2017年是個人數據遭大量外洩的一年,根據美國身份竊盜資源中心Identity Theft Resource Center 的報告,2016年個資遭外洩的事件就有1,093起,2017年更多達1,253起。當中包括之前鬧得沸沸揚揚的案例,像是Facebook 和英國數據分析公司劍橋分析,透過心理測驗程式擷取5,000 萬筆個資、叫車服務Uber 為了5,700萬筆乘客與駕駛個資外洩而支付贖金的事件。隨著個資外洩的事件越來越多,提高了民眾對資安的意識,號稱歐盟最嚴格的個資法的GDPR 便因應而生。

  GDPR 全名為「General Data Protection Regulation」(一般資料保護規定),該法明文規定「歐盟公民享有資料刪除、更改、轉移的權利,且企業需保護用戶個資」,也就是說,假設Google 有任何一位歐盟公民的資料,該公民就完全擁有權力要求Google 刪除他的資料,或是把資料轉移到其他服務上。這些資料包括電話、地址、車牌、臉部辨識、指紋虹膜、電郵,或是個人的線上定位資料,像是cookie、IP 位置、行動裝置ID、社群活動紀錄等。

  所以根據GDPR 的規定,不論您是企業、政府或是非營利組織,只要您的客戶中有歐盟公民,或您雇用了歐盟公民當員工,或者您與歐盟供應商合作,都算在該法規範的範疇內。而且,觸犯GDPR 的條件可說是非常地嚴苛,就算資料並未被竊取,只要被評估出有資料保護不周的風險,就算是違反GDPR。當然,更不說使用資料的範圍脫離了當初和消費者約定的範圍,或是未賦予資料所有者刪除、更正、轉移等權利的狀況了。一旦違法,歐盟可罰到 2,000 萬歐元(約台幣七億元),相較於觸犯台灣個資法僅被罰5萬到50萬,歐盟的罰緩可是相當驚人的數字!

  有鑑於此,各大品牌也開始調整蒐集消費者數據的方式,例如再次向消費者申明其掌控個資的權力,或是藉由提供消費者獎勵機制,讓消費者願意分享個人數據給品牌使用,像是音樂串流軟體Spotify 除了在網站上重申用戶可以完整觀看Spotify 所蒐集的用戶數據,並有權力修改或刪除之外,為了要讓消費者同意Spotify 擷取其資料,所以用能提供消費者更客製化的音樂清單、廣告,及可下載個人使用行為數據做為獎勵,吸引消費者和Spotify 共享個人數據。

  總地來說,在大眾對資安的關注逐漸提升的狀況下,未來全球都會走向相同趨勢,亞洲也可能會出現類似法案,建議各企業可以先以 GDPR 的規範審核公司受影響之程度,以降低衝擊。另外,數位廣告的透明化已是未來的趨勢之一,想當然耳資料越透明,品牌想要達到精準觸及消費者的成本當然也會隨之提高。