歐盟通用資料保護法案 5 月上路！廠商應如何避免觸犯法規？

通用資料保護法案（General Data Protection Regulation，GDPR）快將上路，這項法規第一時間便已對服務供應商做成直接的影響！除了服務供應商之外，隨著物聯網等技術的普及，現今很多傳統行業，例如是玩具行業等，都會將很多傳統產品加入智能化功能，而這些擁有電腦晶片的玩具，假如被駭客入侵並取得用戶的私隱或個人資料，傳統的廠商分分鐘亦會觸犯歐盟通用資料保護法案（General Data Protection Regulation，GDPR）。

就好像剛剛過去的大時大節，不少父母為小朋友準備的禮物，是較受小朋友喜愛的智能高科技玩具，千禧一代的家長冒起，他們比之前幾代家長更容易讓孩子花更多的時間在屏幕上。寓教於樂 (Edutainment) 已經成為家長購買玩具遊戲時的準則，他們願意花更多的錢購買智能高科技玩具，並認為這些玩具看似更有教育意義而且可以與小朋友共同創造。智能高科技玩具包括智能手機控制機器人，洋娃娃配以應用程序，定制並包括互動功能的毛絨玩具等等。

大多數家長明白讓孩子使用社交媒體並跟踪他們的位置和活動有什麼問題。本能地，許多家長甚至不會在網上發佈他們的孩子照片，這可能是明智的舉動，因為他們的活動足跡正在被追踪，立心不良的人可以使用這些數據。但似乎沒有多少家長購買各種高科技玩具時，注意玩具上許多警告，正在以越來越高的速度使孩子暴露網絡安全風險。

而一向重視個人隱私權與資料安全的歐盟通過決議，即將於 2018 年 5 月 25 日強制執行「通用資料保護法案」（General Data Protection Regulation，GDPR），為個人資料安全與私隱權設立嚴格的保護標準，提升個資保護層級與範圍。此法案適用於全球，無論廠商是否在歐盟境內，只要其產品或服務在歐盟銷售，且關係到保存與處理歐盟公民個人資料者皆須遵守此法案。

所謂的「個人資料」，指的是資料處理過程中的歐盟自然人之個人資料，包含任何一個已識別或可識別的自然人（資料主體）資訊，此法案保護的內容牽涉甚廣，不僅包含個人身份資訊，像是地址、電話與身份證號碼等，也包含生物特徵與線上定位資料，例如指紋、網路 IP 位置、社群網站活動紀錄等。

歐盟所有成員國將在法案實施後進行嚴格監管，未達到要求的企業將面臨最高達 2000 萬歐元或該企業全球當年 4% 營業額（取兩者之一最高）的鉅額罰款。2017 年德國聯邦網絡機構已經禁止在該國銷售兒童智能手錶，並敦促擁有這類智能手錶的父母立即將其丟棄。由於缺乏加密技術，黑客可以輕而易舉地侵入智能手錶，這可能會讓心存歹念的人輕鬆追蹤到一個孩子。在 GDPR 生效後，這類產品不單會通報，而且還會被處以罰款。

如何避免違法行為？

首先，廠商減少蒐集與處理個資當事人的資料，並且不能使用與聲明功能無關的個人資料，廠商也需於產品說明書中，明列詳細的功能與所使用的科技。以智能洋娃娃為例，如果只是和小朋友進行簡單對話的，例如回答今天天氣怎麼樣，我漂不漂亮等，此洋娃娃不應該帶有監聽功能，這個功能就是非必要使用功能。

此外，法案建議廠商在產品和服務當中應當提供預設的私隱設定，像是蒐集私隱的默認功能必須預先設定為關閉，使用者有權力決定開啟與否，且須滿足一定的加密程度。

GDPR 規定產品與服務廠商必須透過完善的環境與服務流程控管來保護個人資料，避免資料被濫用、遭到駭客非法入侵而外洩，或非法分享給無權利使用的第三方。法規中建議可透過公正第三方機構的檢測來了解您的企業目前是否符合 GDPR 的要求。