就在5月25日這天,號稱歐洲最嚴格的個資保護規範GDPR,正式上路了。這個早在2年前就通過,現在終於實施的規範,看似用來規範歐盟各國,但凡是需要與歐洲做生意,手上需要經手歐盟各國民眾個資的企業,通通都需要遵守才行。

像台北101大樓早從去年3月就展開行動,由總經理帶頭,全公司動員起來盤點個資,導入新版的個資保護認證。而且不只今年,未來還要年年重新盤點個資兩次,為的就是深怕沒有做到GDPR規範的要求。

為何台北101要這麼大費周章?因為每年1千萬人次的國際觀光客中,不少是歐洲公民,101購物中心退稅櫃臺是最常經手大量歐洲旅客個資的窗口,甚至是一年一度吸引全球登高好手的台北101垂直馬拉松,或是租用大樓辦公樓層的外商公司為員工申辦門禁卡,都讓台北101接觸到歐盟公民的個人資料,如何讓這些歐盟公民個資的保護符合GDPR,就是台北101必須要面對的挑戰。

但能做到像台北101這樣的臺灣企業其實不多,甚至,根據Deloitte今年2月的一次全球性調查發現,就連歐洲企業能夠完全符合GDPR者,也只有15%。其餘不是還在進行中,就是挑重點先落實。即使公告後2年實施,歐盟各國也難以讓大多數企業做到符合GDPR的規範,更遑論全球各國的因應情況了。

不過,GDPR上路後對臺灣企業的第一個考驗,其實是個資跨境傳輸的議題。歐盟以正面表列的方式,列了一張允許GDPR跨境傳輸的國家清單,而臺灣不在其中。這意味著當臺灣企業要將歐洲分公司持有的大批顧客資料,從歐洲回傳到臺灣總部時,得費一番功夫,才不會違反GDPR規範,例如自行向歐盟申請可允許集團內跨境傳輸的BCR,或是得每一次傳輸資料時,由傳輸雙方簽訂歐盟認可的標準合約條款,相當麻煩。就算沒有發生個資外洩,光是這個跨境傳輸的個資保護作業,就增加了不少作業成本。這也是為何近來傳出多起網路業者退出歐洲市場的例子,如郵件訂閱管理平臺unroll或開源通訊軟體Monal。甚至共享租借平臺StreetLend,也因為GDPR法遵成本過高,索性直接關站,永久終止服務。而網際網路基礎服務WHOIS,也恐因GDPR而可能面臨下線的局面,ICANN董事會正忙著尋找解法來搶救。GDPR浪潮來了,但真正的大浪還在後頭,那些應該遵循卻又還沒符合規範的企業,莫不嚴陣以待。

但GDPR只是一種負擔嗎?只是徒增了大量法遵成本嗎?其實不然,相較來說,目前只有少數企業符合規範,做得好的人,自然容易與歐洲做生意,守規則也可以成為加分的資產。

不只如此,更重要的是,在GDPR規範中提出來的「資料可攜權」要求。業者必須允許用戶能帶走自己的資料,以便在不同服務中移動自己的個資。

這意味著,過去藏在業者層層防護的「用戶數據」資產,現在得開放出來,提供當事人帶走。不論是網路服務巨頭、金融、零售產業龍頭都得釋出用戶資料。

不論是新創或小公司,只要打動顧客,說服顧客授權,就能拿到他這輩子散布在各大公司手上的個人情報,成為自己的數據武器。這正是這一波GDPR大浪衝襲中,閃閃發光的珍珠。

作者簡介


Advertisement

更多 iThome相關內容