凱絡媒體週報

CARAT MEDIA WEEKLY NEWSLETTER

No. 944
媒體專題
Media Report
走在時代前沿的
GDPR

王純玉、陳昕平
前言：2017，數據外洩的一年
• 在Facebook和劍橋分析的數據外洩事件曝光前，2017年就已陸續爆
出多起知名企業外洩消費者個資的大新聞。包括Yahoo承認早前的
數據外洩事件受害用戶達30億人、美國電信龍頭Verizon外洩全球
600萬用戶個資、叫車服務Uber也認了曾為5,700萬筆乘客與駕駛個
資付贖金；此外，多位好萊塢明星的IG帳號遭駭，私人信箱與電話
外流…
• 根據美國身份竊盜資源中心(Identity Theft Resource Center, ITRC)的報告，2017年公佈的數據外洩
事件多達1,253起，超過2016年的1,093起。
• 隨著災情加劇，民眾的資安意識日益提高。歐盟祭出號稱最嚴格個資法GDPR，本篇專題將介紹
GDPR的整體影響，以及消費者與企業對此抱持的態度。

※圖片來源：Sta Broek News(2018.03)

20年來歐盟最嚴格的個資保護法規：GDPR
• 號稱20年來最嚴格的GDPR和過往歐盟地區的個資保護法規相較，究竟什麼改變了？

個資的新定義 EU 歐盟居民更多權利 罰金提高

所有屬於個人或可用以便是特定個人的數 有權知道個資收集與其用途；有權獲得被 企業全球年營收的2-4%或2,000萬歐元，

據(包含位置資訊、電腦IP位址)；宗教、 企業收集的數據並要求刪除或更正；有權 取較高者。
種族、性取向等敏感資訊須受到額外保護。 將數據從某服務提供商轉移到另一廠商。

同意條款要求更嚴 影響遍及全球 數據處理方的限制

企業必須獲得消費者自由、明確、已知情 各國公司凡有顧客在歐盟境內即適用。 受數據控管方(controllers)委託處理數據的

況下的許可，才能收集並處理其數據，目 數據處理方(processors) 亦受法規限制；
前常見和其他服務條款綑綁成一包的形式 未經控制方同意，處理方不得外流相關數
不符合規定。 據。

數據使用 數據外洩通報

合法、透明、公平，企業為達到某目的收 若數據外洩，企業察覺的72小時內須通報
集的數據不得用於其他用途。 主管機關。

• 歸納GDPR引起廣泛關注主要有三大原因：(1)只要企業收集或處理數據的對象身在歐盟地區，就
適用GDPR (2)企業在做市場調查時獲得的消費者個資，受到GDPR保護 (3)過去罰款僅具象徵意義，
未來違反GDPR的企業將付出高額代價。
※資料/圖片來源：Reuters(2018.05)、Forbes(2017.12)
歐盟境外組織，也可能受衝擊

在歐盟境內處理當地 成立在歐盟的組織， 成立在歐盟境外、但

居民個資或監控歐盟 不管數據處理是否發 處理歐盟居民個資的
居民行為的所有組織 生在歐盟境內 組織，包括對歐盟提
供服務或商品者

• 何種情況適用GDPR？
德國居民利用Google搜尋找到一篇為美國消費者所撰寫英語文章。
德國居民利用Google搜尋找到一篇以德語撰寫，並提到德國客戶或用戶的文章。

※資料/圖片來源：Forbes(2017.12)、
科技巨頭積極準備迎接GDPR
• 個人身份與生物特徵資料，含電
GDPR保護 • 線上定位資料，如cookie、IP位
話、地址、車牌、健康資料、臉
與特定個人
部辨識、指紋、虹膜掃描、相片、 置、行動裝置ID、社群活動紀
有關的所有
影片、電郵內容、問卷表單。 資訊 錄。

• GDPR生效，首當其衝的是擁有大量用戶數據的科技大廠，尤其數位廣告龍頭Facebook、Google。
他們的使用者和商業夥伴遍佈歐盟，生意高度依賴用戶數據，是被監管單位緊盯的對象，該如何
做好準備？
• 改善產品設計、調整推出時程與地點：Amazon強化雲端保存的數據加密技術。Facebook決定不
在歐洲上線一個透過健康數據與AI來監測該用戶是否有自殺傾向的服務，也暫緩在當地發佈臉部
識別軟體。
• 重申用戶對其個資的權利：Google已開始讓消費者在訊息控制中心中隨時查看、管理、自由選擇
是否要向旗下各產品分享數據。Facebook、Yahoo也對會員發出新的隱私條款聲明，Facebook用
戶能夠選擇讓誰看到他的貼文、願意接受哪類廣告，但在與廣告商分享數據的部分，用戶只能選
擇同意或是管理資料設定，不能拒絕。未來Amazon仍可能透過消費數據向用戶推薦產品，但用
戶可以選擇拒絕這項功能。

※資料/圖片來源：Microsoft、New York Times(2018.01)、iThome(2018.04)

4成企業剉咧等，新創StreetLend不玩了
• 歐盟境外的企業須仔細檢視自家的線上行銷活動，特別是飯店業、旅遊業、軟體服務、電商公司；
而有針對歐洲市場製作在地化網路內容的商家，也應該審查網站營運。根據eMarketer，北美IT
專業人員只有6%認為公司已充份準備好迎接GDPR，近四成則是剛剛開始甚至尚未開始準備。
• 相較Facebook、Google等大企業，一般公司面對GDPR則顯得信心不足，主因是大企業有更多資
源及更強大的法律團隊。一份調查顯示，員工數小於500的企業為自己的GDPR準備工作評分僅
2.97，大於500人的企業平均3.13分。共享新創公司StreetLend就因為擔心被罰而停止服務，這個
網站和Amazon合作，在用戶搜尋想租借的商品時，同時列出Amazon上的商品，若用戶選擇購買，
平台即可和Amazon拆帳。
• 為了不踩GDPR紅線，微軟建議企業採取四步驟：

清查企業擁有的 保存個資處理紀
改善對個資的
個資及所在位置， 以更進階的技 錄，向大眾揭露
存取、管理和
評估是否受 術保護個資 企業如何保護和
使用方式
GDPR影響 使用個資

※資料/圖片來源：Forbes(2017.12)
寄確認信給取消訂閱的消費者，3品牌受重罰
• 未從頭一步步檢視企業擁有的數據，就急著與消費者溝通，企圖獲得個資使用的正當性，可能反
會弄巧成拙。英國資訊委員會辦公室(ICO)2016年報告的三起事件皆涉及知名品牌，而他們都只
做了一件事：寄email給客戶。

• 英國廉航Flybe寄信給其數據庫中的330萬人，詢問「您的資訊是否正確」，但這330
萬人過去選擇不接受/取消訂閱行銷信件，Flybe並未取得主動和消費者聯繫的許可，
為此被罰7萬英鎊。
• Honda Motor Europe寫信給近29萬訂戶，詢問「您願意收到來自Honda的訊息嗎」，
以得知他們是否願意收到接下來的行銷電子郵件，但這封信也不慎發給了先前已選擇
拒絕的消費者，罰金1萬3,000英鎊。
• 連鎖超市Morrisons重新上線「Match & More」客戶忠誠計畫，為了鼓勵更多消費者
享用優惠，Morrisons寄信給數據庫中的23萬人，提醒他們更新帳戶偏好，然而其中
13萬人過去已取消訂閱來自Morrisons的訊息，因此Morrisons被罰了1萬500英鎊。

• 未來GDPR上路後對個資的認定更廣、對同意條款的要求更嚴，並強調消費者應該有「被忘記的
權利」，當消費者明確拒絕再收到行銷訊息時，別再嘗試寄信給他。Morrisons的違規事件由消
費者主動檢舉，顯示大眾對保護個資的重視及行動力都在提高。

※資料/圖片來源：Google圖片
英國僅35%網路使用者聽說過GDPR，未成為公眾話題
• GDPR立意是把對個資的所有權利還給消費者，將其重要性置於科技、商業發展與便利性之上，
但消費者如何看待GDPR？根據Kantar TNS的調查，在2018年1月，英國消費者對於GDPR的認知
度只有35%。而其他針對法國、德國等歐盟國家所做的調查，則有至少六成網路使用者聽過
GDPR，知道它是與個資保護相關的法令。Kantar TNS也監測了2017全年網路上對於GDPR的討論，
包括社群、部落格、討論區，發現GDPR的網路聲量極小，主要仍是專業人員間的討論，並未成
為一個公眾的話題。

• eMarketer深入分析消費者對於GDPR和個資收集抱持的心態，雖
然調查顯示，七成左右的消費者回答「企業不應該收集我的個
資」，但這背後的意義並非是不喜歡透過數據提供更好的服務，
而是擔憂數據濫用、數據外洩、身份盜竊等情況；四分之三消費
者認為「企業不應該未經允許聯繫我」、「如果可以選擇我不會
分享個資」，反映的則是消費者對於個資掌控權的重視。

• 此外，eMarketer以廣告攔截系統為例，近三年開始受到關注的廣
告攔截其實早在2006年就已出現，點出大眾即使重視個資保護，
未必會很快採取更改隱私設定、撤回數據分享等實際行動。

※圖片來源：Freepik
品牌應聚焦關鍵數據
• 這幾年品牌高度依賴消費者行為數據來執行數位廣告、規劃行銷活動，應特別注意數據收集、利
用過程中的瑕疵，例如首先必須更改隱私條款與服務條款綑綁的情況，列出明確的同意/拒絕/撤
回個資收集選項，將權利還給消費者。行銷人員主要應關注的三個面向如下：

消費者或合作夥伴必須手動確認同
意他們未來想持續被你聯繫，你不
DATA
能預設勾選同意，同意數據收集必
PERMISSION
須是有意的選擇。
數據許可
行銷人員有義務
確保你的消費者
能夠輕易訪問他
被你收集的數據， 聚焦在你真正需要的數據，
DATA DATA
並撤回數據收集 不要藉機「多問一些」其
ACCESS FOCUS
或使用的許可， 實你並不需要的資訊，擁
數據訪問 數據聚焦
例如取消訂閱電 有少量卻關鍵的資料，也
子報。 降低外洩風險。

• GDPR不僅帶來限制，也帶來機會，根據英國直效行銷協會(DMA)的調查，三分之二受訪者認為
GDPR讓他們更有信心和品牌分享數據，長期來看，主動提高數據使用標準的企業將建立在消費者
心中的信賴和好感。

※資料/圖片來源：Super Office(2018.05)
個資保護愈來愈嚴是全球趨勢
• 歐盟法規向來是各國標竿，帶有強烈重視人權的色彩，GDPR同樣展現了個資保護趨嚴
的前端思維，將憑藉歐盟的全球影響力引領變革。其他國家可能陸續啟動在地法規的調
整，向GDPR靠攏，從和歐盟多生意往來的企業與地區逐漸擴散出去。
• 亞洲各國都有自己的數據隱私條例，如在新加坡和菲律賓，任何私人企業的數據共享都
需要消費者同意。中國最新「信息安全技術 個人信息安全規範」樹立的標準在很多方面
都與GDPR齊肩甚至更加嚴格，但它並沒有強制力，未來是否能影響法規與企業作為仍
待時間檢驗。美國戰略與國際研究中心(CSIS)指出，歐洲、中國兩大經濟體在個資保護
的觀念和作法上日漸趨同，美國的數據政策則相對顯得孤立、被動。
• 另外，台灣「資通安全管理法」三讀通過，要求八大產業(能源、水資源、通訊傳播、
交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區)強化資安並
訂定計畫，未通報資安事件將予以重罰(30-500萬)。
• 目前各國的數據政策存在的分歧，將對跨國數據流動、網路產業的跨境服務造成障礙與
挑戰，因此未來隨著GDPR生效，可能會看到更加一致的亞洲標準甚至全球標準，但這
還有很長的路要走。

※資料/圖片來源：Ad Exchange(2018.04)、CSIS(2018.01)、自由時報(2018.05)、Super Office(2018.05)

結語
• 2017年，經濟學人就將個資比作數位時代的
石油，是世界上最珍貴的資源之一，因為數據
改變了企業與顧客溝通的方式，並對消費者體
驗造成正面影響。各國日益重視數據的價值，
也對各自境內數據訂下不同的使用規範。
• 網路打通全球市場，模糊了國界，GDPR雖然
是歐盟法規，但影響範圍遍及全球，不管是為
了在層出不窮的數據外洩事件後挽回消費者信
心，還是為了在做跨境生意時避免高額罰款，
愈來愈嚴格的個資保護與數據運用都是不可擋
的趨勢。
• 無論在歐盟境內或境外，仰賴數據的商業行為
和行銷活動不可能消失，品牌在收集個資時應
聚焦關鍵數據，提高使用數據的透明度，將選
擇與監管權歸還消費者。雖然在初期需要投入
的成本並不小，但提早準備能幫助品牌化被動
為主動，長期更能提高品牌形象。

※圖片來源：Freepik
問題與建議
如果您對媒體有任何問題，或是對於【凱絡媒體週報】有任何建議，都歡迎您來函不吝批評指教。
我們將由媒體 專業人員針對您的問題，提出詳盡的回答。

來函請寄： carat.weekly@carat.com

電話：(02) 2717-5238 ext.9282 編輯小組

凱絡媒體週報部落格、粉絲團
與您分享更多國際媒體行銷新資訊
部落格