快速理解史上最嚴《個資法》GDPR【封面故事-數位時代】

AI、大數據 vs.個人隱私 快速理解史上最嚴《個資法》GDPR


我們是否可以把GDPR法規下的新時代,看作一種啟蒙的開端?就像金恩博士對非裔美國人人權、西蒙・波娃對女性人權的貢獻,來到大數據時代,我們需要新的啟蒙者,喚醒大眾對於自身數據帶來的人權議題重視。
2013年,前美國國家安全局外包技術員史諾登(Edward Snowden)將美國國家安全局的「稜鏡計畫」監聽專案秘密文件披露給媒體,引發全球震驚。原來美國政府從2007年起就監控民眾的郵件、社交活動、通訊內容,這個事件也點燃歐美社會開始更重視個人資料的隱私性。

今年5月25日,被冠上史上最嚴格的《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)正式上路,歐盟以重法展現保護歐盟居民「人權」的決心。

GDPR法規的存在目的,除了排除歐盟會員國之間的個資流通障礙外,也提供個資當事人權利與強化個資專責機關權限,但GDPR法規並非憑空而出,最初源自於1995年的《個人資料保護指令》,不過此次GDPR法規則更加重「企業責任」,並且強化「當事人權利」。

加重企業責任是什麼意思?舉例來說,若有企業或組織違反該法,最重可被處以全球營業額的4%或是2千萬歐元(約合7.2億元新台幣)的驚人罰款;若有個資洩漏事件,該企業不僅要在72小時內回報當地個資保護主管機關,大型企業還必須設有個資保護長一職專責處理相關事宜。另外GDPR不僅罰款驚人,適用範疇涵蓋也極廣。

五大類企業,首當其衝

KPMG安侯法律事務所執行顧問翁士傑指出,以下三大類型公司都在GDPR的適用範疇:首先是在歐盟有營運據點的境外公司,其次是沒有據點但有提供產品或服務給歐盟境內居民的企業,第三是提供服務給歐盟會員國公民的業者。

「B2C(企業對消費者)型態的業者,因為直接接觸第一線消費者,影響最深;而地域性強、只在台灣或是亞洲地區服務的傳統產業業者,則影響較小,」達文西個資暨高科技法律事務所所長葉奇鑫分析。

台灣的航空、金融、科技、電信與旅遊業等五大類業者因為符合上述的三大類型特徵,營運首當其衝,這些業者也都積極迎戰GDPR。

那麼強化當事人權利的意思為何?翁士傑指出,在GDPR眾多權利中,有三種權利最為特別:一、被遺忘權(Right to be forgotten),二、資料可攜權(Right to data portability),三、個資自動化決策(Automated decision-making)反對權(Right to object)。

GDPR法規,三種權利最特別

我們先來看「被遺忘權」。歐盟對於被遺忘權的定義為:即資料當事人(Data subject) 在特定條件下,有要求資料控制者(Data controller)刪除其個人資料之權利,而且這裡的刪除規定相當嚴格,指的是資料當事人有權要求進行資料處理的第三方,刪除任何個人資料的連結(Links)、複本(Copy)或是再製(Replication)。舉例來說,你有要求搜尋引擎刪除與你相關資料的權利。

被遺忘權並非新概念,歐洲已經有許多判決案例,其中有名的案例就屬2010年的Google西班牙案(Google Spain)。然而,並不是任何資訊都能被刪除,被遺忘權有所謂的「例外」情況。理律法律事務所合夥人曾更瑩指出,如「為了保護言論自由與資訊自由,或為了維護公共利益與執行公務等情況」的例外,這是避免被遺忘權無限上綱,阻礙了言論自由與公眾利益。

「資料可攜權」又是指什麼呢?民眾對於自己的個資擁有更大的操控權,可以在不同的服務組織之間移動自己的個資,把資料從網路服務供應商(ISP)轉移至另外一個。比如把小米手環的個資全部傳輸轉移到AppleWatch上、把Hotmail的資料轉移到Gmail,就像我們的手機號碼能「攜碼」,我們使用聯網設備產生的數據,也擁有全部轉移到其他設備的權利。

葉奇鑫分析,「此法條具有『公平交易』的精神。」在大數據時代,臉書與Google等科技巨頭握有巨量的數據,這條法條讓資料可在不同企業間流動,因此有機會打破巨型公司的數據壟斷局面,讓珍貴的數據資源可以共享。GDPR上路,讓累積數據優勢的科技巨頭也必須釋出資料,成為中小企業的機會。
至於「個資自動化決策反對權」,能有避免「演算法歧視」的深刻含義。自動化決策意指:以自動化方式處理個人資料的分析與決策活動,曾更瑩就指出,此法條主要是為了避免演算法歧視,因此不能標示性傾向、宗教與種族等因素為決策標準,也因此企業在使用機器學習等自動化決策技術時,有責任告知資料當事人,電腦演算法決策的採用評判標準或依據。
舉例來說,在金融科技發達的未來,消費者使用線上貸款分析時,企業有責任解釋與告知使用者該平台的P2P(Peer-to-Peer)借貸評分標準是怎麼算出來的,而使用者也有拒絕承認平台評分標準的權利。


「GDPR法規的施行是個很好的時間點,此時『暫停一下』,讓企業對資料當事人進到保護義務,從公平與去除偏見的角度考慮演算法發展,而非產生嚴重問題被演算法惡果反撲後,才開始重視,」微軟全球助理法務長、台灣微軟公共暨法律事務部總經理施立成指出。不過或許你要說,這是歐盟世界的法規,和台灣人無關,這是錯誤的觀念。在某些情境下,GDPR法規不是僅針對歐盟居民,台灣民眾也適用。因此我們不妨從個人、企業、國家,微觀到巨觀角度,一次解析GDPR的含意。

個人面——我的資料,我做主

人權與隱私權之間的關係是什麼?民眾常對新聞中的個資外洩議題冷感,關注程度遠不及銀行ATM被駭客盜領事件;而在科技圈被熱烈討論的「臉書劍橋分析(Cambridge Analytica)事件」,出了科技圈,一般民眾所知甚少,更遑論知曉因為該事件讓臉書8,700萬筆個資遭盜用分析,竟然左右了美國2016年的總統大選結果。

社會雖對個資外洩冷感,但隨著科技發展,民眾仍逐漸感受到監控無所不在。在人臉辨識技術興起的年代,隱私監控已經突破線上的網路IP與Cookie追蹤,延伸到線下。筆者參加今年5月一場國際大數據論壇時,該論壇主辦單位以便利與安全為由,在大型活動現場裝置人臉辨識儀器,監控入場民眾身分與數量,人人無所遁形。 近日也有學校以提升教育品質為名,在教室裝設人臉辨識系統,管理學生遲到早退,而這樣的產品未來是否也會走進辦公場景,監控員工上班是否足夠認真?在對岸的中國甚至出現一個悖論:「在大數據時代,若想要便利又安全,就必須要讓渡隱私,這是沒辦法的事。」

的確,監控系統讓生活更便利安全了,但仍必須思考這是人類想要的生活嗎?不交出資料,生活就會不安全、不便利?有必要退讓隱私權界線嗎?難道不該追求一個在數據時代,生活安全便利又能保有隱私的世界?若沒有GDPR或個資法等規範出現,久而久之,消費者可能就被科技公司給「馴化」,被規訓成科技巨頭想要的樣子。

在此之前,已經有很多隱私權鬥士捍衛隱私權利,從史諾登到劍橋分析共同創辦人懷利(Christopher Wylie),GDPR法規下的新時代也可看成一種隱私權啟蒙的開端,喚醒大眾重視對於自身數據帶來的人權議題。

GDPR保障消費者擁有拒絕權、更正權、資料可攜權與被遺忘權。「數據就是石油」的說法已經耳熟能詳,但GDPR法規對於數據的重視,不僅僅如石油而已,更近乎於資本主義運作下的金錢,當我們直接用金錢理解數據的重要性,就更容易理解這個法規背後的意義。

若把數據看成白花花的鈔票,我們將更有警覺性,積極自主的希望擁有更多自主權,不再漠視廠商所有不透明的黑箱行為。

舉例來說,當廠商拿走消費者的數據,就和拿走錢一樣,廠商沒有經過同意(對應GDPR明確當事人同意規定),可以任意把錢從A國跨國傳輸轉到B國嗎(對映GDPR個資跨國傳輸)?資料主體人要把錢(資料)從A銀行轉到B銀行,難道不行嗎(對映GDPR資料可攜權)?

企業面——歐盟執法嚴,別存僥倖

那在企業層面呢?台灣的航空、金融、科技、電信與旅遊業等五大類業者面對GDPR首當其衝,但多數中小企業警覺心不夠,或多保持觀望與僥倖心態。
不少業者認為,GDPR主要針對臉書、Google與微軟等美國科技巨頭,可以把這些巨人當擋箭牌,躲在後面看市場風向。更因為GDPR合規費用驚人(業內律師指出至少百萬元新台幣起跳),不少業者躊躇不前,或採取更消極的心態,認為台灣對歐盟來說「天高皇帝遠」,等真的有同業被罰了,再行動也不遲。

聲援史諾登
前美國國家安全局外包技術員史諾登在揭發國家安全局大規模網路監控計畫後,遭政府以間諜名義控訴,目前正在俄羅斯接受庇護。此事爆發後,全世界接力掀起反對政府監控的街頭抗議以及聲援史諾登活動,顯示民眾對於捍衛隱私的意識正逐漸升溫。
部分業者則評估商業活動範圍有限、風險不高,在歐盟境內沒有銀行帳戶,也沒有可被執行的資產,就算被認定違反GDPR法規,歐盟法院也很難找到人執法,因此沒在怕,加上歐盟執法單位自己都還沒有準備好,業者的觀望心態又更濃了。葉奇鑫指出,「歐盟國家的企業也沒有準備好,GDPR概念很先進但執法很困難,我認為還有3年左右的摸索期。」

另外,歐盟法院的執法難度高。以GDPR中的被遺忘權來說,歐盟資訊安全局(ENISA)曾表示,被遺忘權要徹底實行(如告知所有相關連結公司完全刪除連結與複本)難度頗高。

專業律師則認為旅遊業者最要當心,因為航空、金融、電信等業者財力雄厚,早拿出大把資金做合規程序,而多數旅遊業為中小企業,資金不充沛,未積極迎戰GDPR,「但旅遊業業者常提供產品或服務給歐盟境內居民或歐盟會員國公民,觸法風險性高,需要特別當心,」葉奇鑫強調。

翁士傑則提醒,風險高的業者千萬不要抱持僥倖心態,認為歐盟法院罰不到,「歐盟可能會公布違法業者名單,並採取歐盟企業禁止與違法企業商業往來,作為懲罰。」

美國對中國中興通訊實施商業制裁,讓中興至少虧損952億元新台幣,前車之鑑不可不防。另外,雖說GDPR主要規範個人資料而非企業資料,所以B2C業者要慎防,但也不表示B2B(企業對企業)業者可以高枕無憂。

翁士傑強調,「以台灣科技代工業者來說,雖然沒有接觸第一線的消費者,但可能在歐盟設工廠,其員工與往來的客戶等個資就屬於GDPR管轄;在未來,若產品不僅有硬體,也包含軟體服務,在產品研發的過程中,極容易觸碰終端用戶個資,因此歐盟的企業客戶也會要求代工業者需符合GDPR。」

國家面——跨境傳輸,台灣談判慢於日韓

拉高到全球與國際的層級來看,GDPR其實不僅是法律議題,也關乎台、歐雙邊經貿與外交議題。舉例來說,GDPR中的「跨境傳輸」規範,就需要政府的國際談判斡旋力量。

跨境傳輸是什麼?資料在全球流通,自然牽涉到不同國境間的「傳輸」,舉例來說,某公司的總部在台灣,但在法國有分公司,法國分公司要將含有歐盟居民的數據傳回台灣公司時,就涉及跨境傳輸規範。

而GDPR對跨境傳輸有相當嚴格的規範:「原則禁止,例外允許」,白話一點,就是除非該國家或該企業已經獲得歐盟的認可或當事人明確同意,如取得歐盟適足性認定(Adequacy Decision),否則數據不能傳到其他國家。目前全球已經有12國獲得跨境傳輸的認可,那台灣有名列其中嗎?

2017年日本與韓國已經開始和歐盟進行協商討論,但台灣政府動作慢,一直到法規都已經正式執行、火燒屁股,才由國發會代表台灣飛往歐盟交涉,除了顯示出政府對數位經濟時代的法規變遷不夠熟悉外,也顯示缺乏洞燭機先的能力。

雖然歐盟早在2016年以前就已經公布該規定,當年台灣行政院也有設立數位政委職務,台灣個資法主管機關法務部也有針對相關議題開始研究,但僅止於研究階段,沒有積極和歐盟國家交涉,直到法規今年5月底已經開始執行,行政院才委由國發會和歐盟國家交涉,慢了半拍。

歐洲,人權思想發源地

「GDPR是一種數據保護文化的變革,裡頭許多基本規則也有出現在《里斯本條約》(Treaty of Lisbon)中,有和憲法一樣的價值。」參與GDPR法令制定的歐盟數據保護監管局主管Giovanni Buttarelli說。

Giovanni Buttarelli相當看重GDPR的角色,提及GDPR法律定位時,也提及了普遍被視為歐盟憲法並且真有其法律效力的《里斯本條約》,可見對於此法的崇高定位。

過去西歐一直是人權思想的發源地,德國與法國都有長期的人權保護傳統,歐洲對於人權保護有《世界人權宣言》、《聯合國人權公約》與《歐洲人權公約》等國際與區域多種層次的法律保護,此次從最重視個人隱私權利的歐洲頒布GDPR法規,也帶動了全球再度重新檢視隱私權的權利,因為沒有人是隱私權中的局外人。
閱讀完整內容
數位時代291期

本文摘錄自‎

快速理解史上最嚴《個資法》GDPR

數位時代

2018/8月號第291期