欧盟执委会(European Commission,EC)公布了《通用数据保护规则》(General Data Protection Regulation,GDPR)隐私法案自2018年5月25日实施8个月以来的成果,显示民众已提出逾9.5万个投诉案件,并有3家业者因违反GDPR而遭到惩处。
GDPR虽然可直接适用于欧盟的28个会员国,但仍需要各国调整当地的法令,目前已有23个会员国通过了必要的立法,只剩保加利亚、希腊、斯洛文尼亚、葡萄牙及捷克等5个国家还处于立法程序中。
欧盟执委会指出,GDPR的主要目标之一是赋予民众对个人资料有更多的掌控权,在媒体的推波助澜下,民众开始意识到数据保护的重要性以及他们的权利,迄今欧洲民众已提出超过9.5万笔的投诉案件。欧盟民众主要投诉的三大类别为电话营销、电子邮件营销,以及监视器。
GDPR亦规定业者必须在发生数据外泄事件的72小时内向当地的主管机关报告,而这8个月以来所收到的资料外泄揭露件数为4.1万件。
此外,迄今因违反GDPR而被开罚的业者有3家,一是德国聊天平台Knuddels.de以明文储存用户密码而被判罚2万欧元,二是奥地利的一家运动下注网咖违法进行录像监控而被判罚5,280欧元,还有就是法国认为Google的广告服务并未取得用户同意而祭出5,000万欧元的罚款。
欧盟执委会也制作了手册以指导企业遵循GDPR,提出了7大步骤,依序是检查企业所搜集及处理的个人资料之目的与法律基础,在搜集个人资料前必须通知使用者,只在一定期间之内保留这些数据,维护这些个资的安全,把数据处理活动文件化,确认承包商也符合法遵,以及在必要的时候设立数据保护长。根据思科所进行的研究,GDPR准备度愈高,资料外泄的机率与规模就愈小,还能减少系统因数据外泄的停机时间,亦能改善销售周期的延迟问题。