最有可能違反 GDPR 的三大企業

2018 將會是規定改變資料隱私權及資料保護標準的一年。我所指的當然是 2018 年 5 月生效的 GDPR。

GDPR 自去年開始生效,但其成效如何?不遵守規範真正的後果是什麼?這些都還無法論定。據我們所知,目前已經有些大公司遭到監督,調查也在進行中,但是,對於規模較小的公司而言,這有什麼意義呢?GDPR 的影響範圍真的這麼大嗎?主管機關 (SA) 真的有足夠的資源能強制懲處每一樁 GDPR 違規事件嗎?

2018 年是 GDPR 開始生效的一年,而 2019 年何以該成為厲行 GDPR 措施的一年,以上這幾個問題正是最好的理由。我認為,各項訴訟將在今年年底之前展開。

先向不清楚何謂 SA 的人說明一下,每個歐盟會員國各有一個 SA,負責監督資料保護標準及履行 GDPR 效力。例如,英國英國資訊專員辦公室 (Information Commissioner’s Office)就負責在英國境內履行 GDPR,至少在英國脫歐之前是如此。不過請謹記,ICO 仍然會根據之前的《1998 年資料保護法》裁罰違規罰金。目前尚未實際針對 GDPR 違規行為裁罰。

下載符合數據保護法規的七個步驟

以下列出我認為最有可能違反 GDPR 的企業。

1.Facebook

Facebook 目前因 Cambridge Analytica 醜聞而備受注目,因此很可能會在 ICO 密切監督的第一波 GDPR 違規名單之列。這樁醜聞發生在 GDPR 生效之前,因此事件本身應不至於令主管機關開始調查 Facebook 處理使用者資料的方式,不過,Facebook 過於簡略的隱私權政策仍有許多需要審查的部分。

Facebook 其實已經遭 ICO 開罰 500,000 元,不過,儘管傳出許多不實報導,這筆罰金確實與 GDPR 無關。Facebook 遭罰的理由其實是違反了 GDPR 所取代的《1998 年資料保護法》。

Facebook 蓄意挖掘資料並以廣告形式出售這類資料,甚至推播大量不實資訊,向任何出得起錢的人兜售。這就是他們的營利手段。而且,他們對於 API 的控制也不夠完善。只要看看這份近期調查結果,瞭解駭客如何利用存取權杖非法盜用使用者的 Facebook 個人資料,就能略知一二。

如果明白告知使用者資料用途,讓使用者有權選擇拒絕,那就無所謂。不用說,Facebook 究竟將您的個人資料運用在哪些用途,他們並非全然願意坦誠相告。因此,Facebook 會是 GDPR 的頭號敵人,我預測他們不久之後就會官司纏身。

Facebook 成了做錯事的不良示範,這將會成為他們的致命傷。

2.英國航空公司 (British Airways)

英國空公司 (BA) 發現自己成了 2018 年 9 月某項安全漏洞的受害者。不過,我現在不想過於指責他們。他們大部分處理得不錯,甚至還買下報紙廣告版面,盡可能讓大眾知道他們犯了什麼錯。

倘若公司已經在能力範圍內盡力保護歐盟居民的個人資料,GDPR 並不會光就資料外洩情節開罰。此外,有鑑於 BA 做了對的決定,及時向大眾公佈外洩事件相關資訊,BA 此舉立意良善,也保護了該公司。

然而,早在外洩事件發生前一年,該公司就已經知道他們的網站出現了第三方外掛程式造成的漏洞,這才是問題所在。他們在知情的情況下仍未設法排除網站發生的問題。會讓 BA 遭 GDPR 懲處的問題恐怕就在這裡,不過,目前我們只能靜觀其變。

力求遵循 GDPR 規定。下載這份免費指南。

3.Google

Google 根本就是 GDPR 的夢魘。他們無所不收集,近年來似乎更稱霸網際網路。他們比您還要清楚您的一切,因此,Google 遲早得接受 ICO 調查,而且很有可能會遭罰。

Google 究竟會如何因應恐將遭罰 GDPR 罰金的威脅,任誰也說不準。他們不會因為挨罰幾次就放棄他們最拿手的事,也就是採集資料。也許,以後您在搜尋欄位輸入任何內容之前都會看見一個核取方塊,又或者,他們會乾脆漠視罰金問題。

問題在於,Google 需要我們的資料,我們也需要 Google,所以勢必得有一番拉鋸。好笑的是,Google 已經找到一些能夠避免像 Facebook 一樣引發反彈的方法,即便他們本身就是問題的根源。

我猜,Google 至少得因為 GDPR 而付出某種程度的罰金,或者因此遭到起訴。不過,這也難說,我又不是沒猜錯過!New Call-to-action

轉自IPSWITCH中文官方部落格