欧盟私隐新规生效港企亦受管 可罚全球营业额4%
发布时间:2018-05-25 15:00:42 来源于:大公网
摘要:综合外电报道,令全球企业闻风丧胆的欧盟《通用数据保障条例》(GDPR)今日正式生效,今后全球企业无论大小或者是否在欧盟设立机关,只要业务可能涉及处理欧盟人士个人资料,或者向欧盟人士提供服务,便必须受条例监管。这项被认为是当今世上“最严”的私隐保护法规,规定企业必须采取措施保障用户数据,并遵从个人讯息收集和使用的基本原则,违者可被处以重罚。由于香港企业经常接触欧盟人士,故亦受条例监管,私隐专员公署早前已经发出小册子,协助本地资料使用者了解和遵守海外相关资料保障法规。
【文汇报讯】综合外电报道,令全球企业闻风丧胆的欧盟《通用数据保障条例》(GDPR)今日正式生效,今后全球企业无论大小或者是否在欧盟设立机关,只要业务可能涉及处理欧盟人士个人资料,或者向欧盟人士提供服务,便必须受条例监管。这项被认为是当今世上“最严”的私隐保护法规,规定企业必须采取措施保障用户数据,并遵从个人讯息收集和使用的基本原则,违者可被处以重罚。由于香港企业经常接触欧盟人士,故亦受条例监管,私隐专员公署早前已经发出小册子,协助本地资料使用者了解和遵守海外相关资料保障法规。
GDPR早于2016年已完成立法程序,经过两年过渡期后今日正式生效,并取代1995年的《数据保护指令》。新条例规定所有适用企业向客户收集资料前,必须提供不长于一页、用通俗语言写成的表格,解释收集数据的方式和徵得客户同意,并重新徵求现有客户同意。
种族信仰纳用户数据范畴
新条例亦拓展了有关网络用户数据的定义,除了姓名、证件号码、地址和网络IP地址等常规个人资料外,还将反映种族、宗教信仰甚至性取向的资料,都纳入保障范围。条例更赋予客户“被遗忘权”、数据“可携带权”和“删除权”等权利,企业亦有义务采取一切合理措施,删除或纠正不正确的个人资料。
科技巨擘天价罚则
GDPR不但“管得严”,更是“管得广”、“罚得狠”。条例规定任何未有采取措施避免或降低侵犯私隐风险的企业,最高可罚款1,000万欧元(约9,204万港元)或全球营业额的2%(以较高者为准);违反个人资料收集和使用基本原则,以及没有保障客户权利的企业,最高可罚款2,000万欧元(约1.84亿港元)或全球营业额4%(以较高者为准)。对于Google或facebook等跨国科网企业而言,一旦被裁定违例,罚款将动辄以十亿欧元计。
法例一刀切 欧小企呻苦
GDPR更拥有强大欧盟域外管辖权,不仅注册地或总部在欧盟的企业受规管,所有“地理上”位于欧盟外的企业,只要向欧盟人士提供产品、服务,或持有、处理欧盟人士的数据,都必须遵守条例。换言之,一家香港的网上商店如果接受欧盟人士订单,便会受到条例监管。
近两星期以来,Google等跨国企业已先后向用户发信,提醒新私隐条例生效,但不少人手相对不足的小企业却疲于奔命,相关法律开支大增。奥地利律师施雷姆斯批评,欧盟一刀切对所有企业推行新规例,未有豁免中小企,只会制造大量灰色地带,获益的将是大企业。
骗徒扮企业通知用户 乘机索资料
欧洲不少企业在《通用数据保障条例》(GDPR)生效前,纷纷向顾客发出电邮通知,却有不法之徒乘机发出虚假电邮,伪装成企业索取顾客资料。由于GDPR涉及企业众多,一般人近日已接收大量更新私隐政策的电邮,骗徒容易鱼目混珠,民宿预约网站Airbnb已有用户反映接获怀疑诈骗电邮。
警方吁查证电邮地址
欧洲多国执法部门近日发现,有骗徒冒认为Airbnb,要求用户更新个人资料,以继续使用网站。爱尔兰警方警告,骗徒亦可能向用户发虚假通知,要求他们开启不明连结,确认个人或登入账户的资料,呼吁公众查证寄件人的电邮地址,不要透过电邮透露银行或财务资料,如发现可疑电邮,应立刻删除并联络涉事企业和银行。
GDPR是自互联网诞生后,对私隐保障条例的最大改变,由于企业存取及使用用户资料均受限制,估计这亦有助减低他人套取个人资料行骗的机会。维尔马在伦敦任职会计师,有骗徒4月曾冒认英国手机服务租用商Carphone Warehouse的销售员,以优惠诱使他透露信用卡资料,并以维尔马的名义开设新手机服务合约,试图免费享用服务。维尔马表示,不少商业机构透过电话推销,骗徒看准这漏洞,乘机在通话中索取个人资料,希望GDPR有助消费者洞悉骗徒身份。
科企应对GDPR措施
配合GDPR,fb于3月份更新私隐条款,让用户更方便查找和理解
欧盟用户可拒绝个人资料用于市场推广,但非欧洲用户是否适用GDPR条款,fb则支吾以对
利用面容识别功能自动确认相中人身份,需取得用户批准,让用户更易知道是否有任何人使用自己的相片
在新私隐政策中,美加以外地区的用户,将由原本的爱尔兰分公司转至美国总部管理,意味亚洲用户不会受到GDPR保护
计划向欧盟16岁以下用户提供较少个人化的版本,以符合欧盟规定16岁以下用户,在取得家长批准后方可在网上表达政治或宗教观点,在美国则会把限制降至13岁
Google
已重写私隐条款,令用户更易理解,包括加入影片解释条款内容、加大标题字体、清楚列出传送至私隐设定的连结,以及加入条文解释如何收集及使用用户资讯
扩大家长管制功能Family Link范围至整个欧盟地区
twitter
不再向连结twitter的欧盟网站,以及冰岛、列支敦士登、挪威和瑞士4个与欧盟签订贸易协议的国家,收集数据记录。
向欧盟及上述4国用户,提供联络资料保护官员的连结
涵盖理发食品店 染发过敏也属私隐
由于欧盟私隐新例适用于所有收集欧盟公民资料的机构,因此大至千亿科企、小至发廊食店皆受规管。英国小企业联合会(FSB)估计,当地企业平均需额外支付1,030英镑(约1.08万港元)配合GDPR,至今只有8%小企业完成。
85%欧企未准备妥当
法国凯捷顾问公司估计,85%欧盟企业均无法在GDPR生效时准备妥当。伦敦理发店店主迈耶表示,她每次为客户染发时,均会记录对方是否化学过敏,也会保留客户联络资料,这两类资讯均受新例监管。她近日向客户发电邮寻求他们同意储存资料,但估计大部分客户不会主动交出资料。
经营食品公司的斯特拉坦言,消化GDPR条文有困难,政府也没有提供帮助,小企业难以理解条例。另一间理发店东主布兰克则表示,当局未有发放任何关于GDPR的资料,使她为理解新规例疲于奔命,“我们经常电邮客户以确认预约,我知道GDPR有好处,但我只想获取更多资讯”。
(责任编辑:千寻)
近期热门资讯:
