GDPR:瀏覽客戶資料的複雜性

Marcy Darsey,公司法律顧問,Lifesize
日期:2018 年 2 月 15 日

大家好,歡迎繼續收看 Lifesize Live! 網路直播節目,這個節目完全是在 Lifesize 平台上面製作。

我是主持人 Julian Fields,今天我們邀請了 Lifesize 的法律顧問 Marcy Darsey 一同來到節目當中。我們今天要談的是 GDPR。

是的。這是最近所有人最喜歡的主題。

是的,我們都知道什麼是 GDPR。也因此,我們可以假設所有人都知道什麼是 GDPR,但是你可以告訴我們一些關於它的背景嗎?比如說這個規範的意義,以及它的主張等等。

好的 Julian,首先,感謝你邀請我來參加 Lifesize Live! 的節目。很高興看到這個直播室,並且參與在 Lifesize 製作的網路廣播中。在我們開始之前,或者在深入談到 GDPR 之前,因為我是律師,我想先提出免責聲明,也就是在接下來的 10 分鐘之內,我所說的所有一切都不構成法律諮詢。

好的。

如果有人真的對這個主題有興趣,或者對 GDPR 或任何規範或法律有特別的問題,他們應該向合格的法律顧問諮詢。現在回到你的問題。什麼是 GDPR,它的主張是什麼?GDPR 是指通用資料保護規範,它是歐盟委員會最近通過的新法規。這個法規與歐盟全體居民的資料安全和隱私有關。

好。我知道,在進行行銷活動時,總是有些資訊不能傳送給未選擇要接收的人。

沒錯。其實歐盟早已設置資料安全和隱私法,事實上超過 20 年。但 GDPR 是這兩年才制訂的。我們已處於實施階段,而 5 月 25 日,監管機關將正式執行此法律。他們將開始回應不合規的問題,若發現任何公司未遵守 GDPR,將處以罰金。而且罰金相當重。

你是說這個懲罰並不輕。

是的,不是輕微的處罰。罰金最高可達 2000 萬歐元,這不是開玩笑的。

來換算一下看看,超過 2000 萬美元。

這是一筆鉅額。公司最高將處以 2000 萬美元或全球年營業額的 4% 作為罰金,這裡指的是全球營運營收,不只是歐洲地區的營收。

所以公司規模越大,罰金越重。

沒錯,罰金非常重,處以重罰的原因是歐盟認為任何人都應該保有隱私的基本權利。你想想看我們現今居住的世界,擁有過去數十年出現的所有先進科技,人們在許多平台上留下自己身分和個人資料,而許多企業也透過收集個人資料而獲益。

沒錯,我擁有的每個應用程式上似乎都留有我的姓名、某些密碼元素、電話號碼、地址等等這類資訊。

沒錯。想一想與你在網路上互動的這些公司,他們擁有多少你的個人資訊。

除了信用卡之外,還有我這個人的真實詳細資料。

是的,你的身分、個人資料、你是誰、你的姓名,這些都是隱私資訊。如果你和某家公司分享隱私資訊,該公司有義務明確告知他們收集資料的方式,以及他們使用資料的方式,同時他們也有義務採取適當的技術和操作保護措施,確保你的個人資料安全,不遭竊取。如果公司未遵守這些法規,將處以重罰。因為歐盟政府希望確保公司能夠確實善盡義務。

瞭解了。GDPR 的主要元素有哪些?

如果你列印英文版的 GDPR,共有 88 頁。這是一部很冗長的法律,涵蓋許多主題。GDPR 中總共有 99 個不同章節。

太棒了,因為今天距離法律執行那天還有 99 天。我們可以做到一天讀一章。

每個人都可以。所以 99 是今天的魔術數字,因為我們距離 GDPR 法律生效日還有 99 天。這個法律涵蓋許多層面,但其中一個重要的主題就是我剛說到的:透明化。因此,個人有權利知道自己的哪些資料被收集、哪些公司使用我的資料、這些公司是否將資料傳遞給其他第三方廠商或處理方。透明化也包含知道您的資料的儲存方式和儲存位置。

類似你在網站上看到彈出視窗顯示,「此網站收集 Cookie」 或這類訊息。

對,也有可能是橫幅 — 這是其中一種對客戶透明的方式。適時揭露在你的隱私政策或你的隱私通知中這點非常重要。大多數的企業正在為客戶更新其隱私通知,以符合這些透明化義務的要求。GDPR 的其他一個原則就是歸責,這點也相當重要。歸責的意思就是企業必須能向客戶證明,他們確實有遵守法規,而為了證明其合法性,企業必須保存政策與程序記錄。他们也必須記錄下資料處理活動。企業必須針對其進行的活動製作紙本記錄。

所以單單口頭說:「是的,我有遵守 GDPR」這還不夠。

說:「相信我說的,我們有遵守」,這還不夠。你必須製作記錄文件,證明你確實有遵守法規。GDPR 的第三個主要原則就是所謂的從設計著手保護隱私,這表示當公司開發產品的過程涉及收集或處理或儲存個人資料時,

就像我剛說到的應用程式。

對,沒錯。如果你是一間公司,而且你的公司所開發的應用程式會收集個人資料,你必須在設計階段就採用能保護隱私的方法來開發產品。

所以,不是事後補救。

沒錯,這表示你將為你的解決方案或服務開發出一個架構,然後在每個開發階段都將隱私與安全性納入考量。你在著手開發時,一開始即要將隱私納入考量,並思考如何在產品架構中納入隱私保護措施。並不是在最後才採取補救措施。就像你說的。

「我們會在最後進行加密」—不應該這麼做。

這樣並不理想;你應該在產品開發的整個週期內都將隱私保護納入考量。並且,為了歸責,你必須記錄下你所做的這些隱私保護動作。

瞭解了。如果以上所說的都是關鍵,應該將它們歸類在各公司應該真正思考的事項。他們需要做的第一步是什麼?

公司該採取的第一步是進行資料評估,瞭解他們所持有的資料內容。公司確實需要查看他們擁有的客戶資料,瞭解他們的資料和資料流。有時候這也稱為資料對應或資料登錄。然後仔細查看每個步驟,從收集、處理、儲存到刪除或保留,無論他們是否具有他們需要履行的義務,這麼做可確保他們符合規定。因此,第一步是資料評估或資料對應。第二步則是開發適當的技術與執行措施,確保在進行資料對應的過程中,個人資料皆受到保護。

好。我剛看到有問題進來了,如果你不介意,我們先回答這個問題。問題是跟資料保護官的需要性有關。公司必須設置這類人員嗎?

不一定。不是每間公司都需要,這取決於你所處理的資料類型。如果你需要處理大量機密資料,你可能就應該設置資料保護官。如果你要進行某種持續的監控,例如裝設閉路電視監視器來持續監控人員,那麼你就必須指派資料保護官。雖然這是一個典型的法律回答,但還是需要視情況而定。這的確是關於這項法律的重要資訊 — 這項法律並非一體適用。每間公司都應該開發自訂程式,以符合法律規定。但這取決於資料類型和資料處理活動。因此,不是單一個解決方案就能適用所有公司。必須審慎思考,然後加以自訂。

是的,沒錯。非常感謝你,Marcy。我想我們節目時間已經差不多了,但如果你不介意,我們還有其他問題進來。也許我們可以關注你,建立一個部落格來談談這個主題,如何?

當然可以。這個主題有太多可以談的,感謝今天收看節目的每位觀眾。也感謝你邀請我來。

當然,不用客氣。我們很快會再邀請你來上節目。感謝各位的收看。下週再見。再見。