號稱史上最嚴格的歐盟新版個資法「歐盟通用資料保護規則」(GDPR),已於5月25日正式上路。由於其規範適用行業廣泛,罰則又重,令台灣的航空、海運、金融、電商通路等首當其衝的相關行業,於近期出現向產險業者探詢投保資安險的風潮。但因為資安險的保費並不便宜,因此這些可能受到衝擊的產業,雖然詢問度高,多數業者卻只能陷入難以取捨的進退失據困局。
檢視歐盟GDPR的這顆震撼彈,最主要就在於它規定一旦爆發歐洲民眾的個人資料遭到外洩,則外洩的企業或組織,除了必須要在72小時內通報歐盟的資料保護主管機關,同時將依照外資洩漏個資情節輕重,科以1千萬至2千萬歐元(新台幣3.6億至7.2億元),或該企業全球營業額的2至4%作為罰款。
不只罰款金額超高,更嚴重的是,GDPR所訂的規範不只是不論公司大小都要遵守,以及適用的主體包括自然人、法人、公務機關、民間組織;同時其所適用的地域範圍,更不只包括設在歐盟境內的資料控制者及處理者,甚至連處理個資的活動並非發生在歐盟境內,這些涉及的歐盟境外企業也都要擔責受罰。
面對這種近乎天羅地網的對歐盟區內人民、組織、產業的個資保護規範,自然會對歐盟區外,而與歐盟區有業務往來的企業帶來重大的經營風險。因此準確來講,GDPR其實早在2016年5月25日,就在歐盟完成立法正式生效。而他們自然也知道應該訂出日出條款,好讓可能受到波及的國際企業,有調整因應的緩衝時間,而生效之後2周年的今年5月25日,就成為GDPR正式實施的日期。
儘管歐盟給了兩年的緩衝期,遠的不論,單以海峽兩岸的回應情況來看,竟然出現相當大的反差現象。
在台灣這邊,可能受到波及的產業,等於是到了已經要正式實施的最後關頭,才像大夢初醒般的出現資安險詢問度大增的「盛況」,以及明明GDPR馬上就要正式適用,還在猶疑是否要投保這種保費偏高的資安險。
而在大陸對岸,與歐盟區有業務關連的相關企業自然也是惶惶不安。但對於有心進軍歐洲市場的陸企來講,相較於違反GDPR所將承受的鉅額罰款,他們更在意的是失去歐洲市場准入的機會,以及失去用戶的信任。因此他們只好把握這兩年的緩衝期,首先在產品和服務的初始設計階段,就將資料與隱私的保護考慮在內,其次是務實的對照GDPR條款要求,逐一採取應對措施,修訂和補充其隱私保護政策。再者是體認企業必須建立完善的資料監控機制,以期在符合GDPR監管要求與尋求商業利益中找到平衡。而經過這兩年的亡羊補牢,就在歐盟新版個資法正式實施前夕,媒體報導包括阿里巴巴旗下的阿里雲、手機廠商小米科技、快遞服務商順豐等大陸企業,都已分別宣布按照相關規定,準備就緒。
兩相對照海峽兩岸企業的不同反應模式,一方是因勢利導把自家企業的資安保護措施予以進一步完善化;另一方則是虛耗兩年的緩衝時間,等到都已經要兵臨城下了,還在猶疑到底要不要買價格高昂的資安險,當然就更遑論投入資源讓自家企業的資安保護機制升級了!
總結兩岸企業在面對歐盟GDPR所帶來的衝擊乃至危機,猶疑觀望心存僥倖與因勢利導完善資安保護,這兩種截然不同的對應模式之間自然是高下立判。但除此之外,兩岸的政府主管部門之表現,同樣也出現高下之別。
按理說,從2016年5月25日歐盟宣告GDPR正式生效起,除了企業要有危機意識,做好風險管理,公部門機構也不應置身事外。
但也許是政出多門,在台灣有可能受到衝擊的相關企業之主管部會,不論是經濟部、交通部、金管會,甚至於衛福部等,過去兩年未見對相關企業做出提醒、輔導和督促的舉措。
而在大陸,至少他們的工信部具體的提醒包括電子支付、電子商務以及雲端服務,乃至區塊鏈、大數據徵信等服務,因涉及使用者個人資料的收集、控制、處理及利用,必須確實做好對應準備。於今,GDPR既已正式上路,時間將會證明兩岸的企業,誰將是輸家,而誰又將是贏家。而至少以個案來看,忙於內耗的小英政府,對比大陸無疑將是大輸家了!
(工商時報/主筆室)