「大數據分析」是數位平台常用的分析法,可能對於個人的生物特徵、習慣、消費行為做出剖析(profiling),進而使用於廣告、行銷之用途。其大型社群媒體皆以令人驚豔的演算法分析使用者特性,目的是強化使用者黏著度,進行精準廣告投放,取得競爭優勢。
以臉書來說,其公布2020財年第四季暨全年財務報告,第四季營收280.7億美元,其中廣告營收就佔271.9億美元,年增31%,廣告收益極大,可知若精準剖析(profile)使用者特性,精準投放廣告,將可獲得龐大的收益,但必須特別留意是否符合「個資保護」相關規範要求。
今(2021)年2月,知名社群媒體抖音 Tiktok母公司 Byte Dance及臉書 Facebook就因違反了美國伊利諾州隱私規範《生物特徵辨識資訊隱私法》(BIPA),分別花費了9,200萬美元及6.5億美元的鉅額和解金,原因是未經使用人同意,蒐集、掃瞄並分析個人臉部資訊,運用人臉辨識技術在照片上加註標籤(tag)。
個人資料保護的管控只會更嚴
依照現行《個人資料保護法》所述,所謂的個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
因應歐洲 GDPR個資保護法,台灣去(2020)年10月所提出的《個人資料保護法》修訂草案,當中(第三條)新增了交易紀錄、生物特徵識別資訊、行為特徵,正是呼應當前全球科技龍頭尖牙股 FANG (Facebook、Apple、Netflix、Google) 網路平台經濟,無不大量蒐集消費者數據並進行分析的特性,考量到層出不窮的個資濫用、竊取或外洩之案例,包含台灣及各國政府皆大幅加強法令規範力道,確保企業善盡個人資料保護之責。
《個資保護法》的全球概況
各國對於個人資料保護的力道逐漸趨嚴,台灣也於2020年10月提出《個人資料保護法》修訂草案。國際間,個資保護標準最高的當屬歐盟的 GDPR ( 延伸閱讀>>台灣企業應該如何面對史上最嚴個資法 GDPR ),在2018年5月25施行後,如:萬豪酒店、臉書、Google等國際企業均有開罰案例,開罰金額最高可達公司全球收益4%或2千萬歐元(兩者擇高)。可了解到,企業在跨國經營中面臨了諸多個資保護的法遵風險。
以本文開頭所提到的 Facebook,及抖音 Tiktok母公司 ByteDance案例來看,未經使用人同意,蒐集、掃瞄並分析使用者個人資料,不僅有高額罰款的可能,對於企業商譽(goodwill),也將是致命打擊。組織若能做好個資盤點、最小化蒐集個資等風險及流程管理,並了解個資保護措施是否符合法令規範要求,將是取得客戶信任與競爭優勢,進而保持領先地位或是成為標竿企業的關鍵重點。
企業可以怎麼控管個資保護?
確保符合個資保護規範,建議組織可參考於2019年發佈的 ISO/IEC 27701隱私資訊管理系統,標準中具體考量了 GDPR之相關要求及 ISO 29100等國際標準所制定的隱私保護規範,並提供組織之角色(role)為 PII控制者(含:協同控制者)或 PII處理者,需採取的相應管控措施。
▼ 以下表格整理自 ISO/IEC 27701 附錄A及附錄B對於PII控制者及PII處理者之規範。
可發現,資料控制者之保護措施數量多出許多,若組織對於個人資料之蒐集與處理具有決定權,需多加留意。以本文開頭之違反規範案例作為前鑑,除了參考標準內容,從現在起,組織也可先透過個資盤點、最小化蒐集個資、取得當事人同意等措施做起,確保作業流程符合規範,善盡個資保護義務。
(推薦課程>>個資法基礎課程-企業同仁應了解的個資風險)
-
在這資訊快速擴張的世代,個人保密資料遍佈整個無形的網陣圖中,如何建構一個完整的安全管理制度是很重要,而目前在台灣常見的標準有 ISO 27701:2019國際個資管理標準、TPIPAS台灣個人資料保護管理規範等等,企業若有規劃需求,都歡迎留言與 領導力企管聯繫。
.png)
COMMENTS