欧盟私隐新规生效港企亦受条例监管

2022-11-10 18:41:52

　　据香港《文汇报》报道，令全球企业闻风丧胆的欧盟《通用数据保障条例》(GDPR)5月25日正式生效，今后全球企业无论大小或者是否在欧盟设立机关，只要业务可能涉及处理欧盟人士个人资料，或者向欧盟人士提供服务，便必须受条例监管。这项被认为是当今世上“最严”的私隐保护法规，规定企业必须採取措施保障用户数据，并遵从个人讯息收集和使用的基本原则，违者可被处以重罚。由于香港企业经常接触欧盟人士，故亦受条例监管，私隐专员公署早前已经发出小册子，协助本地资料使用者了解和遵守海外相关资料保障法规。

　　GDPR早于2016年已完成立法程序，经过两年过渡期后今日正式生效，并取代1995年的《数据保护指令》。新条例规定所有适用企业向客户收集资料前，必须提供不长于一页、用通俗语言写成的表格，解释收集数据的方式和征得客户同意，并重新征求现有客户同意。

　　种族信仰纳用户数据范畴

　　新条例亦拓展了有关网络用户数据的定义，除了姓名、证件号码、地址和网络IP地址等常规个人资料外，还将反映种族、宗教信仰甚至性取向的资料，都纳入保障范围。条例更赋予客户“被遗忘权”、数据“可携带权”和“删除权”等权利，企业亦有义务採取一切合理措施，删除或纠正不正确的个人资料。

　　科技巨擘天价罚则

　　GDPR不但“管得严”，更是“管得广”、“罚得狠”。条例规定任何未有採取措施避免或降低侵犯私隐风险的企业，最高可罚款1,000万欧元(约9,204万港元)或全球营业额的2%(以较高者为准);违反个人资料收集和使用基本原则，以及没有保障客户权利的企业，最高可罚款2,000万欧元(约1.84亿港元)或全球营业额4%(以较高者为准)。对于Google或facebook等跨国科网企业而言，一旦被裁定违例，罚款将动辄以十亿欧元计。

　　法例一刀切欧小企呻苦

　　GDPR更拥有强大欧盟域外管辖权，不仅註册地或总部在欧盟的企业受规管，所有“地理上”位于欧盟外的企业，只要向欧盟人士提供产品、服务，或持有、处理欧盟人士的数据，都必须遵守条例。换言之，一家香港的网上商店如果接受欧盟人士订单，便会受到条例监管。

　　近两星期以来，Google等跨国企业已先后向用户发信，提醒新私隐条例生效，但不少人手相对不足的小企业却疲于奔命，相关法律开支大增。奥地利律师施雷姆斯批评，欧盟一刀切对所有企业推行新规例，未有豁免中小企，只会制造大量灰色地带，获益的将是大企业。