，其最高罰款為2,000萬歐元（約7.2億元新台幣）或企業全球營收的4%，兩者取其高者。

儘管GDPR聽起來非常地嚇人，但迄今尚未有業者受到處罰，這可能是因為每一家企業都受到了有效的指導，而安全地在規定之內運作，不過也有人認為只是還沒有業者被逮到而已。