歐盟在2016年通過的「通用資料保護規則」（General Data Protection Regulation，GDPR）於25日正式生效。根據《英國廣播公司》（BBC）報導，未按照規定提供服務的公司機構，尤其是大型的網路服務業者且違規情節嚴重者，將面臨巨額罰鍰。協議生效後，更是引來許多中小業者一陣恐慌，唯恐動輒得咎。

英國的信息主管權責單位，資訊專員辦公室（Information Commissioner's Office，ICO）主任戴納姆（Elizabeth Denham）表示，將會盡力提供協助，也呼籲各企業單位尋求外部的法律諮詢。

面對疑慮，戴納姆也表示毋須太過恐慌，該單位會按照公平原則做出符合比例的管制，同時也強調企業有義務配合依法行事：「凡是自主通報，願意與我們合作，而且能提出有效的負責合約的企業，將會納入我們裁量管制行為的依據。」

業者使用個資前需明確取得同意

25日生效的「通用資料保護規則」（GDPR）中，將所有機構在處理歐盟公民個人資訊時的行為皆納入管制。該規則給予了使用者對於個人資訊如何被機構使用的控制權，並有權要求相關機構在合理的情境下，刪除先前的個人資料。服務業者使用消費者的個資前，也必須明確地取得同意。此外，業者不得以提供進階服務為誘因，換取消費者的個人資訊。規則中也要求公司對個資保護採取更高的標準。

截至目前已有許多業者度消費者陸續發出電子郵件，請求用戶重新對接收行銷資訊等行為給予同意，目的在於取得消費者同意持續接收電子報。不過ICO表示，類似措施並非必要。ICO副主任伍德（Steve Wood）表示，「GDPR代表了不能再寄任何電子報」、「GDPR意味著每項行為都需要重新取得同意」等想法，基本上都是錯誤的迷思，業者並不需要完全重新與消費者建立同意關係。

Myth#8 Data breach reporting is all about punishing organisations. Information Commissioner, Elizabeth Denham busts this myth in her blog: https://t.co/r8edGShSOh pic.twitter.com/B5Byvz1CeR

— ICO (@ICOnews) 2018年5月24日

根據《衛報》（The Guardian）報導，25日的期限逼近之際，有許多服務業者，包括收購雅虎 （Yahoo!）和「AOL」的媒體集團「Oath」旗下網站在內，開始要求使用者在瀏覽網站前，必須先同意新推出的冗長服務條款。

ICO有權開罰　最高罰金可達7億

《衛報》指，有些業者因不堪新法規衝擊，索性停止在歐洲的服務。例如，美國媒體集團「A+E」旗下的「History.com」、以及網遊《仙境傳說》（Ragnarok Online）都關閉了其歐洲伺服器。部分社群媒體，如「Pintrest」旗下的「Instapaper」，也表示會暫時停止在歐洲的服務。

新規則生效後，ICO有權對企業祭出高額罰鍰，最高可達2000萬歐元（約新台幣7億），若犯行嚴重，甚至可開罰年營業額的4%。英國中小企業聯盟（Federation of Small Businesses）表示，大多中小業者都尚未做好準備。該聯盟主席謝瑞（Mike Cherry）表示，「GDPR生效後，大概英國570萬間小型企業都無法遵守」，並稱該法規造成劇烈的負擔，甚至可能危及許多企業的生存，尤其是對於ICO的罰鍰更聞風喪膽。

Sites block EU users before GDPR takes effect https://t.co/xpG2TLztxM

— The Guardian (@guardian) 2018年5月24日

英國企業界的恐慌到什麼程度？根據《每日電訊報》（The Telegraph）報導，在GDPR生效的前一天（24），ICO的官方網站一度因為企業、消費者大量湧入尋求資訊，當機了2小時以上。畢竟，GDPR的生效是繼歐盟1995年的「個人資料保護指令」（Data Protection Directive）之後，最大型的個人資料保護法規改革。

另一方面，歐盟大國德國的情況也未見樂觀。根據《環球網》報導，德國保險公司聯合會的調查顯示，僅五分之一的中小企業已為新法做好準備。德國基督教民主聯盟經濟發言人則對媒體表示，GDPR是歐盟創造的巨大官僚怪物，會置企業於險境。不過也有資訊保護問題專家稱，歐盟已給了企業2年時間進行準備，新規定的目的是保護公民個人信息。

ICO戴納姆主任也表示同樣看法，強調新法通過至今已有2年時間，因此不會再給予執法緩衝期。「GDPR標示著企業處理個資的一個轉捩點」，戴納姆說，業者對待個資的方法，會是決定企業信任的核心價值。