強化域外效力,GDPR對台灣衝擊強大
歐盟《一般資料保護規則》除了被稱為全球最嚴格的個資保護規範外,在諸多面向也改變了個資保護的實質規範內容,此條款生效將對台灣經濟有重大影響,而觀諸我國目前因應GDPR的準備,帶來的衝擊恐不容樂觀。
五月二十五日,經過兩年準備後,歐盟《一般資料保護規則》(GDPR)正式生效,這個規則除了被稱為全球最嚴格的個資保護規範外,在諸多面向也改變了個資保護的實質規範內容,擴大了GDPR的域外(extraterritorial)適用範圍,並且對於資料的跨境傳輸設下嚴格條件。GDPR的生效將對台灣經濟有重大影響,而觀諸我國目前因應GDPR的準備,帶來的衝擊恐不容樂觀。
事業非設立於歐盟同樣適用
GDPR除一七三段序文外,共分為十一章,計有九十九條文。GDPR的影響力之所以無遠弗屆,是因為它強化了域外效力。
對於設立在歐盟境內的事業(establishment),不論個資處理是否發生於歐盟境內均適用。即令事業非設立於歐盟, 若其資料控制者(controller)或處理者(processor)的資料處理, 涉及歐盟個資主體(personal data subject),且是向歐盟境內的個資主體提供貨物或服務,或監控該個資主體在歐盟境內的行為時均適用。前者當我國的產業,向歐盟個資主體提供服務或貨物時就適用;後者如Google或Facebook的商業模式。
就實質規範而言,GDPR於第二章與第三章規範個資處理原則以及個資主體權利。前者涵蓋如何確保資料處理的合法性(lawfulness)、合法同意(consent)之條件、兒童之同意、特殊類型個資(如種族、宗教、政治信仰)以及刑事犯罪紀錄的處理。
個資主體的權利部分,除了眾人所熟知的遺忘權(right to be forgotten)外,並包含個資主體的接近使用權、更正權(right to rectification)、個資可攜帶性(portability)。甚至規範尚未自個資主體取得資料時,控管者應提供的資訊,以及向個資主體蒐集資料時,應提供的資訊。
未符合規範,連美國媒體都遭殃
最後除非控管者能證明是基於更迫切的正當基礎(compelling legitimate grounds),否則個資主體有權拒絕控管者之個資處理──即使是為追求正當利益之目的,或基於公共利益執行職務、委託行使公權力所為。
GDPR與台灣關係最為密切者,除了前述向歐盟個資主體提供服務或貨物外,乃是規範於第五章的個資跨境移轉。此項個資的跨境移轉,除了存在於跨國公司的內部移轉外,亦可能出現於上下游產業的跨境移轉。對於跨境移轉,GDPR採取原則禁止、例外許可的規範模式,僅有在控管者與處理者符合本章的規定下,方可為之。
GDPR共列出三種許可途徑。首先,藉由第三國在所有事項或特定領域,經過歐盟執委會(European Commission)的審查,認為第三國的個資保護與歐盟的保護程度相當,取得執委會之適足性認定(adequacy decision)。第二種途徑則是在第三國個資主體權利以及有效法律救濟存在,而控管者或處理者提出適當的防衛機制(appropriate safeguard)下予以移轉。第三類允許跨境移轉的態樣,是就個別情況,例如得到個資主體之許可,為履行契約或追求公共利益或保護個資主體或其他人的核心利益等。GDPR對全世界都帶來前所未有的挑戰,生效後,由於個資存取未符合歐盟規範,《芝加哥論壇報》(ChicagoTribune )以及《洛杉磯時報》(Los Angeles Times )在多數歐盟國家境內無法點閱。
知名隱私權運動人士施倫斯(Max Schrems)業已向法、比、德、奧的個資保護機構(Data Protection Authorities),對Google(Android)、Instagram、WhatsApp以及Facebook提起申訴,主張這些公司提供的「同意」,並非有選擇的同意,而是「要不接受,要不拉倒」的隱私權保障(Privacy à la“take it or leave it”?),並不符合GDPR的規範。
GDPR的生效,對我國政府或產業帶來的衝擊亦相當深遠。由於個資移轉是經濟全球化、產業分工的重要環節,我國國發會以加入亞太經合會(APEC)之跨境隱私保護體系(CBPR)為途徑,試圖取得在GDPR架構下歐盟執委會對於我國個資保護體系的適足性認定。五月二十一日,國發會主委陳美伶宣布台灣加入APEC的跨境隱私保護規則體系,業已通過第一階段審查的好消息。
視資料為黃金,卻把個資法當猛獸
事實上,此一跨境隱私保護規則體系於二〇一一年即已成立, 同時在一二年亞太經合會(APEC)與歐盟成立了一個工作小組,處理歐盟與亞太地區國家間個資的交互適用性(interoperability),並促進個資的跨境移轉。在此工作小組的努力下,已達成歐盟企業拘束守則與亞太經合會跨境隱私保護體系的共通指引(Common Referential for the Structure of the EU System of Binding Cooperate Rulesand APEC Cross Border Privacy Rules System)。
我國於GDPR通過之一年後,方申請加入跨境隱私保護規則體系,恐已後知後覺。若政府以取得歐盟執委會的適足性認定為目標,GDPR的實質規範,例如遺忘權、更正權、拒絕權、個資主體之接近使用權,乃至於個資蒐集時控管者應提供之資訊等,均有增訂的必要,相關機關認為我國的個資保護與GDPR相近,恐有過度樂觀之嫌。
更根本的問題在於,我國政、學、企各界對個資的態度與GDPR迥異。
G D P R 強調個人資料保護是歐盟《 基本權利憲章》 (Charter of Fundamental Rights of the European Union )所保障的基本權。歐盟執委會在GDPR的提案說明表示:營造值得信任的資訊環境是經濟發展的基石。若缺乏此一信任,將延遲新科技的創新使用,因此,個人資料保護在「歐盟數位議程」(Digital Agenda for Europe)中扮演關鍵角色。
台灣政府「太傻太天真」
相對的,我國對於個人資料則擺盪於兩者間,一方面認為「資料是黃金」,是促進經濟成長之動力;另一方面,視《個資法》為洪水猛獸,在資料庫建置上,對於既有取得的資料重新取得同意,亦覺勞民傷財,多此一舉。
中研院在發布台灣經濟競爭與成長策略政策建議時,即有學者表示「台灣的法律是民粹式法律,以個資為例,台灣綁手綁腳」。如果此說成立,難道歐盟GDPR的通過也是將自己斷手斷腳?而國發會的立場更顯得自相矛盾,一方面強調法規鬆綁,另一方面須因應歐盟強化個資保護。在法規鬆綁與強化管制兩者間,國發會顯得舉足失措。
藉由廣大的市場,迫使第三國改變其管制政策,將自己的國內規範擴展到外國,乃是近來國際經濟法的重要趨勢。歐盟管制政策對於我國之影響,除了之前將我國漁業列為非法、未報告與不受管制漁業行為(IUU fishing)的黃牌外,此次GDPR的生效,勢必再度影響我國產業。
而政府的態度,一如IUU fishing樂觀,認為我國的個資保護跟GDPR相當,這種自信,恐怕繼政府期待從歐盟黃牌除名落空後,時間再度證明政府「太傻太天真」。
歐盟個資新法上路,跨國網路公司都受到影響。
個資移轉是經濟全球化、產業分工的重要環節。