林添生:最近大量企業電郵湧入 元兇叫GDPR

2018-05-28
林添生
公共政策及事務顧問
 
AAA

gdpr1.jpg

很多讀者都會發現,最近收到大量來自企業、機構向用家發出的電郵,通知您其個人資料採集政策已經改變,或者希望您同意他們採集您的個人資料的方法。這全因GDPR四個字母。

保護個人資料法例新趨勢

GDPR (General Data Protection Regulation) 是歐盟通過的法規,限制企業及機構如何處理網絡上採集到的資料。GDPR在5月25日正式實施,不僅為眾多跨國企業帶來頭痛,亦可能成為規管個人資料法例的新趨勢。

雖然法例在歐盟實施,但對全球的企業和網絡使用者,無論是誰或身在何處,都很有可能受到影響。只要(非歐洲的)企業採集歐洲人的資料,或使用歐洲公司處理資料,GDPR也是適用的。被裁定違反GDPR規則的企業,會面對高達1000萬歐元或該企業全球收入4%的罰款,以較高者為準。

GDPR旨在令公民對其個人資料有更多的控制,包括企業如何採集您的個人資料、企業能或不能如何使用個人資料、強制企業去解釋更多他們對個人資料所做的所有行為。GDPR亦使用戶更清晰自己哪種的個人資料會被企業使用,及如何被使用。

新時代需要個人資料新法例

基本上,我們生活每一環都圍繞著個人資料。社交媒體、銀行、零售商、政府、網上商店,我們用到的服務提供商都有採集和分析我們的個人資料。任何可以確認您的身分的資料都被定義為個人資料,包括姓名、地址、信用卡號碼,但GDPR亦保護您的網上個人資料,包括登入名稱、IP地址、位置資料,甚至有特別規例保護部分敏感資料,例如個人性取向、健康資料、政見、基因資料、生物特徵資料等。

GDPR被視為保護個人資料法例的重要改革,因為舊法例是寫在當智能手機未會從互聯網上透過facebook或google等程式,大量採集關於我們的敏感資料之前的時代。新法例更能反映我們現今生活的世界,把歐洲區內有關個人資料、私隱和個人同意等法律和義務,使其更先進。

更清晰的條款 提高透明度

GDPR最重要的規定,是要求企業要徵得用戶的確實同意去採集及使用資料,而用戶有權要求提取及刪除被採集的資料。同時,GDPR希望提高網絡企業採集用戶資料時的透明度,企業會被要求使用更簡單的語言去描述採集及使用個人資料的方法及用途。

而較早時較受關注的「被遺忘權」,GDPR也有觸及。GDPR容許用戶要求刪除其被採集的個人資料,而個人資料亦應以可傳送的格式被存檔。但在GDPR下的個人「被遺忘權」並非絕對,而是有一些特定條件所規範。

總的來說,GDPR鞏固及簡化了對企業使用個人資料的監管,使政策更合事宜,亦提高監管的確定性及透明度,將使歐洲民眾及企業更能受益於數碼經濟的發展。

 
文章只屬作者觀點,不代表本網立場。
延伸閱讀