最嚴個資法GDPR上路 台灣企業合規?

史上最嚴格的歐盟資料保護規範(General Data Protection Regulation,GDPR),已於今(二○一八)年五月二十五日上路,受衝擊的產業包括業務涉及資料跨境傳輸的金融業、電子商務,以及航空業,其中又以金融業影響最大,尤其國內八大公股行庫在歐盟境內設有分行,個資保護是否完善,直接受到歐洲政府檢視。

踩線恐罰七.二億 政府不敢掉以輕心
GDPR的罰責相當嚴厲,只要企業或組織有歐洲民眾的個人資料遭到外洩,外洩的企業或組織都必須在七十二小時內通報資料保護主管機關(Data Protection Authority),並且會依照外洩個資情節輕重,處以不同金額的罰鍰,像是個資外洩情節較輕者,可能被罰款一千萬歐元(約台幣三.六億元)或以全球營業額二%作為罰款;情節較重者,則是被罰款二千萬歐元(約台幣七.二億元)或全球營業額四%作為罰款(取其高者作為罰款)。因為罰責實在太重,讓政府不敢掉以輕心。

國發會主委陳美伶五月底率團拜會歐盟司法總署、成長總署及資訊網絡暨科技總署,向歐方表達申請適足性認定的意願。金管會也協助金融業者聘請專業顧問建置法遵相關規範,並要求企業設置個人資料保護長,透過簽訂標準個資保護契約條款的方式,達到GDPR規定。

嚴管個資 全球法令趨勢
嚴格管理個資,已經成為全球法令趨勢,兆豐產物意外保險部經理許義松觀察,美國五十州當中,有四十七州要求個資外洩,企業有義務通知受害人,而這項通知費用也居所有損失之冠,「擁有高個資的企業,如果有一百萬個客戶,每封簡訊三塊錢,光通知費就高達台幣三百萬元。」

其次是訴訟費,許多案例顯示,企業在訟訴期間,就會把責任險額度用掉一大半,如果保額不足,很難負起事後的賠償責任。

第三則是數位鑑識費用,每台主機視資料多寡,鑑識費用在台幣十萬~五十萬元之間,五十部電腦就要五百萬~二千五百萬元,相當可觀。

亞洲也對民眾的個資權益採取保護措施,台灣已於二○一二年適用個人資料保護法,中國大陸新網路安全法已於二○一七年六月生效。

金融業買資安險 美金十萬起跳
今(二○一八)年三月臉書疏於保護隱私引發眾怒,包括將五千萬筆用戶個資外洩給政治諮詢公司「劍橋分析」(Cambridge Analytica),「劍橋分析」曾參與川普二○一六年的美國總統大選選戰,因此臉書個資外洩事件,也蒙上政治色彩,國會兩院議員均提議對網路企業祭出相關規範。

關鍵數據遺失與外洩,除對企業本身造成損失與遭監理機關裁罰之外,更在媒體負面報導下對商譽造成重大影響,七十一%的消費者表示,會在個資外洩之後離開,而第三人的賠償責任,在集體訟訴下,法院可能判出天文數字。台灣對於違反個資的罰則,同一事件最高可求償新台幣二億元。