GDPR大浪中的珍珠

就在5月25日這天，號稱歐洲最嚴格的個資保護規範GDPR，正式上路了。這個早在2年前就通過，現在終於實施的規範，看似用來規範歐盟各國，但凡是需要與歐洲做生意，手上需要經手歐盟各國民眾個資的企業，通通都需要遵守才行。

像台北101大樓早從去年3月就展開行動，由總經理帶頭，全公司動員起來盤點個資，導入新版的個資保護認證。而且不只今年，未來還要年年重新盤點個資兩次，為的就是深怕沒有做到GDPR規範的要求。

為何台北101要這麼大費周章？因為每年1千萬人次的國際觀光客中，不少是歐洲公民，101購物中心退稅櫃臺是最常經手大量歐洲旅客個資的窗口，甚至是一年一度吸引全球登高好手的台北101垂直馬拉松，或是租用大樓辦公樓層的外商公司為員工申辦門禁卡，都讓台北101接觸到歐盟公民的個人資料，如何讓這些歐盟公民個資的保護符合GDPR，就是台北101必須要面對的挑戰。

但能做到像台北101這樣的臺灣企業其實不多，甚至，根據Deloitte今年2月的一次全球性調查發現，就連歐洲企業能夠完全符合GDPR者，也只有15％。其餘不是還在進行中，就是挑重點先落實。即使公告後2年實施，歐盟各國也難以讓大多數企業做到符合GDPR的規範，更遑論全球各國的因應情況了。

不過，GDPR上路後對臺灣企業的第一個考驗，其實是個資跨境傳輸的議題。歐盟以正面表列的方式，列了一張允許GDPR跨境傳輸的國家清單，而臺灣不在其中。這意味著當臺灣企業要將歐洲分公司持有的大批顧客資料，從歐洲回傳到臺灣總部時，得費一番功夫，才不會違反GDPR規範，例如自行向歐盟申請可允許集團內跨境傳輸的BCR，或是得每一次傳輸資料時，由傳輸雙方簽訂歐盟認可的標準合約條款，相當麻煩。就算沒有發生個資外洩，光是這個跨境傳輸的個資保護作業，就增加了不少作業成本。這也是為何近來傳出多起網路業者退出歐洲市場的例子，如郵件訂閱管理平臺unroll或開源通訊軟體Monal。甚至共享租借平臺StreetLend，也因為GDPR法遵成本過高，索性直接關站，永久終止服務。而網際網路基礎服務WHOIS，也恐因GDPR而可能面臨下線的局面，ICANN董事會正忙著尋找解法來搶救。GDPR浪潮來了，但真正的大浪還在後頭，那些應該遵循卻又還沒符合規範的企業，莫不嚴陣以待。

但GDPR只是一種負擔嗎？只是徒增了大量法遵成本嗎？其實不然，相較來說，目前只有少數企業符合規範，做得好的人，自然容易與歐洲做生意，守規則也可以成為加分的資產。

不只如此，更重要的是，在GDPR規範中提出來的「資料可攜權」要求。業者必須允許用戶能帶走自己的資料，以便在不同服務中移動自己的個資。

這意味著，過去藏在業者層層防護的「用戶數據」資產，現在得開放出來，提供當事人帶走。不論是網路服務巨頭、金融、零售產業龍頭都得釋出用戶資料。

不論是新創或小公司，只要打動顧客，說服顧客授權，就能拿到他這輩子散布在各大公司手上的個人情報，成為自己的數據武器。這正是這一波GDPR大浪衝襲中，閃閃發光的珍珠。