Você está na página 1de 13

凱絡媒體週報

CARAT MEDIA WEEKLY NEWSLETTER

No. 944
媒體專題
Media Report
走在時代前沿的
GDPR

王純玉、陳昕平
前言:2017,數據外洩的一年
• 在Facebook和劍橋分析的數據外洩事件曝光前,2017年就已陸續爆
出多起知名企業外洩消費者個資的大新聞。包括Yahoo承認早前的
數據外洩事件受害用戶達30億人、美國電信龍頭Verizon外洩全球
600萬用戶個資、叫車服務Uber也認了曾為5,700萬筆乘客與駕駛個
資付贖金;此外,多位好萊塢明星的IG帳號遭駭,私人信箱與電話
外流…
• 根據美國身份竊盜資源中心(Identity Theft Resource Center, ITRC)的報告,2017年公佈的數據外洩
事件多達1,253起,超過2016年的1,093起。
• 隨著災情加劇,民眾的資安意識日益提高。歐盟祭出號稱最嚴格個資法GDPR,本篇專題將介紹
GDPR的整體影響,以及消費者與企業對此抱持的態度。

※圖片來源:Sta Broek News(2018.03)


20年來歐盟最嚴格的個資保護法規:GDPR
• 號稱20年來最嚴格的GDPR和過往歐盟地區的個資保護法規相較,究竟什麼改變了?

個資的新定義 EU 歐盟居民更多權利 罰金提高

所有屬於個人或可用以便是特定個人的數 有權知道個資收集與其用途;有權獲得被 企業全球年營收的2-4%或2,000萬歐元,


據(包含位置資訊、電腦IP位址);宗教、 企業收集的數據並要求刪除或更正;有權 取較高者。
種族、性取向等敏感資訊須受到額外保護。 將數據從某服務提供商轉移到另一廠商。

同意條款要求更嚴 影響遍及全球 數據處理方的限制

企業必須獲得消費者自由、明確、已知情 各國公司凡有顧客在歐盟境內即適用。 受數據控管方(controllers)委託處理數據的


況下的許可,才能收集並處理其數據,目 數據處理方(processors) 亦受法規限制;
前常見和其他服務條款綑綁成一包的形式 未經控制方同意,處理方不得外流相關數
不符合規定。 據。

數據使用 數據外洩通報

合法、透明、公平,企業為達到某目的收 若數據外洩,企業察覺的72小時內須通報
集的數據不得用於其他用途。 主管機關。

• 歸納GDPR引起廣泛關注主要有三大原因:(1)只要企業收集或處理數據的對象身在歐盟地區,就
適用GDPR (2)企業在做市場調查時獲得的消費者個資,受到GDPR保護 (3)過去罰款僅具象徵意義,
未來違反GDPR的企業將付出高額代價。
※資料/圖片來源:Reuters(2018.05)、Forbes(2017.12)
歐盟境外組織,也可能受衝擊

在歐盟境內處理當地 成立在歐盟的組織, 成立在歐盟境外、但


居民個資或監控歐盟 不管數據處理是否發 處理歐盟居民個資的
居民行為的所有組織 生在歐盟境內 組織,包括對歐盟提
供服務或商品者

• 何種情況適用GDPR?
德國居民利用Google搜尋找到一篇為美國消費者所撰寫英語文章。
德國居民利用Google搜尋找到一篇以德語撰寫,並提到德國客戶或用戶的文章。

※資料/圖片來源:Forbes(2017.12)、
科技巨頭積極準備迎接GDPR
• 個人身份與生物特徵資料,含電
GDPR保護 • 線上定位資料,如cookie、IP位
話、地址、車牌、健康資料、臉
與特定個人
部辨識、指紋、虹膜掃描、相片、 置、行動裝置ID、社群活動紀
有關的所有
影片、電郵內容、問卷表單。 資訊 錄。

• GDPR生效,首當其衝的是擁有大量用戶數據的科技大廠,尤其數位廣告龍頭Facebook、Google。
他們的使用者和商業夥伴遍佈歐盟,生意高度依賴用戶數據,是被監管單位緊盯的對象,該如何
做好準備?
• 改善產品設計、調整推出時程與地點:Amazon強化雲端保存的數據加密技術。Facebook決定不
在歐洲上線一個透過健康數據與AI來監測該用戶是否有自殺傾向的服務,也暫緩在當地發佈臉部
識別軟體。
• 重申用戶對其個資的權利:Google已開始讓消費者在訊息控制中心中隨時查看、管理、自由選擇
是否要向旗下各產品分享數據。Facebook、Yahoo也對會員發出新的隱私條款聲明,Facebook用
戶能夠選擇讓誰看到他的貼文、願意接受哪類廣告,但在與廣告商分享數據的部分,用戶只能選
擇同意或是管理資料設定,不能拒絕。未來Amazon仍可能透過消費數據向用戶推薦產品,但用
戶可以選擇拒絕這項功能。

※資料/圖片來源:Microsoft、New York Times(2018.01)、iThome(2018.04)


4成企業剉咧等,新創StreetLend不玩了
• 歐盟境外的企業須仔細檢視自家的線上行銷活動,特別是飯店業、旅遊業、軟體服務、電商公司;
而有針對歐洲市場製作在地化網路內容的商家,也應該審查網站營運。根據eMarketer,北美IT
專業人員只有6%認為公司已充份準備好迎接GDPR,近四成則是剛剛開始甚至尚未開始準備。
• 相較Facebook、Google等大企業,一般公司面對GDPR則顯得信心不足,主因是大企業有更多資
源及更強大的法律團隊。一份調查顯示,員工數小於500的企業為自己的GDPR準備工作評分僅
2.97,大於500人的企業平均3.13分。共享新創公司StreetLend就因為擔心被罰而停止服務,這個
網站和Amazon合作,在用戶搜尋想租借的商品時,同時列出Amazon上的商品,若用戶選擇購買,
平台即可和Amazon拆帳。
• 為了不踩GDPR紅線,微軟建議企業採取四步驟:

清查企業擁有的 保存個資處理紀
改善對個資的
個資及所在位置, 以更進階的技 錄,向大眾揭露
存取、管理和
評估是否受 術保護個資 企業如何保護和
使用方式
GDPR影響 使用個資

※資料/圖片來源:Forbes(2017.12)
寄確認信給取消訂閱的消費者,3品牌受重罰
• 未從頭一步步檢視企業擁有的數據,就急著與消費者溝通,企圖獲得個資使用的正當性,可能反
會弄巧成拙。英國資訊委員會辦公室(ICO)2016年報告的三起事件皆涉及知名品牌,而他們都只
做了一件事:寄email給客戶。

• 英國廉航Flybe寄信給其數據庫中的330萬人,詢問「您的資訊是否正確」,但這330
萬人過去選擇不接受/取消訂閱行銷信件,Flybe並未取得主動和消費者聯繫的許可,
為此被罰7萬英鎊。
• Honda Motor Europe寫信給近29萬訂戶,詢問「您願意收到來自Honda的訊息嗎」,
以得知他們是否願意收到接下來的行銷電子郵件,但這封信也不慎發給了先前已選擇
拒絕的消費者,罰金1萬3,000英鎊。
• 連鎖超市Morrisons重新上線「Match & More」客戶忠誠計畫,為了鼓勵更多消費者
享用優惠,Morrisons寄信給數據庫中的23萬人,提醒他們更新帳戶偏好,然而其中
13萬人過去已取消訂閱來自Morrisons的訊息,因此Morrisons被罰了1萬500英鎊。

• 未來GDPR上路後對個資的認定更廣、對同意條款的要求更嚴,並強調消費者應該有「被忘記的
權利」,當消費者明確拒絕再收到行銷訊息時,別再嘗試寄信給他。Morrisons的違規事件由消
費者主動檢舉,顯示大眾對保護個資的重視及行動力都在提高。

※資料/圖片來源:Google圖片
英國僅35%網路使用者聽說過GDPR,未成為公眾話題
• GDPR立意是把對個資的所有權利還給消費者,將其重要性置於科技、商業發展與便利性之上,
但消費者如何看待GDPR?根據Kantar TNS的調查,在2018年1月,英國消費者對於GDPR的認知
度只有35%。而其他針對法國、德國等歐盟國家所做的調查,則有至少六成網路使用者聽過
GDPR,知道它是與個資保護相關的法令。Kantar TNS也監測了2017全年網路上對於GDPR的討論,
包括社群、部落格、討論區,發現GDPR的網路聲量極小,主要仍是專業人員間的討論,並未成
為一個公眾的話題。

• eMarketer深入分析消費者對於GDPR和個資收集抱持的心態,雖
然調查顯示,七成左右的消費者回答「企業不應該收集我的個
資」,但這背後的意義並非是不喜歡透過數據提供更好的服務,
而是擔憂數據濫用、數據外洩、身份盜竊等情況;四分之三消費
者認為「企業不應該未經允許聯繫我」、「如果可以選擇我不會
分享個資」,反映的則是消費者對於個資掌控權的重視。

• 此外,eMarketer以廣告攔截系統為例,近三年開始受到關注的廣
告攔截其實早在2006年就已出現,點出大眾即使重視個資保護,
未必會很快採取更改隱私設定、撤回數據分享等實際行動。

※圖片來源:Freepik
品牌應聚焦關鍵數據
• 這幾年品牌高度依賴消費者行為數據來執行數位廣告、規劃行銷活動,應特別注意數據收集、利
用過程中的瑕疵,例如首先必須更改隱私條款與服務條款綑綁的情況,列出明確的同意/拒絕/撤
回個資收集選項,將權利還給消費者。行銷人員主要應關注的三個面向如下:

消費者或合作夥伴必須手動確認同
意他們未來想持續被你聯繫,你不
DATA
能預設勾選同意,同意數據收集必
PERMISSION
須是有意的選擇。
數據許可
行銷人員有義務
確保你的消費者
能夠輕易訪問他
被你收集的數據, 聚焦在你真正需要的數據,
DATA DATA
並撤回數據收集 不要藉機「多問一些」其
ACCESS FOCUS
或使用的許可, 實你並不需要的資訊,擁
數據訪問 數據聚焦
例如取消訂閱電 有少量卻關鍵的資料,也
子報。 降低外洩風險。

• GDPR不僅帶來限制,也帶來機會,根據英國直效行銷協會(DMA)的調查,三分之二受訪者認為
GDPR讓他們更有信心和品牌分享數據,長期來看,主動提高數據使用標準的企業將建立在消費者
心中的信賴和好感。

※資料/圖片來源:Super Office(2018.05)
個資保護愈來愈嚴是全球趨勢
• 歐盟法規向來是各國標竿,帶有強烈重視人權的色彩,GDPR同樣展現了個資保護趨嚴
的前端思維,將憑藉歐盟的全球影響力引領變革。其他國家可能陸續啟動在地法規的調
整,向GDPR靠攏,從和歐盟多生意往來的企業與地區逐漸擴散出去。
• 亞洲各國都有自己的數據隱私條例,如在新加坡和菲律賓,任何私人企業的數據共享都
需要消費者同意。中國最新「信息安全技術 個人信息安全規範」樹立的標準在很多方面
都與GDPR齊肩甚至更加嚴格,但它並沒有強制力,未來是否能影響法規與企業作為仍
待時間檢驗。美國戰略與國際研究中心(CSIS)指出,歐洲、中國兩大經濟體在個資保護
的觀念和作法上日漸趨同,美國的數據政策則相對顯得孤立、被動。
• 另外,台灣「資通安全管理法」三讀通過,要求八大產業(能源、水資源、通訊傳播、
交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區)強化資安並
訂定計畫,未通報資安事件將予以重罰(30-500萬)。
• 目前各國的數據政策存在的分歧,將對跨國數據流動、網路產業的跨境服務造成障礙與
挑戰,因此未來隨著GDPR生效,可能會看到更加一致的亞洲標準甚至全球標準,但這
還有很長的路要走。

※資料/圖片來源:Ad Exchange(2018.04)、CSIS(2018.01)、自由時報(2018.05)、Super Office(2018.05)


結語
• 2017年,經濟學人就將個資比作數位時代的
石油,是世界上最珍貴的資源之一,因為數據
改變了企業與顧客溝通的方式,並對消費者體
驗造成正面影響。各國日益重視數據的價值,
也對各自境內數據訂下不同的使用規範。
• 網路打通全球市場,模糊了國界,GDPR雖然
是歐盟法規,但影響範圍遍及全球,不管是為
了在層出不窮的數據外洩事件後挽回消費者信
心,還是為了在做跨境生意時避免高額罰款,
愈來愈嚴格的個資保護與數據運用都是不可擋
的趨勢。
• 無論在歐盟境內或境外,仰賴數據的商業行為
和行銷活動不可能消失,品牌在收集個資時應
聚焦關鍵數據,提高使用數據的透明度,將選
擇與監管權歸還消費者。雖然在初期需要投入
的成本並不小,但提早準備能幫助品牌化被動
為主動,長期更能提高品牌形象。

※圖片來源:Freepik
問題與建議
如果您對媒體有任何問題,或是對於【凱絡媒體週報】有任何建議,都歡迎您來函不吝批評指教。
我們將由媒體 專業人員針對您的問題,提出詳盡的回答。

來函請寄: carat.weekly@carat.com

電話:(02) 2717-5238 ext.9282 編輯小組

凱絡媒體週報部落格、粉絲團
與您分享更多國際媒體行銷新資訊
部落格