天價罰款高達7.2億，GDPR實施引爆新創倒閉潮

【撰文：陳君毅 】

《一般資料保護規範》（General Data Protection Regulation，以下簡稱 GDPR）號稱史上最嚴格的個資法規範，違法者最高可被判罰 2 千萬歐元（約合 7.2 億元新台幣）或全球營業總額的 4％，兩者取其高。正因罰款近乎天價，全球企業無不繃緊神經。

GDPR 之所以成為全球企業共同關心的話題，除了影響範圍廣闊，只要蒐集、處理與利用歐盟公民個資的企業，不論是否設點於歐盟都受到規範之外，高額罰款更是最讓企業心驚膽顫的因素。

GDPR 的罰款有多恐怖？根據規範分為兩種情境：若沒有合法理由，拒絕當事人刪除個資的請求、也沒有建立資料保護管理系統時，最高可罰 3.6 億元新台幣或全球年度營業總額 2％作為罰款。更嚴重的違規，如非法處理個資、資料外洩沒有主動通報、沒有任命資料保護長、違法向第三國傳輸個資等，最高將處 7.2 億元新台幣或全球年度營業總額 4％作為罰款。不論是定額的 3.6 億元、7.2 億元或營業總額比例，都將取其高者作為處罰。

天價「付不起」，直接宣告關閉

在高額的罰款面前，企業無不繃緊神經深怕違法。 GDPR 法案通過日期為 2016 年 5 月 25 日，不過新增的使用者識別資訊定義包含 Cookie、IP 位址以及 GPS 位置等，都被視為個資的一環，大大增加了企業應對的難度，因此特別延至 2018 年 5 月 25 才正式施行。

儘管有了兩年緩衝時間，許多大企業仍因應不及，如 Pinterest 旗下熱門的書籤服務 Instapaper 就在 GDPR 正式執行的前一天，才宣布暫停服務歐盟用戶。Pinterest 的產品工程經理也親上前線回覆社群媒體，表示團隊正持續趕工，改善服務直到符合 GDPR 規範。寧願先關閉服務，也害怕踩到紅線，由此可見 GDPR 高額罰款的可怕之處。

就連大企業都會因應不及，更別說資源較少的新創公司，GDPR 直接成為壓垮他們的最後一根稻草。

租借平台 StreetLend 便是一例。營運 5 年的 StreetLend 主要服務區域為倫敦，提供使用者將梯子、螺絲起子或電鑽等工具放上網讓其他人借用。在 GDPR 正式實施後，Streetlend 的創辦人表示，由於無法負擔法律團隊的成本，再加上 GDPR 上看 7.2 億元新台幣的罰款，所帶來的風險高到難以承擔，只能以關閉收場。

其他案例如打造出《仙境傳說》的遊戲公司重力社也宣布封鎖歐盟玩家的 IP；遊戲《超級周一格鬥之夜》因為需要重寫用戶的帳戶資料結構，在處理成本過高的情況下宣告關閉；開源即時通訊軟體 Monal 則因軟體開發與營運都只有一人，沒有多餘資源處理 GDPR 所需的更動，宣布停止對歐盟市場的服務。

儘管 GDPR 立意良善，但隨之而來的營運成本與無法負擔的高額罰款扼殺了許多歐盟新創企業的生存空間，也變相替付得起龐大法律團隊的企業如微軟、Google 加深了護城河。更別說同時擁有雲端資料中心的他們，成為企業客戶們心中符合 GDPR 的首選，儼然是 GDPR 規則下的最大贏家。

我們尚看不出來 GDPR 史上最高的罰款是否矯枉過正，值得用歐盟新創公司的未來做交換，但創業家的感受將成為因 GDPR 死去企業的最佳墓誌銘，「GDPR 的確會對新創企業造成傷害」，StreetLend 創辦人在關閉的網站中這樣寫道。

這兩類企業，受 GDPR 重點管轄

為了避免受到 GDPR 懲罰，台灣企業比較關心的問題是「哪一種類型的企業會受到 GDPR 規範」？除了直接設點於歐盟、直接服務歐盟公民的企業之外，主要可分為以下兩類：

一、針對歐盟公民資料處理因而獲利的企業：包含提供服務收取訂閱費用或追蹤、建檔、分析使用者資料而獲利，都在 GDPR 的法律規範之中。除此之外，就算是接受其他企業的外包，「間接」處理到歐盟公民個資也必須符合規範。

二、歐盟公民的營收占比比例顯著：就算企業位於台灣，只要歐盟公民貢獻的營收占一定比例，就必須符合 GDPR 規範。

目前對於歐盟之外的企業如何落實處罰方法仍在密切討論中，就算如此，台灣業者也不該心存僥倖，只要爆發個資外洩或危害到歐盟公民個資的違法事實成立，最終處罰仍會到來。

＊尊重智慧財產權，如需轉載請聯繫《數位時代》​：

來源：《數位時代》 2018 年 8 月

更多精彩內容請至 《數位時代》