香港新闻网5月25日电 据香港《文汇报》报道,令全球企业闻风丧胆的欧盟《通用数据保障条例》(GDPR)今日正式生效,今後全球企业无论大小或者是否在欧盟设立机关,只要业务可能涉及处理欧盟人士个人资料,或者向欧盟人士提供服务,便必须受条例监管。这项被认为是当今世上“最严”的私隐保护法规,规定企业必须采取措施保障用户数据,并遵从个人讯息收集和使用的基本原则,违者可被处以重罚。由於香港企业经常接触欧盟人士,故亦受条例监管,私隐专员公署早前已经发出小册子,协助本地资料使用者了解和遵守海外相关资料保障法规。
GDPR早於2016年已完成立法程序,经过两年过渡期後今日正式生效,并取代1995年的《数据保护指令》。新条例规定所有适用企业向客户收集资料前,必须提供不长於一页、用通俗语言写成的表格,解释收集数据的方式和徵得客户同意,并重新徵求现有客户同意。
种族信仰纳用户数据范畴
新条例亦拓展了有关网络用户数据的定义,除了姓名、证件号码、地址和网络IP地址等常规个人资料外,还将反映种族、宗教信仰甚至性取向的资料,都纳入保障范围。条例更赋予客户“被遗忘权”、数据“可携带权”和“删除权”等权利,企业亦有义务采取一切合理措施,删除或纠正不正确的个人资料。
科技巨擘天价罚则
GDPR不但“管得严”,更是“管得广”、“罚得狠”。条例规定任何未有采取措施避免或降低侵犯私隐风险的企业,最高可罚款1,000万欧元(约9,204万港元)或全球营业额的2%(以较高者为准);违反个人资料收集和使用基本原则,以及没有保障客户权利的企业,最高可罚款2,000万欧元(约1.84亿港元)或全球营业额4%(以较高者为准)。对於Google或facebook等跨国科网企业而言,一旦被裁定违例,罚款将动辄以十亿欧元计。
法例一刀切 欧小企呻苦
GDPR更拥有强大欧盟域外管辖权,不仅注册地或总部在欧盟的企业受规管,所有“地理上”位於欧盟外的企业,只要向欧盟人士提供产品、服务,或持有、处理欧盟人士的数据,都必须遵守条例。换言之,一家香港的网上商店如果接受欧盟人士订单,便会受到条例监管。
近两星期以来,Google等跨国企业已先後向用户发信,提醒新私隐条例生效,但不少人手相对不足的小企业却疲於奔命,相关法律开支大增。奥地利律师施雷姆斯批评,欧盟一刀切对所有企业推行新规例,未有豁免中小企,只会制造大量灰色地带,获益的将是大企业。
