歐盟訂定的資料保護協議(General Data Protection Regulation,GDPR)即將於2018年5月25日正式生效,堪稱為最嚴格的網絡個人資料保護法,在訂定初期便已被預測將大幅衝擊既有市場,不論是大型或新創企業,只要既有業務涉及個人資料的收集與利用,便會在此規範受到限制。
涉及「個人資料」的服務與產品都須嚴格遵行
GDPR於2016年4月便已成為歐盟法律,但由於變更幅度與影響過大,因此生效日延至2018年5月25日,將取代既有的歐盟資料保護指令,而GDPR最大原則皆以「個人資料」為出發點,因此只要涉及個人資料的收集、利用、儲存、保護、回收、銷燬都被明確的規範於其中。
GDPR涵蓋層面相當廣泛,客戶中有歐盟成員企業、企業內有歐盟員工/供應鏈、非營利組織與政府等全都必須遵守,若是違反GDPR,企業最高受罰金額可達2千萬歐元或全球營業額4%。
▲GDPR六原則 source:GDPR;微軟
在嚴格的要求規範下,造成現今市面上大多數存有的互聯網/物聯網服務與商業模式都會受到重大沖擊,規模大的企業如Facebook、Google等有能力組件法律團隊來快速因應GDPR的各種規範,但許多小型或新創企業缺乏法律支援的資金與能力,間接導致生態圈的重新洗牌。
不過這並非是打擊市場,而是在明確的規範下重新讓企業與市場思考,在隱私優先的前提下,如何尋求更適當與安全的商業模式。
物聯網裝置與服務需同步更新既有運作模式
物聯網最大宗旨在於資料的串流,以及人、物與環境的融合交互,因此資料的收集、儲存、利用是不可避免的,如何因應GDPR將會是物聯網廠商關鍵。依照GDPR規範來看,物聯網必須要從裝置與服務兩部分同時進行運作模式更新。
裝置部分如資料傳輸的加密(裝置本身/閘道器/網絡)、裝置可遠端更新、裝置所有權轉換(如裝置可重新恢復成出廠預設)、裝置只能儲存與傳輸服務所需的資料、可卸除儲存裝置必須加密(如USB/MC)、使用者得以簡單地取消註冊、戶外裝置必須有防竊機制等。
服務部分如密碼保護存取管道必須與個人密碼結合、有能力偵測漏洞並於規定時間內回報、修補漏洞與管理並有能力進行安全更新、使用者有「被遺忘」全力、使用者能控管/刪除語音與影像紀錄、使用者有權利用「一般普遍」的形式攜帶資料、服務供應商轉交資料給第三方時要通知第三方刪除此類資料等。
從現有市場產品項來看,幾乎所有消費性的物聯網裝置都必須納入GDPR的管理規範之下,影響範圍可謂十分巨大,企業必須做好充足準備才不會觸犯相關規範;但看似阻礙市場發展的情況下,該規範的出現其實也正是為隱私觀念逐漸受到重視風氣下踏出明確的一步,讓企業重新評估與拿捏商業利益與商業道德的天平。
文丨拓墣產業研究院 劉耕睿
閱讀更多 拓墣產業研究院 的文章
