個人資料保護制度,是19世紀末、20世紀以來的新產物,對於企業來說是一種類似商標法、專利法的特許性、競爭性制度,必須擁有才能競爭獲利。許多企業目前只知道要被動符合法規,但實際上,個資保護制度施行至今,已有足夠跡象顯示未來將會是影響企業經營成敗的關鍵,企業應該改變思維,積極主動利用來求取商機。主要原因有三:
一、個資是有競爭價值的資源
個資隨著科技進展,範圍正在每天擴大中,因此目前各國法律都只能以開放式的定義來規定個資法(本文所指的是全世界的個資法概念,非特別指個別國家法律),並且輔以案例例示。例如網站內消費者使用後所產生記錄個人各種使用網站偏好的記錄檔(Cookie),以及民眾使用行車記錄器所生成的GPS軌跡,就都被歐盟的個資保護法(General Data Protection Regulation,簡稱 「GDPR」)修法時明列成為個人資料的一種,其他個人使用網路所產生的「數位軌跡」也不例外。
我向客戶介紹這個制度時,常形容「個人資料」對於企業來說,猶如是20世紀的新石油,這種資源永無窮盡、也沒有保存期限!配合現行無遠弗屆、無孔不入的數位廣告,企業凡「開採」取得同意使用了,就能產生莫大利益!
二、個資挑戰並不限於國界
以往這類具有特許性質的法規,例如商標法、專利法,都是國家基於國家公權力,經過收費、審查後,保護關於本國「國境」內的權利實施。但由於網路科技的發展,國境在未來世界中的代表意義將大幅降低,企業的交易對象將不限於一國之內的消費者,而擴大到全世界。
個資法,則改為基於保護本國「人」的立場,保護人所持有的資料。基於這個邏輯,歐盟通過了GDPR、美國加州推出了「加州消費者隱私法」(California Consumer Privacy Act,簡稱「CCPA」)、台灣也施行並更新了個人資料保護法。甚至未來台灣在國際上,也規劃加入APEC推動的「個資跨境傳輸規則」(Cross Board Privacy Regulation,簡稱「CBPR」)。因而各國的個資法,都將是企業計畫要透過網路面對全球化市場時,需要「同時」面對的法律。
微軟法務長布萊德.史密斯(Brad Smith)在他《未來科技的15道難題》一書中表示,微軟在2018年為了滿足新實施的GDPR要求,花費上億美元,以求全面合規。雖然一般企業不用做到這個規模,但也要有所規劃應變,需知生意多大,責任就有多大!
三、個資的取得是單向性的,因為收集困難,形成獨特企業價值
個資的外觀類似權利,是每個人與生俱來的,對外可以像著作權一樣授權他人使用,也可以終止或刪除。例如歐盟的個資保護法GDPR中要求企業凡是收集個資,就必須告知本人收集範圍,也要告知其有要求停止、刪除權利,及提供使用者下載已收集個資的權利及管道。
由於個資法的規定,企業對於個資的取得使用,是要經過消費者同意的。「事後」若要讓第三方企業使用,只能重新再取得該消費者授權企業得對第三方授權的同意,因此「沒有事後轉讓的空間」,是個人資料這種企業資產,相對於一般財產的特色。從這個角度上看,企業就像是一顆只能儲存的硬碟,不斷存入價值。想要轉讓的話,『只能重新再取得該消費者授權企業對第三方授權的同意』,或是以企業方式整包併購。
進入個資時代後的企業競爭策略與創業投資思維
依照前述幾個觀察,可知個資這種有絕對價值、無從購買的資源,將是未來企業競爭的必備要件。但收集上看來容易,實際是難於上青天。
原因在於,這些個資法規雖然沒有規定必須以電腦系統或自動化程式來完成,也就是說,企業依法也可以選擇以紙本文書、登記簿本來完成法規要求。不過,使用者的數量乘上個資數量,數據多如牛毛,也就是法規要求企業必須針對每個消費者的每種個資提供個別停止收集、告知範圍與下載功能,若真要以人工、紙本文書來完成,根本不符收集個資的成本效益。
唯一合邏輯的選項就是「建立網路系統」,讓系統自動化處理,以降低收集個資的邊際成本。因此,雖然法規沒有明文規定,但是未來規劃收集個資以面向全球競爭的企業,若沒有自動化系統的高科技能力,等於在奔向未來時自斷手腳!
從而未來企業將會陷入:只能選擇投入資本建立系統來收集、或是不收集的「二擇一」選項。資本在這樣的情境下,當然會偏向青睞最能創造自有系統,能收集個資之新創公司來投資、併購。在過去幾年間,已經產生非常多的案例,從WhosCall、GoodNight 及國內外的網路公司併購案,都能看出端倪。
越多個資,越高價值!也因為企業資本的差異,因此未來越有錢的企業可以收集更多個資,併購更多已收集個資的公司,佔有絕對優勢而獲利最多;沒錢的企業則因為難以合規,沒有競爭可能。未來這樣的逆選擇狀態將會越發明顯!
未來世界在加入個資法的規則後,將會對傳統企業形成莫大挑戰,正是最懂科技的新創公司難得機會,值得創業者們深入思考!
