幾家歡樂幾家愁!上路一週的 GDPR 大事
約莫前兩個禮拜開始,全球使用者的信箱開始湧入各個企業針對一般資料保護法(General Data Protection Regulation, GDPR)的隱私權宣告信件,此法案於 5 月 25 日正式上路,雖然保護對象限為歐盟公民,但在沒有地域限制的網路世界,任誰都有可能受到波及。上路才一週,Google 與 facebook 兩大科技巨擘立刻遭到控訴,而根據法國知名管理顧問公司 Capgemini 表示,僅有 15% 的企業準備好面對 GDPR,換言之 85% 的企業都「剉地等」。複雜且嚴格的 GDPR 法案,將為全球企業帶來空前的使用者隱私保護危機,但 GDPR 只是隱私保護重要性在網路世界彰顯的第一步?更嚴格的還緊接在後頭…?
新法案才上路就被告!Google 與 Facebook 兩大巨擘恐被罰 40 億
GDPR 至今已上路一週,然而上路的第一天,Google 與 Facebook 就被奧地利的隱私權倡議組織「None of Your Business」控告。在四項控訴案中,該組織隱私權律師 Max Schrems 分別向法國隱私主管機關 CNIL 控告 Google,向奧地利、德國漢堡及比利時主管機關針對 Facebook、WhatsApp 及 Instagram 三樣產品控告。其中代表用戶控告 Google 及 Facebook 強迫使用者簽署同意用戶資料被蒐集及處理的條款。
而違反 GDPR 的企業最高可被罰全球營收的 4%,Google 與 Facebook 分別被要求罰最高 37 億歐元(約 1290 億台幣)、及 39 億歐元(約 1360 億台幣)。
另外廣告封鎖工具 Ghostery 在 5 月 25 日發給使用者一封名為「幸福 GDPR 日」的 E-mail,卻誤使用了副本發送而非密件副本發送,導致數百位使用者的信箱資訊遭到公開,與該封 E-mail 傳遞的「 Ghostery 以最高標準保護使用者的隱私 」核心理念背道而馳,該公司隔日於官網上發出道歉啟事,但這項重大疏失已經傳遍社群媒體,不少人還用hashtag #Ghostery #GDPRfail 來標記,成了 GDPR 上路後第一個企業出包的例子 。
重擊數位廣告 網站主的因應之道為何?
GDPR 上路後各方哀鴻遍野,而此法案所保護的隱私資料大致分為兩種,一種是個人生物特徵資料如姓名、電話、照片及指紋等等,另一種為線上定位資料,如紀錄瀏覽紀錄的 cookie、IP 位置等,而對於網站主而言,首要的衝擊就是網站蒐集的受眾 cookie 資料。
而 TenMax 騰學廣告科技身為台灣、東南亞地區眾多網站主的廣告技術合作夥伴,也針對網站主的因應對策作出了幾個建議,包含了於網站中加入徵求使用者同意資料使用的彈跳視窗,及針對網站的隱私權政策作出相應的調整,並且承諾不因 GDPR 政策的啟動而影響到合作網站主的權益,為台灣數位廣告業界樹立良好因應策略範例。
GDPR 搜尋排行竄升到 No.12 Spotify 即時行銷風頭搶盡
GDPR 法案上路當日,雖然管轄範圍為歐盟公民,但 5 月 25 日當日的 Google 搜尋排行,關鍵字「GDPR」在台灣地區即來到了第 12 名,比美國職籃 NBA 季後賽相關的討論度還高,國外知名媒體則戲稱 GDPR 在近期的討論度比國際巨星碧昂絲(Beyoncé)還高。可見 GDPR 雖然只是一條國際法案,但卻與全球使用者息息相關,受到高度關注。
而數位音樂服務軟體 Spotify 則出現了一個名為「I Love GDPR」的歌單,巧妙地將個人隱私資料融入歌單中,歌曲如「What’s Your Name」、「What’s Your Number」、「What Did You Do In Last Summer」等等皆是與個人隱私權有關的歌名,歌單一釋出馬上獲得廣大網友的迴響,紛紛轉貼至各大社群媒體上,為 Spotify 做足了免費的行銷宣傳。
GDPR 只是隱私保護的前哨站?ePrivacy 才是大戰開打?
歐盟頒布的 GDPR 法案在上路的前後一週引來了全球企業、使用者的關切,討論度來到最高,然而這可能不是歐盟針對隱私權保護政策的最終回。目前歐盟為《電子隱私條例》(Regulation on Privacy and Electronic Communications,簡稱 ePrivacy)做準備,正在受歐盟理事會的評估。
而 ePrivacy 與 GDPR 最大的不同有三點:
- ePrivacy 側重電子通訊的隱私權
GDPR 的管轄範圍為公司行號儲存與使用個人資料,然而 ePrivacy 較注重電子通訊領域。換句話說,只要該資料的隱私關聯含有較高的通訊意味,主管機關人員就會認定為其屬於 ePrivacy 範軸,這兩項屬於相輔相成的關係。
根據該指令,電子隱私條例是對電子通訊行業最初實施「電子通訊行業隱私權保護指令」的進階版。該指令最初主要集中在電子郵件和簡訊上,但擬議的法規還將解決 WhatsApp,Facebook Messenger 和 Skype 等服務以及物聯網(IoT)設備中的資料隱私問題。此外,電子隱私條例還將保護與電子通訊相關的元數據。 - ePrivacy 包含了非個人的資料
GDPR 專注於保護個人資料,但 ePrivacy 法規更側重於通訊的保密性,該提案指出「該法規還可能包含與法人有關的非個人性資料」。
最初的電子隱私指令通常被稱為「cookie 法」,因為它強制公司行號使用 cookie 追蹤網際網路使用者之前需要告知使用者並徵求其同意。然而該規定將增加明確性與易懂性於同意規則之中,以及其他用於防止不必要通信追蹤的工具。 - ePrivacy 與 GDPR 立法精神
GDPR 和擬議的電子隱私條例都從相似角度反映了隱私權議題,但是它們是從不同的法律章程的觀點出發的。正如提案本身所指出,電子隱私條例的基礎是「歐盟運作條約」第 16 條和第 114 條。但是,它也反映了「基本權利憲章」第 7 條的一部分:「人人有權尊重他或她的私人和家庭生活、家庭和通訊內容。」
另一方面,GDPR 基於「歐洲人權憲章」第 8 條,其中規定:「人人有權尊重他的私人和家庭生活、他的家庭和他的通訊內容。」然而,對於電子隱私,該提案指出,「基本權利憲章」第 7 條的含義和範圍應與「歐洲人權憲章」第8條相同。
GDPR 及接踵而至的 ePrivacy 法案將為整個網路環境帶來巨變,而 TenMax 騰學廣告科技身為台灣廣告科技業領導者,將持續關注 GDPR 的後續發展,以及還在審議中的 ePrivacy,為網站主與廣告主提出最適因應政策建議,維護三方權益,創造三贏局面。
