【撰文:陳君毅 】
《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)號稱史上最嚴格的個資法規範,違法者最高可被判罰2千萬歐元(約合7.2億元新台幣)或全球營業總額的4%,兩者取其高。正因罰款近乎天價,全球企業無不繃緊神經。
GDPR之所以成為全球企業共同關心的話題,除了影響範圍廣闊,只要蒐集、處理與利用歐盟公民個資的企業,不論是否設點於歐盟都受到規範之外,高額罰款更是最讓企業心驚膽顫的因素。
GDPR的罰款有多恐怖?根據規範分為兩種情境:若沒有合法理由,拒絕當事人刪除個資的請求、也沒有建立資料保護管理系統時,最高可罰3.6億元新台幣或全球年度營業總額2%作為罰款。更嚴重的違規,如非法處理個資、資料外洩沒有主動通報、沒有任命資料保護長、違法向第三國傳輸個資等,最高將處7.2億元新台幣或全球年度營業總額4%作為罰款。不論是定額的3.6億元、7.2億元或營業總額比例,都將取其高者作為處罰。
天價「付不起」,直接宣告關閉
在高額的罰款面前,企業無不繃緊神經深怕違法。 GDPR法案通過日期為2016年5月25日,不過新增的使用者識別資訊定義包含Cookie、IP位址以及GPS位置等,都被視為個資的一環,大大增加了企業應對的難度,因此特別延至2018年5月25才正式施行。
儘管有了兩年緩衝時間,許多大企業仍因應不及,如Pinterest旗下熱門的書籤服務Instapaper就在GDPR正式執行的前一天,才宣布暫停服務歐盟用戶。Pinterest的產品工程經理也親上前線回覆社群媒體,表示團隊正持續趕工,改善服務直到符合GDPR規範。寧願先關閉服務,也害怕踩到紅線,由此可見GDPR高額罰款的可怕之處。
就連大企業都會因應不及,更別說資源較少的新創公司,GDPR直接成為壓垮他們的最後一根稻草。
租借平台StreetLend便是一例。營運5年的StreetLend主要服務區域為倫敦,提供使用者將梯子、螺絲起子或電鑽等工具放上網讓其他人借用。在GDPR正式實施後,Streetlend的創辦人表示,由於無法負擔法律團隊的成本,再加上GDPR上看7.2億元新台幣的罰款,所帶來的風險高到難以承擔,只能以關閉收場。
其他案例如打造出《仙境傳說》的遊戲公司重力社也宣布封鎖歐盟玩家的IP;遊戲《超級周一格鬥之夜》因為需要重寫用戶的帳戶資料結構,在處理成本過高的情況下宣告關閉;開源即時通訊軟體Monal則因軟體開發與營運都只有一人,沒有多餘資源處理GDPR所需的更動,宣布停止對歐盟市場的服務。
儘管GDPR立意良善,但隨之而來的營運成本與無法負擔的高額罰款扼殺了許多歐盟新創企業的生存空間,也變相替付得起龐大法律團隊的企業如微軟、Google加深了護城河。更別說同時擁有雲端資料中心的他們,成為企業客戶們心中符合GDPR的首選,儼然是GDPR規則下的最大贏家。
我們尚看不出來GDPR史上最高的罰款是否矯枉過正,值得用歐盟新創公司的未來做交換,但創業家的感受將成為因GDPR死去企業的最佳墓誌銘,「GDPR的確會對新創企業造成傷害」,StreetLend創辦人在關閉的網站中這樣寫道。
這兩類企業,受GDPR重點管轄
為了避免受到GDPR懲罰,台灣企業比較關心的問題是「哪一種類型的企業會受到GDPR規範」?除了直接設點於歐盟、直接服務歐盟公民的企業之外,主要可分為以下兩類:
一、針對歐盟公民資料處理因而獲利的企業:包含提供服務收取訂閱費用或追蹤、建檔、分析使用者資料而獲利,都在GDPR的法律規範之中。除此之外,就算是接受其他企業的外包,「間接」處理到歐盟公民個資也必須符合規範。
二、歐盟公民的營收占比比例顯著:就算企業位於台灣,只要歐盟公民貢獻的營收占一定比例,就必須符合GDPR規範。
目前對於歐盟之外的企業如何落實處罰方法仍在密切討論中,就算如此,台灣業者也不該心存僥倖,只要爆發個資外洩或危害到歐盟公民個資的違法事實成立,最終處罰仍會到來。
