守護網民個資的G.D.P.R,上路至今近兩年,最高罰款為對谷歌的5千萬歐元,但專家表示歐盟可能在今年下半年開出更多鉅額罰單,包括臉書的個資外洩案。Benjamin Quinton © 2020 The New York Times
未曾重罰臉書 最嚴網路個資法是紙老虎?
預算不足、執法人力有限
曾被視為迎來了一個新時代的歐盟個資法,近兩年執行的次數屈指可數,而歐盟當前面臨的挑戰,有可能削弱其他國家制定更嚴格個資法的決心。
譯者‧蔡旻學
亞當‧賽泰瑞諾 (Adam Satariano)
《紐約時報》科技線記者,目前駐歐洲,主要報導科技政策與隱私權等相關議題。
大約兩年前,歐盟全面施行全球公認最嚴格的網路個資法(即G.D.P.R.,《一般資料保護規則》),被譽為可徹底打擊跨國科技巨擘侵略性且資訊飢渴地蒐集個資的慣行。
現在看來,這部法律似乎難以實現當初的願景。
從預算分配、人員配置,以及歐盟官員多次談話中,可以看出因預算不足、執法人力有限、科技公司的拖延戰術等,歐盟個資法成了執法不力的受害者,甚至連最死忠的個資法支持者,也對這部法律的運作感到失望。此外,新冠肺炎(俗稱武漢肺炎)的防疫措施也引發對個資保護的討論,追蹤確診歷史、位置資訊等曾使歐洲各國有所忌憚的科技工具,如今卻是控制疫情的重要關鍵。
G.D.P.R.針對未經使用者同意,企業應如何蒐集和分享資料制定新規。該法授權政府可處以罰款、最高為該企業全球年營收的四%,或強制企業改變資料蒐集方式,並成為巴西、日本、印度等國制定個資保護法規的最佳借鏡。
實施兩年 谷歌是唯一遭重罰科技巨擘
但該法自二○一八年五月實施以來,谷歌是唯一一家受到懲罰的科技巨擘 ,被重罰五千萬歐元,相當於谷歌每日營業額的十分之一。卻未曾重罰臉書、亞馬遜、推特等公司。
無作為讓歐盟內部局勢緊繃,部分歐盟領導人呼籲加快執行與徹底改革,倡議個資保護的團體和小型科技公司則抱怨,臉書和谷歌等大公司避開了嚴格監管。同時,社會大眾對G.D.P.R.的觀感就是瀏覽網站時不斷彈出的同意詢問視窗。
推動個資保護法的先驅瑞安(Johnny Ryan)認為,歐盟當前面臨的挑戰,有可能削弱其他國家制定更嚴格個資法的決心。並表示美國官員告訴他,歐盟執行G.D.P.R.所面臨的問題,正是美國未制定聯邦標準的原因。
「沒有強而有力的執法機構和資源挹注,這部法律就是一個幻想。」也是網路瀏覽器Brave政策長的瑞安說,「目前為止,我們還沒有辦法發掘G.D.P.R.的潛力。」Brave是一個藉由限制追蹤數據和廣告,保護隱私的網路瀏覽器。
G.D.P.R.的支持者承認這部法律正在經歷成長痛,而且隨著引入新的法律程序,案件審理時間也變得更長。但支持者也指出現在下定論為時過早,至少它提高了眾人對隱私的警覺,並迫使臉書和谷歌在內的許多科技公司採取新的隱私政策。
支持者認為, 未來幾個月將迎來G.D.P.R.的最大考驗,因為數起涉及跨國科技巨擘的裁決即將出爐。在愛爾蘭發生的個資外洩事件,外界預期推特將是其中率先受罰的企業。臉書旗下的社交軟體WhatsApp,也可能因與其他臉書軟體共享數據遭罰。
「G.D.P.R.是一個長期計畫。」在倫敦的霍金路偉律師事務所(Hogan Lovells International)擔任個資訴訟負責人的烏斯塔蘭(Eduardo Ustaran)說,「但過去幾年的經驗,讓我們難以窺見它是否能成功。」
臉書在聲明中指出,公司恪遵G.D.P.R.的規範,從而使「我們的政策更清楚,個資設定更易尋找,並導入了更好的工具供人們瀏覽、下載和刪除他們的資訊」。
亞馬遜表示,因為這部法律,公司新增個資協助頁面,用戶可以由此得知公司蒐集的資料。而谷歌和推特則拒絕評論。
侵犯隱私vs.遏制病毒流行
很多人批評說,即使這些公司受懲罰,但花的時間過長,這些訴訟可能因為上訴而拖延數年,導致執法者面臨戰役過時的風險。許多評論認為,由於財政資源有限,政府會傾向過度保守,並避免過於複雜的案件。
武漢肺炎的流行也加劇了挑戰,這場疫情改變了人們如何應用App和其他科技的爭辯。在歐盟,這些曾經被視為侵犯個資的科技,例如蒐集個人位置和健康資訊,已是政府遏制病毒流行的工具之一。
歐洲資料保護委員會(European Data Protection Board),在最近的一份聲明中提到,G.D.P.R.「授權雇主和各國的公共衛生主管機關,得在緊急情況如傳染病肆虐時使用個資,而無須徵得所有人的同意」。另外,由於武漢肺炎疫情的關係,歐盟執委會對G.D.P.R.的全面檢討,將延至六月發布。
蘋果、臉書、谷歌、領英和推特等公司總部設在愛爾蘭,愛爾蘭如何執行G.D.P.R.有莫大的影響力。根據Brave統計,該國的資料保護委員會正受理一二七件個資侵權案件,比歐洲其他國家還多。然而,近兩年來,愛爾蘭未曾開過一張G.D.P.R.罰單。
愛爾蘭資料保護委員會專員迪克森(Helen Dixon)說,很多人誤以為G.D.P.R.會迅速且全面地改變跨國科技公司蒐集個資的作法,「罰款是一定會有,這是毫無疑問的。」但法律「沒有辦法對抗整個行業。」
她解釋,主管機關除了調查以外,還可以採取其他手段,例如當愛爾蘭對臉書的隱私政策提出質疑後,臉書就推遲交友軟體的發布。「有很多方法可以產生正面影響力,不是只有罰款或常見的膚淺評論。」
閱讀完整內容
