■歐盟新的私隱規定涵蓋科技巨擘至街邊小店。 網上圖片可罰全球營業額4% 世上最嚴
令全球企業聞風喪膽的歐盟《通用數據保障條例》(GDPR)今日正式生效,今後全球企業無論大小或者是否在歐盟設立機關,只要業務可能涉及處理歐盟人士個人資料,或者向歐盟人士提供服務,便必須受條例監管。這項被認為是當今世上「最嚴」的私隱保護法規,規定企業必須採取措施保障用戶數據,並遵從個人訊息收集和使用的基本原則,違者可被處以重罰。由於香港企業經常接觸歐盟人士,故亦受條例監管,私隱專員公署早前已經發出小冊子,協助本地資料使用者了解和遵守海外相關資料保障法規。
GDPR早於2016年已完成立法程序,經過兩年過渡期後今日正式生效,並取代1995年的《數據保護指令》。新條例規定所有適用企業向客戶收集資料前,必須提供不長於一頁、用通俗語言寫成的表格,解釋收集數據的方式和徵得客戶同意,並重新徵求現有客戶同意。
種族信仰納用戶數據範疇
新條例亦拓展了有關網絡用戶數據的定義,除了姓名、證件號碼、地址和網絡IP地址等常規個人資料外,還將反映種族、宗教信仰甚至性取向的資料,都納入保障範圍。條例更賦予客戶「被遺忘權」、數據「可攜帶權」和「刪除權」等權利,企業亦有義務採取一切合理措施,刪除或糾正不正確的個人資料。
科技巨擘天價罰則
GDPR不但「管得嚴」,更是「管得廣」、「罰得狠」。條例規定任何未有採取措施避免或降低侵犯私隱風險的企業,最高可罰款1,000萬歐元(約9,204萬港元)或全球營業額的2%(以較高者為準);違反個人資料收集和使用基本原則,以及沒有保障客戶權利的企業,最高可罰款2,000萬歐元(約1.84億港元)或全球營業額4%(以較高者為準)。對於Google或facebook等跨國科網企業而言,一旦被裁定違例,罰款將動輒以十億歐元計。
法例一刀切 歐小企呻苦
GDPR更擁有強大歐盟域外管轄權,不僅註冊地或總部在歐盟的企業受規管,所有「地理上」位於歐盟外的企業,只要向歐盟人士提供產品、服務,或持有、處理歐盟人士的數據,都必須遵守條例。換言之,一家香港的網上商店如果接受歐盟人士訂單,便會受到條例監管。
近兩星期以來,Google等跨國企業已先後向用戶發信,提醒新私隱條例生效,但不少人手相對不足的小企業卻疲於奔命,相關法律開支大增。奧地利律師施雷姆斯批評,歐盟一刀切對所有企業推行新規例,未有豁免中小企,只會製造大量灰色地帶,獲益的將是大企業。
■英國廣播公司/美聯社