Microsoft
活動+

歐盟通用資料法規將上路 IoT軟硬體開發商不可不知

  • 邱倢芯
隨著歐盟GDPR即將上路,無論是軟硬體廠商都紛紛調整其個資收集方式。邱倢芯

過去都是透過紙本收集客戶、使用者的個人資料,如此的方式使得個資相當好管理,只要鐵櫃鎖起來就好。但隨著數位時代的來臨,個人資料的收集方法、態樣,都將因為網路無國界、個資複製化、應用方式多樣化變得更加複雜。

歐盟(EU)所頒布的通用資料保護規則(GDPR)即將上路,但是其所影響的國家、地區將不僅限於歐盟的範圍;此外,GDPR所保護的個資範疇,除了將影響軟體平台廠商外,即便是硬體廠商也將受到其規範。

立勤國際法律事務所律師黃沛聲表示,近年來,新商業模式的最大價值核心就是使用者資料,諸如電商、物聯網相關廠商都汲汲營營地收集使用者資料,以便做為後續的商業利用;而之前Facebook所引發輿論的個資外洩事件更凸顯得個資保護的重要性。

或許你會想,GDPR所規範的不過就是歐盟境內國家,那麼會與台灣有哪些關聯呢?黃沛聲解釋,雖然GDPR所適用的範疇,是為歐盟境內國家的商業活動;但如果是境外產業,但是有與歐盟境內提供服務、進行商業活動者,包含三點:一、經常性收集個資,二、公司人員數超過250人,三、收集的數據為敏感性個資,那麼就屬於GDPR所適用的範圍內,因此也擴大了GDPR對於全球的適用範圍。

值得注意的是,GDPR所影響的不僅於軟體平台提供廠商,未來即便是硬體類的穿戴式裝置廠商也將受到限制。黃沛聲解釋,諸如穿戴式手錶、心肺計、腳踏車轉速計等硬體裝置都可收集相當多元的參數,包括心跳頻率、血壓指數以及騎腳踏車時所行經的GPS資訊。

這些資訊都可能透過無線網路即時傳遞,或是使用者到家後利用其他的網路技術,上傳至廠商網站或雲端中,廠商可藉此了解使用者曾到過哪些地區、是否身強體健、運動表現是否優良。

而平台將可進一步地提供使用者評鑑,進而推播網路教練服務,這些都是在硬體廠商收集資訊後,可以進一步應用的場景,如此收集個資方式,未來也將受到GDPR所規範。再加上歐洲又是一個運動風氣盛行的地區,台灣的物聯網穿戴式裝置廠商,勢必也將受到其規範。

除此之外,GDPR也增加了「真實同意」的原則。在台灣現有的個資法規定中,所規範的是以取得個資,或者是使用個資,其中的合法要件就是要取得當事人的同意;台灣的法規,過去僅要明示同意,或是只要使用者繼續使用且在並無反對的情況下,那麼就是漠視同意,漠視同意過去在台灣是很常見的現象;但是在真實同意的原則下,使用者必須對每一個細項都一一同意。

舉例來說,大多數的廠商都希望所收集來的資訊能夠二度行銷,而在GDPR規範後,若是廠商想利用這些數據二度行銷,那麼就必須再徵得使用者的二次同意。

再者,若是廠商想與合作夥伴、子公司,或是關係企業共享使用者資料,未來這些情況都不再被允許;這些不若以往的漠視、推斷,或是概括同意一般,使用者資訊不再輕易地被廠商所使用。

此外,GDPR也禁止包裹同意的方式,過去使用者若是想在電商網站中購物,且使用Facebook登入的方式加入會員,那麼此一電商即可於社群網站上收集使用者的資料;但是在GDPR規範後,這些電商必須要遵守必要性原則,往後電商頂多只能取得消費者的送貨地址、姓名,以及聯絡電話等資訊,至於其他的不相關資訊將無法再取得。

更多關鍵字報導: Facebook 個資法 穿戴式裝置 GDPR