(2018-05-28)2017年,經濟學人將個資比作數位時代的石油,是世界上最珍貴的資源之一,各國也日益重視數據的價值,對各自境內數據訂下不同的使用規範,上週簡單說明GDPR後,下面將帶讀者更進一步了解其運用。

(圖:siteground.com)

2017,數據外洩的一年
(2018-05-28)在Facebook和劍橋分析的數據外洩事件曝光前,2017年就已陸續爆出多起知名企業外洩消費者個資的大新聞。

包括Yahoo承認早前的數據外洩事件受害用戶達30億人、美國電信龍頭Verizon外洩全球600萬用戶個資、叫車服務Uber也認了曾為5,700萬筆乘客與駕駛個資付贖金;此外,多位好萊塢明星的IG帳號遭駭,私人信箱與電話外流…

 

根據美國身份竊盜資源中心(Identity Theft Resource Center, ITRC)的報告,2017年公佈的數據外洩事件多達1,253起,超過2016年的1,093起。

隨著災情加劇,民眾的資安意識日益提高。歐盟祭出號稱最嚴格個資法GDPR,本篇專題將介紹GDPR的整體影響,以及消費者與企業對此抱持的態度。


(圖:stabroeknews.com)

20年來歐盟最嚴格的個資保護法規:GDPR
號稱20年來最嚴格的GDPR和過往歐盟地區的個資保護法規相較,究竟什麼改變了?

  • 個資的新定義:
    所有屬於個人或可用以便是特定個人的數據(包含位置資訊、電腦IP位址);宗教、 種族、性取向等敏感資訊須受到額外保護。 
  • 歐盟居民更多權利:
    有權知道個資收集與其用途;有權獲得被企業收集的數據並要求刪除或更正;有權將數據從某服務提供商轉移到另一廠商。
  • 罰金提高:
    企業全球年營收的2-4%或2,000萬歐元,取較高者。 
  • 同意條款要求更嚴:
    企業必須獲得消費者自由、明確、已知情況下的許可,才能收集並處理其數據,目前常見和其他服務條款綑綁成一包的形式不符合規定。 
  • 影響遍及全球:
    各國公司凡有顧客在歐盟境內即適用。 
  • 數據處理方的限制:
    受數據控管方(controllers)委託處理數據的數據處理方(processors)亦受法規限制;未經控制方同意,處理方不得外流相關數據。 
  • 數據使用:
    合法、透明、公平,企業為達到某目的收集的數據不得用於其他用途。 
  • 數據外洩通報:
    若數據外洩,企業察覺的72小時內須通報主管機關。 
     

歸納GDPR引起廣泛關注主要有三大原因:

  1. 只要企業收集或處理數據的對象身在歐盟地區,就適用GDPR。
  2. 企業在做市場調查時獲得的消費者個資,受到GDPR保護。
  3. 過去罰款僅具象徵意義,未來違反GDPR的企業將付出高額代價。
     

歐盟境外組織,也可能受衝擊


在歐盟境內處理當地居民個資或監控歐盟居民行為的所有組織。


成立在歐盟的組織,不管數據處理是否發生在歐盟境內。


成立在歐盟境外、但處理歐盟居民個資的組織,包括對歐盟提供服務或商品者。

何種情況適用GDPR?

(不需)德國居民利用Google搜尋找到一篇為美國消費者所撰寫英語文章。
(適用)德國居民利用Google搜尋找到一篇以德語撰寫,並提到德國客戶或用戶的文章。

科技巨頭積極準備迎接GDPR

GDPR保護與特定個人有關的所有資訊:

  • 個人身份與生物特徵資料,含電話、地址、車牌、健康資料、臉部辨識、指紋、虹膜掃描、相片、影片、電郵內容、問卷表單。
  • 線上定位資料,如cookie、IP位置、行動裝置ID、社群活動紀錄。
     

GDPR生效,首當其衝的是擁有大量用戶數據的科技大廠,尤其數位廣告龍頭Facebook、Google。他們的使用者和商業夥伴遍佈歐盟,生意高度依賴用戶數據,是被監管單位緊盯的對象,該如何做好準備?

改善產品設計、調整推出時程與地點:
Amazon強化雲端保存的數據加密技術。Facebook決定不在歐洲上線一個透過健康數據與AI來監測該用戶是否有自殺傾向的服務,也暫緩在當地發佈臉部 識別軟體。

重申用戶對其個資的權利:
Google已開始讓消費者在訊息控制中心中隨時查看、管理、自由選擇是否要向旗下各產品分享數據。Facebook、Yahoo也對會員發出新的隱私條款聲明,Facebook用戶能夠選擇讓誰看到他的貼文、願意接受哪類廣告,但在與廣告商分享數據的部分,用戶只能選擇同意或是管理資料設定,不能拒絕。未來Amazon仍可能透過消費數據向用戶推薦產品,但用戶可以選擇拒絕這項功能。

4成企業剉咧等,新創StreetLend不玩了
歐盟境外的企業須仔細檢視自家的線上行銷活動,特別是飯店業、旅遊業、軟體服務、電商公司;而有針對歐洲市場製作在地化網路內容的商家,也應該審查網站營運。

根據eMarketer,北美IT專業人員只有6%認為公司已充份準備好迎接GDPR,近四成則是剛剛開始甚至尚未開始準備。

相較Facebook、Google等大企業,一般公司面對GDPR則顯得信心不足,主因是大企業有更多資源及更強大的法律團隊。一份調查顯示,員工數小於500的企業為自己的GDPR準備工作評分僅2.97,大於500人的企業平均3.13分。

共享新創公司StreetLend就因為擔心被罰而停止服務,這個網站和Amazon合作,在用戶搜尋想租借的商品時,同時列出Amazon上的商品,若用戶選擇購買,平台即可和Amazon拆帳。

為了不踩GDPR紅線,微軟建議企業採取四步驟: 

  1. 清查企業擁有的個資及所在位置, 評估是否受GDPR影響。
  2. 改善對個資的存取、管理和使用方式。
  3. 以更進階的技術保護個資。
  4. 保存個資處理紀錄,向大眾揭露企業如何保護和使用個資。
     

寄確認信給取消訂閱的消費者,3品牌受重罰
未從頭一步步檢視企業擁有的數據,就急著與消費者溝通,企圖獲得個資使用的正當性,可能反會弄巧成拙。英國資訊委員會辦公室(ICO)2016年報告的三起事件皆涉及知名品牌,而他們都只 做了一件事:寄email給客戶。

英國廉航Flybe寄信給其數據庫中的330萬人,詢問「您的資訊是否正確」,但這330萬人過去選擇不接受/取消訂閱行銷信件,Flybe並未取得主動和消費者聯繫的許可,為此被罰7萬英鎊。

Honda Motor Europe寫信給近29萬訂戶,詢問「您願意收到來自Honda的訊息嗎」,以得知他們是否願意收到接下來的行銷電子郵件,但這封信也不慎發給了先前已選擇拒絕的消費者,罰金1萬3,000英鎊。

連鎖超市Morrisons重新上線「Match & More」客戶忠誠計畫,為了鼓勵更多消費者享用優惠,Morrisons寄信給數據庫中的23萬人,提醒他們更新帳戶偏好,然而其中 13萬人過去已取消訂閱來自Morrisons的訊息,因此Morrisons被罰了1萬500英鎊。

未來GDPR上路後對個資的認定更廣、對同意條款的要求更嚴,並強調消費者應該有「被忘記的權利」,當消費者明確拒絕再收到行銷訊息時,別再嘗試寄信給他。Morrisons的違規事件由消費者主動檢舉,顯示大眾對保護個資的重視及行動力都在提高。

英國僅35%網路使用者聽說過GDPR,未成為公眾話題
GDPR立意是把對個資的所有權利還給消費者,將其重要性置於科技、商業發展與便利性之上,但消費者如何看待GDPR?

根據Kantar TNS的調查,在2018年1月,英國消費者對於GDPR的認知度只有35%。而其他針對法國、德國等歐盟國家所做的調查,則有至少六成網路使用者聽過GDPR,知道它是與個資保護相關的法令。

Kantar TNS也監測了2017全年網路上對於GDPR的討論,包括社群、部落格、討論區,發現GDPR的網路聲量極小,主要仍是專業人員間的討論,並未成為一個公眾的話題。

eMarketer深入分析消費者對於GDPR和個資收集抱持的心態,雖然調查顯示,七成左右的消費者回答「企業不應該收集我的個資」,但這背後的意義並非是不喜歡透過數據提供更好的服務, 而是擔憂數據濫用、數據外洩、身份盜竊等情況。

四分之三消費者認為「企業不應該未經允許聯繫我」、「如果可以選擇我不會分享個資」,反映的則是消費者對於個資掌控權的重視。

此外,eMarketer以廣告攔截系統為例,近三年開始受到關注的廣告攔截其實早在2006年就已出現,點出大眾即使重視個資保護,未必會很快採取更改隱私設定、撤回數據分享等實際行動。 

品牌應聚焦關鍵數據
這幾年品牌高度依賴消費者行為數據來執行數位廣告、規劃行銷活動,應特別注意數據收集、利用過程中的瑕疵,例如首先必須更改隱私條款與服務條款綑綁的情況,列出明確的同意/拒絕/撤回個資收集選項,將權利還給消費者。

行銷人員主要應關注的三個面向如下: 

  • DATA PERMISSION 數據許可:
    消費者或合作夥伴必須手動確認同意他們未來想持續被你聯繫,你不能預設勾選同意,同意數據收集必須是有意的選擇。
  • DATA ACCESS 數據訪問:
    行銷人員有義務確保你的消費者能夠輕易訪問他被你收集的數據, 並撤回數據收集或使用的許可, 例如取消訂閱電子報。
  • DATA FOCUS 數據聚焦:
    聚焦在你真正需要的數據,不要藉機「多問一些」其實你並不需要的資訊,擁 有少量卻關鍵的資料,也降低外洩風險。

GDPR不僅帶來限制,也帶來機會,根據英國直效行銷協會(DMA)的調查,三分之二受訪者認為GDPR讓他們更有信心和品牌分享數據,長期來看,主動提高數據使用標準的企業將建立在消費者心中的信賴和好感。

個資保護愈來愈嚴是全球趨勢
歐盟法規向來是各國標竿,帶有強烈重視人權的色彩,GDPR同樣展現了個資保護趨嚴的前端思維,將憑藉歐盟的全球影響力引領變革。其他國家可能陸續啟動在地法規的調整,向GDPR靠攏,從和歐盟多生意往來的企業與地區逐漸擴散出去。

亞洲各國都有自己的數據隱私條例,如在新加坡和菲律賓,任何私人企業的數據共享都需要消費者同意。中國最新「信息安全技術個人信息安全規範」樹立的標準在很多方面都與GDPR齊肩甚至更加嚴格,但它並沒有強制力,未來是否能影響法規與企業作為仍待時間檢驗。

美國戰略與國際研究中心(CSIS)指出,歐洲、中國兩大經濟體在個資保護的觀念和作法上日漸趨同,美國的數據政策則相對顯得孤立、被動。

另外,台灣「資通安全管理法」三讀通過,要求八大產業(能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區)強化資安並訂定計畫,未通報資安事件將予以重罰(30-500萬)。

目前各國的數據政策存在的分歧,將對跨國數據流動、網路產業的跨境服務造成障礙與挑戰,因此未來隨著GDPR生效,可能會看到更加一致的亞洲標準甚至全球標準,但這還有很長的路要走。

結語
2017年,經濟學人就將個資比作數位時代的石油,是世界上最珍貴的資源之一,因為數據改變了企業與顧客溝通的方式,並對消費者體驗造成正面影響。各國日益重視數據的價值, 也對各自境內數據訂下不同的使用規範。

網路打通全球市場,模糊了國界,GDPR雖然是歐盟法規,但影響範圍遍及全球,不管是為 了在層出不窮的數據外洩事件後挽回消費者信心,還是為了在做跨境生意時避免高額罰款, 愈來愈嚴格的個資保護與數據運用都是不可擋的趨勢。

無論在歐盟境內或境外,仰賴數據的商業行為和行銷活動不可能消失,品牌在收集個資時應 聚焦關鍵數據,提高使用數據的透明度,將選擇與監管權歸還消費者。雖然在初期需要投入 的成本並不小,但提早準備能幫助品牌化被動為主動,長期更能提高品牌形象。