GDPR 的整體影響，以及消費者與企業態度

2017年，經濟學人將個人數據比作數字時代的石油，是世界上最珍貴的資源之一，各國也日益重視數據的價值，對各自境內數據訂下不同的使用規範，上週簡單說明GDPR後，下面將帶讀者更進一步瞭解其運用。

2017，數據洩漏的一年 (2018-05-28)在Facebook和劍橋分析的數據洩漏事件曝光前，2017年就已陸續爆出多起知名企業洩漏消費者個人數據的大新聞。

包括Yahoo承認早前的數據洩漏事件受害用戶達30億人、美國電信龍頭Verizon洩漏全球600萬用戶個人數據、叫車服務Uber也認了曾為5,700萬筆乘客與駕駛個人數據付贖金;此外，多位好萊塢明星的IG賬號遭駭，私人信箱與電話外流…

根據美國身份竊盜資源中心(Identity Theft Resource Center, ITRC)的報告，2017年公佈的數據洩漏事件多達1,253起，超過2016年的1,093起。

隨著災情加劇，民眾的安全意識日益提高。歐盟祭出號稱最嚴格個人數據法GDPR，本篇專題將介紹GDPR的整體影響，以及消費者與企業對此抱持的態度。

20年來歐盟最嚴格的個人數據保護法規：GDPR

號稱20年來最嚴格的GDPR和過往歐盟地區的個人數據保護法規相較，究竟什麼改變了?

?個人數據的新定義：

所有屬於個人或可用以便是特定個人的數據(包含位置信息、計算機IP地址);宗教、 種族、性取向等敏感信息須受到額外保護。

?歐盟居民更多權利：

有權知道個人數據收集與其用途;有權獲得被企業收集的數據並要求刪除或更正;有權將數據從某服務提供商轉移到另一廠商。

?罰金提高：

企業全球年營收的2-4%或2,000萬歐元，取較高者。

?同意條款要求更嚴：

企業必須獲得消費者自由、明確、已知情況下的許可，才能收集並處理其數據，目前常見和其他服務條款捆綁成一包的形式不符合規定。

?影響遍及全球：

各國公司凡有顧客在歐盟境內即適用。

?數據處理方的限制：

受數據控管方(controllers)委託處理數據的數據處理方(processors)亦受法規限制;未經控制方同意，處理方不得外流相關數據。

?數據使用：

合法、透明、公平，企業為達到某目的收集的數據不得用於其他用途。

?數據洩漏通報：

若數據洩漏，企業察覺的72小時內須通報主管機關。

歸納GDPR引起廣泛關注主要有三大原因：

1、只要企業收集或處理數據的對象身在歐盟地區，就適用GDPR。

2、企業在做市場調查時獲得的消費者個人數據，受到GDPR保護。

3、過去罰款僅具象徵意義，未來違反GDPR的企業將付出高額代價。

歐盟境外組織，也可能受衝擊

在歐盟境內處理當地居民個人數據或監控歐盟居民行為的所有組織。

成立在歐盟的組織，不管數據處理是否發生在歐盟境內。

成立在歐盟境外、但處理歐盟居民個人數據的組織，包括對歐盟提供服務或商品者。

何種情況適用GDPR?

(不需)德國居民利用Google搜尋找到一篇為美國消費者所撰寫英語文章。

(適用)德國居民利用Google搜尋找到一篇以德語撰寫，並提到德國客戶或用戶的文章。

科技巨頭積極準備迎接GDPR

GDPR保護與特定個人有關的所有信息：

?個人身份與生物特徵數據，含電話、地址、車牌、健康數據、臉部辨識、指紋、虹膜掃描、相片、影片、電郵內容、問卷調查。

?在線定位數據，如cookie、IP位置、移動裝置ID、社群活動紀錄。

GDPR生效，首當其衝的是擁有大量用戶數據的科技大廠，尤其數字廣告龍頭Facebook、Google。他們的使用者和商業夥伴遍佈歐盟，生意高度依賴用戶數據，是被監管單位緊盯的對象，該如何做好準備?

改善產品設計、調整推出時程與地點：

Amazon強化雲端保存的數據加密技術。Facebook決定不在歐洲上線一個透過健康數據與AI來監測該用戶是否有自殺傾向的服務，也暫緩在當地發佈臉部 識別軟件。

重申用戶對其個人數據的權利：

4成企業坐等，新創StreetLend不玩了

歐盟境外的企業須仔細檢視自家的在線營銷活動，特別是飯店業、旅遊業、軟件服務、電商公司;而有針對歐洲市場製作在地化網絡內容的商家，也應該審查網站營運。

根據eMarketer，北美IT專業人員只有6%認為公司已充份準備好迎接GDPR，近四成則是剛剛開始甚至尚未開始準備。

相較Facebook、Google等大企業，一般公司面對GDPR則顯得信心不足，主因是大企業有更多資源及更強大的法律團隊。一份調查顯示，員工數小於500的企業為自己的GDPR準備工作評分僅2.97，大於500人的企業平均3.13分。

共享新創公司StreetLend就因為擔心被罰而停止服務，這個網站和Amazon合作，在用戶搜尋想租借的商品時，同時列出Amazon上的商品，若用戶選擇購買，平臺即可和Amazon拆帳。

為了不踩GDPR紅線，微軟建議企業採取四步驟：

1、清查企業擁有的個人數據及所在位置， 評估是否受GDPR影響。

2、改善對個人數據的存取、管理和使用方式。

3、以更進階的技術保護個人數據。

4、保存個人數據處理紀錄，向大眾揭露企業如何保護和使用個人數據。

寄確認信給取消訂閱的消費者，3品牌受重罰

未從頭一步步檢視企業擁有的數據，就急著與消費者溝通，企圖獲得個人數據使用的正當性，可能反會弄巧成拙。英國信息委員會辦公室(ICO)2016年報告的三起事件皆涉及知名品牌，而他們都只 做了一件事：寄email給客戶。

英國廉航Flybe寄信給其數據庫中的330萬人，詢問“您的信息是否正確”，但這330萬人過去選擇不接受/取消訂閱營銷信件，Flybe並未取得主動和消費者聯繫的許可，為此被罰7萬英鎊。Honda Motor Europe寫信給近29萬訂戶，詢問“您願意收到來自Honda的訊息嗎”，以得知他們是否願意收到接下來的營銷電子郵件，但這封信也不慎發給了先前已選擇拒絕的消費者，罰金1萬3,000英鎊。連鎖超市Morrisons重新上線“Match & More”客戶忠誠計劃，為了鼓勵更多消費者享用優惠，Morrisons寄信給數據庫中的23萬人，提醒他們更新賬戶偏好，然而其中 13萬人過去已取消訂閱來自Morrisons的訊息，因此Morrisons被罰了1萬500英鎊。

未來GDPR上路後對個人數據的認定更廣、對同意條款的要求更嚴，並強調消費者應該有“被忘記的權利”，當消費者明確拒絕再收到營銷訊息時，別再嘗試寄信給他。Morrisons的違規事件由消費者主動檢舉，顯示大眾對保護個人數據的重視及行動力都在提高。

英國僅35%網絡用戶聽說過GDPR，未成為公眾話題

GDPR立意是把對個人數據的所有權利還給消費者，將其重要性置於科技、商業發展與便利性之上，但消費者如何看待GDPR?

根據Kantar TNS的調查，在2018年1月，英國消費者對於GDPR的認知度只有35%。而其他針對法國、德國等歐盟國家所做的調查，則有至少六成網絡用戶聽過GDPR，知道它是與個人數據保護相關的法令。

Kantar TNS也監測了2017全年網絡上對於GDPR的討論，包括社群、部落格、討論區，發現GDPR的網絡聲量極小，主要仍是專業人員間的討論，並未成為一個公眾的話題。

eMarketer深入分析消費者對於GDPR和個人數據收集抱持的心態，雖然調查顯示，七成左右的消費者回答“企業不應該收集我的個人數據”，但這背後的意義並非是不喜歡透過數據提供更好的服務， 而是擔憂數據濫用、數據洩漏、身份盜竊等情況。

四分之三消費者認為“企業不應該未經允許聯繫我”、“如果可以選擇我不會分享個人數據”，反映的則是消費者對於個人數據掌控權的重視。

此外，eMarketer以廣告攔截系統為例，近三年開始受到關注的廣告攔截其實早在2006年就已出現，點出大眾即使重視個人數據保護，未必會很快採取更改隱私設定、撤回數據分享等實際行動。

品牌應聚焦關鍵數據

這幾年品牌高度依賴消費者行為數據來執行數字廣告、規劃營銷活動，應特別注意數據收集、利用過程中的瑕疵，例如首先必須更改隱私條款與服務條款捆綁的情況，列出明確的同意/拒絕/撤回個人數據收集選項，將權利還給消費者。

營銷人員主要應關注的三個面向如下：

?DATA PERMISSION 數據許可：

消費者或合作伙伴必須手動確認同意他們未來想持續被你聯繫，你不能預設勾選同意，同意數據收集必須是有意的選擇。

?DATA ACCESS 數據訪問：

營銷人員有義務確保你的消費者能夠輕易訪問他被你收集的數據， 並撤回數據收集或使用的許可， 例如取消訂閱電子報。

?DATA FOCUS 數據聚焦：

聚焦在你真正需要的數據，不要藉機“多問一些”其實你並不需要的信息，擁 有少量卻關鍵的數據，也降低洩漏風險。

GDPR不僅帶來限制，也帶來機會，根據英國直效營銷協會(DMA)的調查，三分之二受訪者認為GDPR讓他們更有信心和品牌分享數據，長期來看，主動提高數據使用標準的企業將建立在消費者心中的信賴和好感。

個人數據保護愈來愈嚴是全球趨勢

歐盟法規向來是各國標竿，帶有強烈重視人權的色彩，GDPR同樣展現了個人數據保護趨嚴的前端思維，將憑藉歐盟的全球影響力引領變革。其他國家可能陸續啟動在地法規的調整，向GDPR靠攏，從和歐盟多生意往來的企業與地區逐漸擴散出去。

亞洲各國和地區都有自己的數據隱私條例，如在新加坡和菲律賓，任何私人企業的數據共享都需要消費者同意。中國最新“信息安全技術個人信息安全規範”樹立的標準在很多方面都與GDPR齊肩甚至更加嚴格，但它並沒有強制力，未來是否能影響法規與企業作為仍待時間檢驗。

美國戰略與國際研究中心(CSIS)指出，歐洲、中國兩大經濟體在個人數據保護的觀念和作法上日漸趨同，美國的數據政策則相對顯得孤立、被動。

目前各國的數據政策存在的分歧，將對跨國數據流動、網絡產業的跨境服務造成障礙與挑戰，因此未來隨著GDPR生效，可能會看到更加一致的亞洲標準甚至全球標準，但這還有很長的路要走。

結語

2017年，經濟學人就將個人數據比作數字時代的石油，是世界上最珍貴的資源之一，因為數據改變了企業與顧客溝通的方式，並對消費者體驗造成正面影響。各國日益重視數據的價值， 也對各自境內數據訂下不同的使用規範。

網絡打通全球市場，模糊了國界，GDPR雖然是歐盟法規，但影響範圍遍及全球，不管是為 了在層出不窮的數據洩漏事件後挽回消費者信心，還是為了在做跨境生意時避免高額罰款， 愈來愈嚴格的個人數據保護與數據運用都是不可擋的趨勢。

無論在歐盟境內或境外，仰賴數據的商業行為和營銷活動不可能消失，品牌在收集個人數據時應 聚焦關鍵數據，提高使用數據的透明度，將選擇與監管權歸還消費者。雖然在初期需要投入 的成本並不小，但提早準備能幫助品牌化被動為主動，長期更能提高品牌形象。

閱讀更多 RFID世界網 的文章

關鍵字: Google 更進一步 訂下