工業4.0、智慧化、大數據等產業發展皆離不開資料的採集傳輸及處理。2018年5月25日起,號稱史上最嚴格的歐盟個資法通用資料保護法(General Data Protection Regulation,GDPR)強制執行,它是迄今為止覆蓋面最廣,以及最嚴格的個人隱私保護法規,適用於全球,無論廠商是否在歐盟境內,只要其產品或服務在歐盟區銷售,並且關係到保存與處理歐盟公民個人資料者都必須遵守此法案。該法案的影響力不僅局限於歐洲,對於未來全球數位經濟也將產生深刻的影響。

歐盟通用資料保護法 GDPR已於2018年5月25日強制執行,為個人資料安全與隱私權設立嚴格的保護標準,提升個人資料保護層級與範圍。該法案由11章共99條組成,其中關於資料主體(data subject)的權利、資料控制者(data controller)和資料處理者(data processor)的權利義務都有註明。假如企業的服務中有歐盟客戶、供應商、會員、捐款人等,並擁有其個人資訊,如信用卡帳號、聯繫方式、會員資料等,或企業雇用歐盟公民並擁有其個人資訊,無論公司位於何處,皆適用於此法案。簡言之,此法案主要規範對象包括:

1.所有在歐盟區銷售產品或提供服務的企業;

2.所有保存、處理歐盟公民資料的企業;

3.與企業是否在歐盟境內無關。

只要和歐盟自然人個資相關,例如:自然人姓名、身份證號碼、定位資料、線上身份識別及物理、生理、遺傳、心理、經濟、文化或社會身份等自然人要素相關的內容都是GDPR法案的保護範圍。

同時,GDPR的主要核心內容都是在管控個資擁有者、控制者與使用者的相關責任與限制。GDPR認為企業應落實以下不同面向的個資是否符合法令要求:

•兒童的個資處理;

•非必要使用的個資及禁止收集資料類型;

•個資使用的知情同意;

•個資的被遺忘權/修改權/移動權/刪除權/可攜帶權;

•設置資料保護官(DPO);

•個資加密、隱私設計洩露通知;

•非必要的產品服務功能設計。

該法案從法律上定義了用戶隱私的重要意義,也決定了企業應如何合法地應用新技術、業務創新來獲取個人資料的巨大價值;違者會被課以2,000萬歐元或全球年營業額4%(二者取其高),更可能被要求產品下架禁售。

為了因應此法案的公佈,目前已經有很多企業推出了相關應對措施,從資料保護的技術層面做出努力。例如,透過研究GDPR法案調整個人資料的使用和方法、由協力廠商認證公司進行詳細的認證和評估,找到違規專案並降低風險、進行詳細的法律諮詢,將風險控制在安全線以內等。

建立在資料獲取、傳輸、儲存和運算基礎上的智慧與物聯網(IoT)產品/服務首當其衝地成為了受GDPR影響的主要產業,例如:智慧可穿戴設備、智慧家庭、車聯網產品等。為因應GDPR的巨大影響,德國萊因(TÜV)為IoT產品提供GDPR解決方案,通過驗證的IoT產品和服務項目,會授與德國萊因的認證標誌。產品認證標準會依據GDPR法案的規定,從硬體與韌體、通訊、App、文件記錄與資料使用的五個層面來評估IoT產品的隱私保護。