GDPR 的整体影响，以及消费者与企业态度

　　图片来源：https://pixabay.com/photo-3327745/

　　2017年，经济学人将个人数据比作数字时代的石油，是世界上最珍贵的资源之一，各国也日益重视数据的价值，对各自境内数据订下不同的使用规范，上周简单说明GDPR后，下面将带读者更进一步了解其运用。

　　2017，数据泄漏的一年 (2018-05-28)在Facebook和剑桥分析的数据泄漏事件曝光前，2017年就已陆续爆出多起知名企业泄漏消费者个人数据的大新闻。

　　包括Yahoo承认早前的数据泄漏事件受害用户达30亿人、美国电信龙头Verizon泄漏全球600万用户个人数据、叫车服务Uber也认了曾为5,700万笔乘客与驾驶个人数据付赎金;此外，多位好莱坞明星的IG账号遭骇，私人信箱与电话外流…

　　根据美国身份窃盗资源中心(Identity Theft Resource Center, ITRC)的报告，2017年公布的数据泄漏事件多达1,253起，超过2016年的1,093起。

　　随着灾情加剧，民众的安全意识日益提高。欧盟祭出号称最严格个人数据法GDPR，本篇专题将介绍GDPR的整体影响，以及消费者与企业对此抱持的态度。

　　20年来欧盟最严格的个人数据保护法规：GDPR

　　号称20年来最严格的GDPR和过往欧盟地区的个人数据保护法规相较，究竟什么改变了?

　　?个人数据的新定义：

　　所有属于个人或可用以便是特定个人的数据(包含位置信息、计算机IP地址);宗教、 种族、性取向等敏感信息须受到额外保护。

　　?欧盟居民更多权利：

　　有权知道个人数据收集与其用途;有权获得被企业收集的数据并要求删除或更正;有权将数据从某服务提供商转移到另一厂商。

　　?罚金提高：

　　企业全球年营收的2-4%或2,000万欧元，取较高者。

　　?同意条款要求更严：

　　企业必须获得消费者自由、明确、已知情况下的许可，才能收集并处理其数据，目前常见和其他服务条款捆绑成一包的形式不符合规定。

　　?影响遍及全球：

　　各国公司凡有顾客在欧盟境内即适用。

　　?数据处理方的限制：

　　受数据控管方(controllers)委托处理数据的数据处理方(processors)亦受法规限制;未经控制方同意，处理方不得外流相关数据。

　　?数据使用：

　　合法、透明、公平，企业为达到某目的收集的数据不得用于其他用途。

　　?数据泄漏通报：

　　若数据泄漏，企业察觉的72小时内须通报主管机关。

　　归纳GDPR引起广泛关注主要有三大原因：

　　1、只要企业收集或处理数据的对象身在欧盟地区，就适用GDPR。

　　2、企业在做市场调查时获得的消费者个人数据，受到GDPR保护。

　　3、过去罚款仅具象征意义，未来违反GDPR的企业将付出高额代价。

　　欧盟境外组织，也可能受冲击

　　在欧盟境内处理当地居民个人数据或监控欧盟居民行为的所有组织。

　　成立在欧盟的组织，不管数据处理是否发生在欧盟境内。

　　成立在欧盟境外、但处理欧盟居民个人数据的组织，包括对欧盟提供服务或商品者。

　　何种情况适用GDPR?

　　(不需)德国居民利用Google搜寻找到一篇为美国消费者所撰写英语文章。

　　(适用)德国居民利用Google搜寻找到一篇以德语撰写，并提到德国客户或用户的文章。

　　科技巨头积极准备迎接GDPR

　　GDPR保护与特定个人有关的所有信息：

　　?个人身份与生物特征数据，含电话、地址、车牌、健康数据、脸部辨识、指纹、虹膜扫描、相片、影片、电邮内容、问卷调查。

　　?在线定位数据，如cookie、IP位置、移动装置ID、社群活动纪录。

　　GDPR生效，首当其冲的是拥有大量用户数据的科技大厂，尤其数字广告龙头Facebook、Google。他们的使用者和商业伙伴遍布欧盟，生意高度依赖用户数据，是被监管单位紧盯的对象，该如何做好准备?

　　改善产品设计、调整推出时程与地点：

　　Amazon强化云端保存的数据加密技术。Facebook决定不在欧洲上线一个透过健康数据与AI来监测该用户是否有自杀倾向的服务，也暂缓在当地发布脸部 识别软件。

　　重申用户对其个人数据的权利：

　　Google已开始让消费者在讯息控制中心中随时查看、管理、自由选择是否要向旗下各产品分享数据。Facebook、Yahoo也对会员发出新的隐私条款声明，Facebook用户能够选择让谁看到他的贴文、愿意接受哪类广告，但在与广告商分享数据的部分，用户只能选择同意或是管理数据设定，不能拒绝。未来Amazon仍可能透过消费数据向用户推荐产品，但用户可以选择拒绝这项功能。

　　4成企业坐等，新创StreetLend不玩了

　　欧盟境外的企业须仔细检视自家的在线营销活动，特别是饭店业、旅游业、软件服务、电商公司;而有针对欧洲市场制作在地化网络内容的商家，也应该审查网站营运。

　　根据eMarketer，北美IT专业人员只有6%认为公司已充份准备好迎接GDPR，近四成则是刚刚开始甚至尚未开始准备。

　　相较Facebook、Google等大企业，一般公司面对GDPR则显得信心不足，主因是大企业有更多资源及更强大的法律团队。一份调查显示，员工数小于500的企业为自己的GDPR准备工作评分仅2.97，大于500人的企业平均3.13分。

　　共享新创公司StreetLend就因为担心被罚而停止服务，这个网站和Amazon合作，在用户搜寻想租借的商品时，同时列出Amazon上的商品，若用户选择购买，平台即可和Amazon拆帐。

　　为了不踩GDPR红线，微软建议企业采取四步骤：

　　1、清查企业拥有的个人数据及所在位置， 评估是否受GDPR影响。

　　2、改善对个人数据的存取、管理和使用方式。

　　3、以更进阶的技术保护个人数据。

　　4、保存个人数据处理纪录，向大众揭露企业如何保护和使用个人数据。

　　寄确认信给取消订阅的消费者，3品牌受重罚

　　未从头一步步检视企业拥有的数据，就急着与消费者沟通，企图获得个人数据使用的正当性，可能反会弄巧成拙。英国信息委员会办公室(ICO)2016年报告的三起事件皆涉及知名品牌，而他们都只 做了一件事：寄email给客户。

　　英国廉航Flybe寄信给其数据库中的330万人，询问“您的信息是否正确”，但这330万人过去选择不接受/取消订阅营销信件，Flybe并未取得主动和消费者联系的许可，为此被罚7万英镑。Honda Motor Europe写信给近29万订户，询问“您愿意收到来自Honda的讯息吗”，以得知他们是否愿意收到接下来的营销电子邮件，但这封信也不慎发给了先前已选择拒绝的消费者，罚金1万3,000英镑。连锁超市Morrisons重新上线“Match & More”客户忠诚计划，为了鼓励更多消费者享用优惠，Morrisons寄信给数据库中的23万人，提醒他们更新账户偏好，然而其中 13万人过去已取消订阅来自Morrisons的讯息，因此Morrisons被罚了1万500英镑。

　　未来GDPR上路后对个人数据的认定更广、对同意条款的要求更严，并强调消费者应该有“被忘记的权利”，当消费者明确拒绝再收到营销讯息时，别再尝试寄信给他。Morrisons的违规事件由消费者主动检举，显示大众对保护个人数据的重视及行动力都在提高。

　　英国仅35%网络用户听说过GDPR，未成为公众话题

　　GDPR立意是把对个人数据的所有权利还给消费者，将其重要性置于科技、商业发展与便利性之上，但消费者如何看待GDPR?

　　根据Kantar TNS的调查，在2018年1月，英国消费者对于GDPR的认知度只有35%。而其他针对法国、德国等欧盟国家所做的调查，则有至少六成网络用户听过GDPR，知道它是与个人数据保护相关的法令。

　　Kantar TNS也监测了2017全年网络上对于GDPR的讨论，包括社群、部落格、讨论区，发现GDPR的网络声量极小，主要仍是专业人员间的讨论，并未成为一个公众的话题。

　　eMarketer深入分析消费者对于GDPR和个人数据收集抱持的心态，虽然调查显示，七成左右的消费者回答“企业不应该收集我的个人数据”，但这背后的意义并非是不喜欢透过数据提供更好的服务， 而是担忧数据滥用、数据泄漏、身份盗窃等情况。

　　四分之三消费者认为“企业不应该未经允许联系我”、“如果可以选择我不会分享个人数据”，反映的则是消费者对于个人数据掌控权的重视。

　　此外，eMarketer以广告拦截系统为例，近三年开始受到关注的广告拦截其实早在2006年就已出现，点出大众即使重视个人数据保护，未必会很快采取更改隐私设定、撤回数据分享等实际行动。

　　品牌应聚焦关键数据

　　这几年品牌高度依赖消费者行为数据来执行数字广告、规划营销活动，应特别注意数据收集、利用过程中的瑕疵，例如首先必须更改隐私条款与服务条款捆绑的情况，列出明确的同意/拒绝/撤回个人数据收集选项，将权利还给消费者。

　　营销人员主要应关注的三个面向如下：

　　?DATA PERMISSION 数据许可：

　　消费者或合作伙伴必须手动确认同意他们未来想持续被你联系，你不能预设勾选同意，同意数据收集必须是有意的选择。

　　?DATA ACCESS 数据访问：

　　营销人员有义务确保你的消费者能够轻易访问他被你收集的数据， 并撤回数据收集或使用的许可， 例如取消订阅电子报。

　　?DATA FOCUS 数据聚焦：

　　聚焦在你真正需要的数据，不要借机“多问一些”其实你并不需要的信息，拥 有少量却关键的数据，也降低泄漏风险。

　　GDPR不仅带来限制，也带来机会，根据英国直效营销协会(DMA)的调查，三分之二受访者认为GDPR让他们更有信心和品牌分享数据，长期来看，主动提高数据使用标准的企业将建立在消费者心中的信赖和好感。

　　个人数据保护愈来愈严是全球趋势

　　欧盟法规向来是各国标竿，带有强烈重视人权的色彩，GDPR同样展现了个人数据保护趋严的前端思维，将凭借欧盟的全球影响力引领变革。其他国家可能陆续启动在地法规的调整，向GDPR靠拢，从和欧盟多生意往来的企业与地区逐渐扩散出去。

　　亚洲各国和地区都有自己的数据隐私条例，如在新加坡和菲律宾，任何私人企业的数据共享都需要消费者同意。中国最新“信息安全技术个人信息安全规范”树立的标准在很多方面都与GDPR齐肩甚至更加严格，但它并没有强制力，未来是否能影响法规与企业作为仍待时间检验。

　　美国战略与国际研究中心(CSIS)指出，欧洲、中国两大经济体在个人数据保护的观念和作法上日渐趋同，美国的数据政策则相对显得孤立、被动。

　　目前各国的数据政策存在的分歧，将对跨国数据流动、网络产业的跨境服务造成障碍与挑战，因此未来随着GDPR生效，可能会看到更加一致的亚洲标准甚至全球标准，但这还有很长的路要走。

　　结语

　　2017年，经济学人就将个人数据比作数字时代的石油，是世界上最珍贵的资源之一，因为数据改变了企业与顾客沟通的方式，并对消费者体验造成正面影响。各国日益重视数据的价值， 也对各自境内数据订下不同的使用规范。

　　网络打通全球市场，模糊了国界，GDPR虽然是欧盟法规，但影响范围遍及全球，不管是为 了在层出不穷的数据泄漏事件后挽回消费者信心，还是为了在做跨境生意时避免高额罚款， 愈来愈严格的个人数据保护与数据运用都是不可挡的趋势。

　　无论在欧盟境内或境外，仰赖数据的商业行为和营销活动不可能消失，品牌在收集个人数据时应 聚焦关键数据，提高使用数据的透明度，将选择与监管权归还消费者。虽然在初期需要投入 的成本并不小，但提早准备能帮助品牌化被动为主动，长期更能提高品牌形象。