INSIGHTS世衡觀點

GDPR施行兩年周年回顧

GDPR概述

　　過去20年在數據隱私(data privacy)中，一項相當重要的改變就是2年前開始實施的歐洲隱私權法律----通用資料保護規則GDPR(General Data Protection Regulation)，自 2018 年 5 月 25 日起施行至今已滿2周年，此項立法堪稱史上最嚴格的個人資料保護法，用來保護歐盟會員國內人民的隱私，或許你會認為這項立法離我們很遙遠，但網路時代及國際間商業往來頻繁，我們也無法置身事外。像我們可能都有收到facebook或google或各種你已經下載過的APP，請我們重新簽屬一些隱私權條約，有的則是沒有同意授權個資便無法繼續使用某些進階功能，這些新的合約都是在因應這一個通用資料保護規則GDPR所生的相關措施，因為軟體使用者或多或少都包含了歐盟會員國人民。不只設置於歐盟會員國境內公司當然須遵守該項法規，非歐盟會員國境內的公司，不管你是法人或自然人、公司規模大小、擁有的歐洲民眾個資多寡，只要你的核心業務直接或間接和歐洲民眾個資的蒐集、處理和利用有關的話，都必須要從內部系統到資安政策及時調整，以便能夠符合GDPR對於個資保護的規範和要求。
　　因此，這一項立法如同蝴蝶效應般影響著我們，個人隱私權已成為一個各界都需要重視的議題，也是近年來，影響全球個人資料保護最大的法規。GDPR規範的細項很多，簡單整理成10點如下【註1】：
　　重點1 以資料為主體
　　重點2 企業必須設置資料保護長，且需負起法律責任
　　重點3 個資的蒐集、處理和利用，必須先徵求當事人的同意
　　重點4 強化個人資料可攜權權利
　　重點5 新增被遺忘權
　　重點6 外洩個資，必須在72小時內通報資料保護主管機關
　　重點7 個資保護系統預設要納入隱私保護
　　重點8 賦予當事人有權反對被自動化剖析(Profiling)權利
　　重點9 要求企業必須落實資料保護影響評估
　　重點10 提高罰則金額，甚至以全球營業額計算罰金金額
　　https://www.ithome.com.tw/news/116876

GDPR施行迄今2周年執法概況

　　在2018年5月底GDPR生效以來，迄今已滿兩年，接下來讓我們來統整一下執法至今之狀態。下方圖表為GDPR實施後至今兩年來之罰金與案件數趨勢圖【註2】。
（圖片來源取自CMS LAW：https://www.enforcementtracker.com/?insights統計至2018年6月至2020年6月）。　　
　　a) Course of overall sum of fines(cumulative):

　　b) Course of overall number of fines(cumulative):

　　從圖表中我們可以看到，歐洲數據保護監管機構自2018年6月以來GDPR罰款總額已累積約達4.69億歐元，且已罰款案件至今共約264件。再深入一點來看，從表a我們可以看到在2018年底2019年初之間罰款有一個大幅的提高，我們可以對應到當時是發生了法國監管機構CNIL對Google的裁罰，而2019年7月間也有相當大幅度向上的走勢，對應到當時發生的兩個重大裁罰案件分別為英航及萬豪國際酒店集團的駭客入侵個資洩漏案，接下來讓我們看看這三個遭高額罰鍰的案件案件：

一、Google個人化分析未獲得有效同意且個資運用之說明不易取得：
　　本事件最早起因於有民間團體抗議google運用用戶個資用作發送個人化廣告的行為欠缺有效的法律基礎，經過法國監管機構CNIL的調查google確實有兩項違規事實：
　　1. 欠缺透明度及資訊完整性: 其提供的資訊並不容易讓使用者取得及理解。關於用戶個資處理的說明資訊、用途、儲存期間，其規定散佈於其服務多項文件的各處，需一再點選按鍵及連結才能完全取得，往往需要得要5、6個步驟。
　　2.說明不清，恐非有效的同意：Google服務高達20項，處理的資訊量多又複雜，使其資料運作有如天羅地網，但Google對資料處理用途、類型說明皆過於簡略、模糊。對某些資料又沒有說明資料保存期間。由於說明不清，使用者也不了解「取得同意」乃是為了Google取得發送個人化廣告的法律依據。
　　Google因此遭裁處了5,000萬歐元（合台幣約16.74億）的罰鍰，在宣判裁判結果後，Google隨即提出上訴，而有關案件也在上個月中（2020年6月19日）被法國最高行政法院駁回。法國最高行政法院指Google在進行資料蒐集及使用目的的說明上缺乏充分說明，最終在考慮後駁回其上訴，維持原判的罰款 5,000萬歐元。而Google也回覆，將會自這次事件後投放更多資源，以幫助用戶理解其個人資料被公司如何使用，承諾將會在聽取裁決後重新檢視可做出的改善之處，避免相關事件再次發生【註3、註4】。

二、英國ICO對於英國航空(British Airways)網站和行動app遭駭客入侵致乘客信用卡卡號及背面驗證碼等極重要個資外洩：
　　英國航空2018年9月發生網站和行動app遭駭客入侵，導致大批旅客信用卡及個資外洩。英航因網站和行動app遭駭，導致透過ba.com網站連上公司系統的用戶都被導向假網站，並遭攻擊者取得用戶資訊，估計將近50萬名用戶受害。主管機關英國資訊專員辦公室(Information Commissioner's Office，ICO)調查後認為，這起事件出於英航的安全管理不佳，致使多種資訊包括信用卡、旅行訂位代號及個人姓名、住家地址等個人資料外洩，影響人數將近38萬名旅客，但外洩資訊並不包含護照及旅遊資訊。
　　2019年7月，根據GDPR的罰則，英國ICO以英航2018年全年營收的1.5%計算，判處1.83億英鎊（合台幣約64億元）也成了GDPR上路以來ICO祭出最嚴厲的處分【註5】。

三、美國萬豪酒店(US hotel chain Marriott )個資遭害致住客資料外洩：
　　本起事件的為喜達屋飯店集團(Starwood)2014年即已被駭，而後該集團於2016年被萬豪國際收購，然直到2018年11月萬豪集團發現並主動通報英國資訊專員辦公室(Information Commissioner's Office，ICO)個資外洩之事實。萬豪國際公佈旗下連鎖之一的喜達屋(Starwood)客戶訂房資料庫遭入侵，波及W Hotels、喜來登、威斯汀、艾美等知名飯店的住客資料，全球近3.4億名住客資料外洩，其中包括31個歐洲經濟區國家的3千萬居民以及7百萬英國居民。ICO認為萬豪在收購喜達屋前並未做充份的盡職調查，以致未能投入更多以確保系統安全。故ICO於2019年7月裁罰萬豪集團9900萬英鎊（合台幣約38.4億）罰款【註6】。
　　另外，談到GDPR不免會討論到Facebook的劍橋分析案，他雖是成案在GDPR規則頒布以前，但卻是有關個人隱私最大宗且最著名的案件。故我們在此也稍作回顧。

四、臉書劍橋分析案：
　　2014年起，劍橋大學心理學家  Aleksandr Kogan 設計了心理測驗程式「This Is Your Digital Life」，並藉由臉書當時授權政策的不完善，不當收集了許多臉書上受測者的個資，劍橋分析公司隨後從寇根處獲得了這批資料。2015年，臉書發現劍橋分析公司不當使用用戶個資一事，雖有要求對方刪除數據，但卻未積極追蹤、確認後續處理，也未曾告知受害者遭侵權一事。
　　2016年，這批資訊被劍橋分析公司用在美國大選，在競選期間對選民具目的性地投放政治廣告，企圖影響競選；2018年3月新聞曝光，美國麻州檢察長當月便宣布對臉書及劍橋分析公司展開調查，臉書市值一度蒸發數百億美元，同時迎來一連串法律訴訟，面對成立以來最大危機。
　　同年10月，英國資訊專員辦公室(Information Commissioner's Office，ICO)依此對臉書處以50萬英鎊（合約1900萬元新台幣）罰款，美國聯邦貿易委員會(Federal Trade Commission，FTC)則對此祭出50億美元（合台幣約1500億元）罰款。
　　綜上，可以看到GDPR法規頒布後，企業對於隱私權的保護責任大幅度的加重，即使是遭駭客入侵或雖有隱私權處理利用的說明但不夠清楚……等等，若公司隱私權相關措施做得不夠，仍須負擔相當重的責任，因此，各界無不嚴陣以待，完備內部法規，以符合GDPR的規定【註7】。

GDPR各國因應狀況

　　由於本次GDPR亦規定對第三國個資保護水平是否達到GDPR標準的適足性認定制度，取得此一認定資格的國家，即可自由與歐盟間進行個資跨境傳輸。
　　有鑒於此，全球各個商業機構及國家對於隱私權的輪廓及觀念正因應著GDPR在改變著，這一項立法劃時代地引領著一個截然不同的潮流，讓全球經濟至上的資本主義社會首度破例的將「個人隱私」這件事放在商業考量時較中心的位置。現階段已有超過100個國家制定了各自的隱私權法規，且其中有某些歐盟以外的國家已明確表示將GDPR隱私權法規作為國內、地區內個資相關法規之立法基礎模型，例如:阿根廷、巴西、智力、日本、肯尼亞、韓國及加州等國家及地區【註8】。
　　我國為取得歐盟《一般資料保護規則》(GDPR)適足性認定，國發會已在去年底宣布，2020年將進行個資法修法，並成立獨立的個人資料保護專責機關。2020年可望是針對《個人資料保護法》進行大幅調整的一年。
　　GDPR實施滿兩年，於疫情期間正是我們充實企業內部實力的時刻，充實企業內部隱私權政策，在疫情過後將能抓住商機，一展長才。

新聞網站連結
註1. 快速入門，專家解讀GDPR十大重點
https://www.ithome.com.tw/news/116876

註2. GDPR Enforcement Tracker（統計至2018年6月至2020年6月）
https://www.enforcementtracker.com/?

註3. 違反GDPR重罰首例，Google遭法國重罰5千萬歐元
https://www.ithome.com.tw/news/128391

註4. Google上訴申請遭法國法院駁回，違反隱私條例維持5,000萬歐元罰款
https://technews.tw/2020/06/23/google-appeal-for-gdpr-violation-is-rejected-still-fined-50-million-euros/

註5. GDPR上路後最嚴厲處分！英航遭重罰年營收1.5％高達1.8億英鎊https://www.ithome.com.tw/news/131739

註6. 英國GDPR重罰再出手，萬豪國際因資料外洩遭罰9900萬英鎊
https://www.ithome.com.tw/news/131759

註7. 8700萬個資外洩醜聞再延燒　澳洲政府狀告臉書侵犯公民隱私
https://news.ltn.com.tw/news/world/breakingnews/3094424

註8. Two years later, has GDPR fulfilled its promise?
https://www.welivesecurity.com/2020/05/25/two-years-later-has-gdpr-fulfilled-its-promise/