欧盟订定的资料保护协议(General Data Protection Regulation,GDPR)即将于2018年5月25日正式生效,堪称为最严格的网络个人资料保护法,在订定初期便已被预测将大幅冲击既有市场,不论是大型或新创企业,只要既有业务涉及个人资料的收集与利用,便会在此规范受到限制。
涉及「个人资料」的服务与产品都须严格遵行
GDPR于2016年4月便已成为欧盟法律,但由于变更幅度与影响过大,因此生效日延至2018年5月25日,将取代既有的欧盟资料保护指令,而GDPR最大原则皆以「个人资料」为出发点,因此只要涉及个人资料的收集、利用、储存、保护、回收、销毁都被明确的规范于其中。
GDPR涵盖层面相当广泛,客户中有欧盟成员企业、企业内有欧盟员工/供应链、非营利组织与政府等全都必须遵守,若是违反GDPR,企业最高受罚金额可达2千万欧元或全球营业额4%。
▲GDPR六原则 source:GDPR;微软
在严格的要求规范下,造成现今市面上大多数存有的互联网/物联网服务与商业模式都会受到重大冲击,规模大的企业如Facebook、Google等有能力组件法律团队来快速因应GDPR的各种规范,但许多小型或新创企业缺乏法律支援的资金与能力,间接导致生态圈的重新洗牌。
不过这并非是打击市场,而是在明确的规范下重新让企业与市场思考,在隐私优先的前提下,如何寻求更适当与安全的商业模式。
物联网装置与服务需同步更新既有运作模式
物联网最大宗旨在于资料的串流,以及人、物与环境的融合交互,因此资料的收集、储存、利用是不可避免的,如何因应GDPR将会是物联网厂商关键。依照GDPR规范来看,物联网必须要从装置与服务两部分同时进行运作模式更新。
装置部分如资料传输的加密(装置本身/闸道器/网络)、装置可远端更新、装置所有权转换(如装置可重新恢复成出厂预设)、装置只能储存与传输服务所需的资料、可卸除储存装置必须加密(如USB/MC)、使用者得以简单地取消注册、户外装置必须有防窃机制等。
服务部分如密码保护存取管道必须与个人密码结合、有能力侦测漏洞并于规定时间内回报、修补漏洞与管理并有能力进行安全更新、使用者有「被遗忘」全力、使用者能控管/删除语音与影像纪录、使用者有权利用「一般普遍」的形式携带资料、服务供应商转交资料给第三方时要通知第三方删除此类资料等。
从现有市场产品项来看,几乎所有消费性的物联网装置都必须纳入GDPR的管理规范之下,影响范围可谓十分巨大,企业必须做好充足准备才不会触犯相关规范;但看似阻碍市场发展的情况下,该规范的出现其实也正是为隐私观念逐渐受到重视风气下踏出明确的一步,让企业重新评估与拿捏商业利益与商业道德的天平。
文丨拓墣产业研究院 刘耕睿