資料經濟時代來臨,數據被形容為「新石油」,但卻可能造成個資、隱私被進一步侵犯的風險,如何建置一個完善的資安保護環境及配套措施,讓個資可以合理利用,新創得以蓬勃發展,成為產官學界不得不面對的挑戰。
號稱史上最嚴格的個資法規範GDPR(歐盟通用資料保護規則)去年5月上路後,如果企業的產品或服務,有蒐集或處理到歐盟居民的個人資料,無論是否為設立在歐盟的企業都適用GDPR,且高額罰款上看2000萬歐元(約新台幣7.2億元)或全球營業總額的4%,兩者取其高。
今年初Google因違反規範遭法國開罰,金額達5000萬歐元(約新台幣17.5億元),是自GDPR法規生效以來首次對美國科技巨頭實施的重大處罰。
GDPR罰款高 新創者小蝦米對上大鯨魚
也因為GDPR罰款近乎天價,在GDPR正式實施後,已營運5年的StreetLend決定關閉,創辦人也對外表示,小型及新創公司難以承擔GDPR的罰款帶來的不確定風險;他認為,Facebook、Google和Twitter等大公司,擁有足夠的法律團隊以及資金為公司做準備以及辯護,新的GDPR個資法反而有助於鞏固這些大企業的市場競爭。
Streetlend.com使用者主要聚集在倫敦,使用者可以把自家如梯子、螺絲起子或電鑽等用品上網,需要的人可以聯絡所有者借用,Streetlend.com表示,幾乎所有的租借都是免費的,是一個共享經濟的平台。
培育台灣新創企業無數,AppWorks董事長暨合夥人林之晨則持相對樂觀的看法。他對中央社記者說,雖然GDPR是會對新創公司帶來衝擊,但因為大企業的客戶多,複雜度也提高,因此新創公司和大公司要面對的挑戰也是成正比,大家都在同一個立足點上競爭,「GDPR不一定完全不利於新創公司」。
他進一步解釋,GDPR說不定會帶來新的機會,可以藉此創造更符合隱私權觀念的商業模式,如DuckDuckGo就是標榜不追蹤使用者,以保護使用者為核心的搜尋引擎,自然會吸引「把隱私放在第一位」的使用者,創造出有別於Google的利基。
林之晨強調,要閃避GDPR不如不要創業,看待GDPR也未必要從法遵成本的角度來思考,新創者應該是要去思考GDPR會帶來什麼機會,藉此優化自己的產品和服務。
專家分析,GDPR對地域性強、只在台灣或是亞洲地區服務的傳統產業業者,影響較小,但B2C(企業對消費者)型態的業者,因為直接接觸第一線消費者,影響最深;總括來說,航空、金融、科技、電信與旅遊業等5大類業者將首當其衝。
「電商無國界」,近幾年竄起的旅遊平台早早就先做了準備,正在導入英國個人資料保護標準BS 10012認證,不願具名的公司副理表示,全世界的人都有可能會來購買平台上的產品,業者一定要在這方面多做一點準備,才能保護自己。
而為了降低對產業的衝擊,政府積極爭取歐盟的適足性認定,國家發展委員會已陸續邀集各部會研擬因應策略,國發會主委陳美伶在6月率團赴歐盟進行首次GDPR技術性諮商,並打算參照日本經驗及專家學者意見設立專責機關,爭取GDPR適足性認定。
林之晨認為,個資專責機關最好是由數位經濟部主管,但因為現行政府組織沒有數位經濟部,為讓管制和產業發展取得平衡,建議未來的個資專責機關可由經濟部主管。
大數據時代的商機與挑戰
值得注意的是,資料經濟的時代來臨,數據被形容為「新石油」,誰擁有最大量的資料數據,就更能在產業發展上找到利基。陳美伶直言,「全世界各國,沒有人敢置外於此」,台灣傳統產業必須轉型升級,大家都在講智慧化,而人工智慧(AI)的根基,就是數據。
但AI對於個人資料的進一步蒐集與利用,卻可能造成個資侵犯的風險。
陳美伶表示,歐盟的GDPR與美國隱私盾是兩大不同的體系,前者強調人權,注重個資保護,後者則注重產業發展,規範相對較鬆;台灣固然希望取得GDPR適足性認定,但也不能忽略,個資保護與產業發展要如何取得平衡點。
陳美伶表示,數據有分2類,一類沒有涉及個資,可以大量運用,像是智慧交通、智慧農業,這些在台灣業界正在如火如荼地發展中;另一類涉及個資的數據,依台灣現行法令規範,即便去識別化,也只能提供學術團體使用,若未來要發展精準行銷、客製化醫療,去識別化的個資應用至產業就相當有必要。
她說,國發會已啟動檢討個資法,未來也會與使用個資最多的電信業者、醫療院所等相關利益團體討論,「需要一點時間,大家取得共識」。
不過,中華民國消費者文教基金會董事、律師游開雄表示,個資保護和新創事業發展,不可避免會有一定的衝突,所以政府要怎麼取捨找平衡點,如何以完整配套促使開發商比現在投入更多來保護個資,才是扶植新創商業模式的重點。
他認為,如果因為要扶植創新,政府就什麼都不要管,讓個資變成門戶洞開,犧牲消費者權益就不是健康的作法。
陳美伶也坦言,個資法檢討工程浩大,不是短時間可以完成,藉由檢討個資法,可讓台灣在相關法制面更進步、更能夠保障人民權益,並希望,個資得以合理利用,不要抑制到產業發展。
「個資保護只會愈來愈嚴格」,不願具名的電商業者認為,法令是一回事,但如果業者有心爭取全球的商機,就要把個資保護變成企業DNA,企業內的每一個成員,都要在尊重當事人資訊隱私權的前提下,充分保障個人資訊的合理運用,並降低違法的風險。
游開雄說,專家學者提出的解決方案不一而足,最簡單的方法是嚴刑峻法,但政府目前沒有人力或時間去監督及裁罰。
他認為,要保護個資最根本的方法是「去識別化」,尤其消費者在網路上流通的資訊應該是要去識別化,不然企業就要花很多成本去建防火牆,「減少誘因,才是正本清源之道」。