GDPR——當創新對上人權
專題故事

5月25日施行的GDPR不僅影響航空、金融、電信與旅遊等產業,60%的企業認為還沒有準備好,如個資外洩72小時通報主關機關、 設立資料保護長(DPO)與被遺忘權等繁雜法規多如牛毛,加總100萬元起跳的合規費用更壓得新創喘不過氣。當創新遇見被視為人權保護的GDPR法規,兩者孰輕孰重?另外,GDPR對於新創與創新技術有什麼影響?

1 當創新對上人權:GDPR讓區塊鏈都不區塊鏈了?

shutterstock
台灣尚未傳出新創因GDPR放棄歐盟市場,但如物品租借平台Streetlend與電子郵件所訂閱的內容服務Unroll.me等國外新創早「放大絕」,不僅把歐盟用戶資料刪光光,還拒絕提供服務。業者抱怨,去管制化(deregulation)一直是求創新的重要關鍵,當創新遇見保護人權的GDPR法規,對於創新技術有什麼影響?

5月25日施行的GDPR不僅影響航空、金融、電信與旅遊等產業,60%的企業認為還沒有準備好,如個資外洩72小時通報主關機關、 設立資料保護長(DPO)與被遺忘權等繁雜法規多如牛毛,加總100萬元起跳的合規費用更壓得新創喘不過氣。

新創放大絕,直接拒絕服務歐盟用戶

台灣尚未傳出新創因此放棄歐盟市場,但如物品租借平台Streetlend與電子郵件所訂閱的內容服務Unroll.me等國外新創早「放大絕」,不僅把歐盟用戶資料刪光光,還拒絕提供服務。

業者抱怨,GDPR法規傷害新創,鞏固Facebook與Google等科技巨頭地位,只有大型企業才負擔得起合規費用。去管制化(deregulation)一直是求創新的重要關鍵,但當創新遇見被視為人權保護的GDPR法規,兩者孰輕孰重?另外,GDPR對於新創與創新技術有什麼影響?

從黑貓換成Fedex也要重簽合約書

首先,搜集與處理用戶個資都必須獲得使用者同意,並且讓使用者真正理解使用目的,不容許模糊空間。理律法務事務所合夥人曾更瑩就舉例,不能只寫某某集團將使用該資料,必須寫清楚哪些子公司。曾更瑩指出,新創公司多才成立三年以內,商業模式快速變化,創辦人也很難知道數據最終用途,更難和資料所有者說清楚講明白,「若公司有委外服務,如快遞等物流服務,那轉換物流業者時,也必須和資料所有者再說明。這些合規程序這對新創公司來說都是成本。」

另外,GDPR也要求企業不論大小都要設立資料保護長(Data Protection Officer,DPO)。對新創來說創辦人自己都必須校長兼撞鐘了,DPO成為沈重的人事負擔。曾更瑩就說,「法規龐雜,不僅需要資料長,還需要一個包括IT、資料處理、行銷與客服等多跨部門多人團隊協助。」

更別說所有產品設計一開始必須含有隱私設計思維(Privacy by design)。在產品設計當初就必須考量GDPR法規,從資安系統,使用者合約、資訊管理系統等全方面設計。總和來看,GDPR雖然也有含有公平交易,數據共享的資料可攜權等有助新創條文,但總體而言,合規成本相對營收高,最終『弊大於利』。」葉奇鑫認為。

被遺忘權讓區塊鏈都不區塊鏈了!

另外,不僅對新創來說合規本身所需的費用高昂,GDPR也有幾項法規條文和創新技術本質抵觸,其中討論度最高的當屬被遺忘權(the right to forgotten)與區塊鏈。

一名區塊鏈業者就直言,「技術上當然可讓區塊鏈資料更改刪除,但若真的這麼做,區塊鏈都不區塊鏈了!和其本質背道而馳。」「只要有一個消費者要求移除資料,整個區塊鏈都要重新設計。若提供B2B金融交易帳務業務,觸法風險不高,但若面向一般消費者,就要小心了。」微軟全球助理法務長、台灣微軟公共暨法律事務部總經理施立成指出。

被遺忘權讓資料當事人(data subject)在特定條件下,有要求資料控制者(datacontroller)刪除其個資的權利,且不僅要刪除連結(links)、複本(copy)還包括再製本(replication)。區塊鏈技術則強調資料組成一線性鏈防止資料被更改,記錄在區塊鏈上的資料「不可竄改」,因此值得被信任,保證資料安全、透明與可永久紀錄。由此看來,可刪除資料不僅和區塊鏈不可竄改永久保存本質抵觸,也無法如資料當事人要求刪除。

個人化自動決策的拒絕權:打開機器學習的黑盒子

不僅區塊鏈技術,GDPR也可能會影響蓬勃發展中的機器學習技術。AppWorks法務輔導長暨明日科技法律事務所主持律師就在文章中指出,「針對「個人化自動決策賦予用戶請求解釋、拒絕適用權利 (Right to Explanation / Right Not to Be Subject),其實就是將近年來學術討論逐漸熱絡的「可信任/解釋的人工智慧」(Trustable/Explainable AI) 直接納入法律。」

機器學習是個黑盒子,尤其是非監督式學習。我們僅能得知輸入的資料和輸出的結果,不知原因,而可信任與可解釋AI,希望模型在輸出結果的同時,也輸出決策背後原因,避免數學模型學到人類歧視行為。個人化自動決策的拒絕權讓我們能理解機器學習的原理原則,並且可以拒絕採用結果。不讓機器學習成果無限上綱。

總結:創新不能誕生在犧牲人權的狀況下

但當創新遇見被視為人權保護的GDPR法規,兩者孰輕孰重?

「GDPR法規的施行是個很好的時間點。此時『暫停一下』,讓企業對資料主體進到保護義務,從公平與去除偏見的角度考慮演算法發展,而非產生嚴重問題被演算法惡果反撲才開始重視。」施立成認為。

葉奇鑫相當肯定GDPR立法精神,「這是條很先進的立法,捍衛大數據時代的人權。總體而言是正面肯定。」翁士傑肯則認為長遠來說,對創新有助益。「創新不能誕生在犧牲人權的狀況下,否則無法走長走遠。」

由此來看,科技創新是推動人類進步的動力沒錯,但若創新是植基於犧牲人權下,那並非真正的創新,必須能做到不作惡(Don't be evil)的創新才當之無愧。

2 台灣人也適用!GDPR是市井小民的人權保護者

shutterstock
只要身處歐盟境內,台灣人也有機會行使三大權利。 KPMG安侯法律事務所執行顧問翁士傑指出以下三種GDPR法規非常特別。 1.被遺忘權;2.資料可攜權 3.個人資料自動化決策反對權。

談到GDPR法規,總和歐盟牽扯上關係,外界以歐盟訂定的GDPR「一般資料保護規範(General Data Protection Regulation)或《歐盟通用資料保護規則》指稱GDPR,也因此讓外界常認為,GDPR的保護對象以「國籍」為分類,僅和歐盟會員國居民有關,遠在天邊的亞洲國家或是台灣居民,不受到GDPR法規保護,台灣民眾和GDPR八竿子打不著。

台灣人在歐盟國家旅遊用漫遊就適用於GDPR法規!

「這是一種錯誤觀念!GDPR並非以『國籍』作為適用與否區分。若台灣企業提供商品或服務,給歐盟境內使用者,該使用者個資就會受到保護,不分國籍。」達文西個資暨高科技法律事務所所長葉奇鑫強調。

因此若台灣民眾在歐盟境內使用台灣企業的商品或服務也算GDPR保護範疇。舉例來說,台灣民眾在德國使用電信漫遊服務,該民眾的個資就受到GDPR法規保護。

「事實上,歐盟此法具有個資保護的普世精神,因此在某些情況,法規可能適用於全球民眾。」理律法律事務所合夥人曾更瑩強調。

應該這樣看:GDPR是對我們這種市井小民的人權保護者

另外,目前的文章也多從企業的角度出發,認為GDPR是史上最嚴格,管最多管最深,罰最大的法條,但卻很少從個資擁有者的「人權保護者」角度去看,法條背後的蘊含的重要精神與意義。

在亞洲國家之中,台灣個資法雖規定較為嚴格,尤其相比把「隱私換便利」當成準則的中國,如百度董事長李彥宏曾在公開場合語出驚人地表示:中國人願意用隱私換便利。也因為兩岸對於個資保護意識差距懸殊,過去談大數據應用時,相關企業主管常吐槽,「台灣有很嚴格的個資法,因此大數據都看得見吃不到。中國對數據的自由開放讓多種應用百花齊放。」


但時隔兩三年,當GDPR的法規正式施行,不僅給中國跨國企業龐大又繁瑣的合規壓力,也讓中小企業不敢隨意跨過國境提供服務。此時,不得不說當時被批評過於嚴格的台灣個資法的確還看得長遠。況且台灣個資法深度和廣度和GDPR比較起來還是小巫見大巫,罰則也輕許多,而台灣個資法雖然嚴格,但執法力道則寬鬆,個資洩漏事件層出不窮。

加上,在文化面上,民眾對於隱私疑慮與重視還是不比歐盟國家,因此個資與隱私「賦權」條文非常值得探索。而且只要身處歐盟境內,台灣人也機會行使這三大權力。

哪些特別的法規與台灣民眾相關呢?

既然如此,除了企業若要搜集或利用使用者個資,一定要先取得資料主體同意等基本原則外,有哪些較為特別的法規呢?

KPMG安侯法律事務所執行顧問翁士傑指出以下三種GDPR法規非常特別。
1.被遺忘權(Right to be forgotten)
2.資料可攜權(Right to data portability)
3.個人資料自動化決策(automated decision-making)反對權(Right to object)

1.因Google Spain案聲名大噪的被遺忘權

歐盟對於「被遺忘權」的定義為:即資料當事人(data subject)在特定條件下,有要求資料控制者(datacontroller)刪除其個人資料之權利,而且這裡的刪除規定相當嚴格,指的是通知進行資料處理的第三方資料當事人要求刪除任何個人資料的連結(links)、複本(copy)或是再製(replication)。舉例來說,你有要求搜尋引擎刪除與你相關資料的權利。

被遺忘權並非新概念,已經有許多判決案例。其中有名的案例就屬2010年的Google Spain案(一名西班牙男子狀告法院,希望Google刪除他1998年的房地產遭法拍資訊,詳情請見 )。

不過,並不是任何資訊都能被刪除,被遺忘權有所謂的「例外」情況,曾更瑩指出,「如為了保護言論自由與資訊自由,或為了維護公共利益與執行公務等情況。」避免被遺忘權無限上綱阻礙言論自由與公眾利益。

2.具有「公平交易」精神的資料可攜權

民眾對於自己的個資擁有更大的操控權,可以在不同的服務組織之間移動自己的個資,把資料從網路服務供應商(ISP)轉移至另外一個(ISP)。如把小米手環的個資,全部傳輸轉移到Apple Watch,把hotmail的資料轉移到Gmail。就像我們的手機號碼能「攜碼」,我們使用聯網設備產生的數據也擁有全部轉移到其他設備的權利。

葉奇鑫認為,此法條具有「公平交易」的精神在內。在大數據時代,FB與Google等科技巨頭,握有巨量的數據,這法條讓資料可在不同企業間流動,因此有機會打破巨型公司的數據壟斷局面,讓珍貴的數據資源可以共享。

不過,具有崇高理想性的法條要如何執行呢?很難想像巨頭之間會願意把自己的心頭肉交給別間公司,而且還可能是競爭對手!翁士傑認為,「短期內最有可能的做法是服務或產品提供商並沒有儲存使用的個資,個資直接儲存在終端裝置,讓使用者可以無痛轉移。」

3.避免「演算法歧視」的自動化決策反對權

自動化決策意指,以自動化方式處理個人資料的分析與決策活動,曾更瑩指出,此法條為了避免「演算法歧視」。

因此不能標示性傾向、宗教與種族等因素為決策標準。而企業在使用機器學習等自動化決策技術時,有責任要告知資料主體人電腦演算法決策的採用評判標準或依據。舉例來說。在金融科技發達的未來,企業有責任解釋與告知使用者該平台的P2P借貸的評分標準如何算出,而使用者也有拒絕承認該平台的評分標準的權利。

我們已經進入人工智慧時代,對於利用客戶資料做機器學習的公司來說怎麼辦?別緊張,只需要先事先獲得該資料主體人明確同意,還是可以進行數據分析。因此葉奇鑫則認為,由於此法條與允企業在獲得使用者明確同意後,採用個人資料自動化決策的技術,因此對於機器學習的長遠發展來說影響並不會太大。

3 GDPR執法難、罰不到?台企僥倖心態,小心成下個中興通訊

shutterstock
GDPR上路首日,台灣的航空、金融、科技、電信與旅遊業等五大類業者首當其衝。而這些業者也都積極迎戰GDPR,早在一兩年前就開始委請顧問做足準備。不過,除了以上這些業者,多數中小企業警覺心不夠,多保持觀望與僥倖心態。

最重可被罰7億元台幣!5月25日,被冠上史上最嚴格的「歐盟通用資料保護規則」(EU General Data Protection Regulation,GDPR)法規正式生效,若有組織違反該法,最重可被處以全球營業額的4%或是2000萬歐元驚人罰款,展現歐盟以重法保護歐盟居民個資的決心。

航空、金融、科技、電信業積極準備,中小企業觀望心態濃

不僅罰款驚人,GDPR適用範疇涵蓋極廣。安侯法律事務所執行顧問翁士傑就指出以下三大類型公司都在GDPR的適用範疇。

1.在歐盟有營運據點的境外公司。
2.沒有據點但有提供產品或服務給歐盟境內居民。
3.提供服務給歐盟會員國公民。

「B2C業者型態業者,直接接觸第一線消費者,影響最深。而地域性強,僅在台灣或是亞洲地區服務的傳統產業業者影響較小。」達文西個資暨高科技法律事務所所長葉奇鑫分析。

因此台灣的航空、金融、科技、電信與旅遊業等五大類業者首當其衝。而這些業者也都積極迎戰GDPR,早在一兩年前就開始委請顧問做足準備。

不過,除了以上這些業者,多數中小企業警覺心不夠,或多保持觀望與僥倖心態。

觀望原因:驚人百萬花費,執法難且罰不到?

這些業者認為,GDPR主要針對Facebook、Google與Microsoft等美國科技巨頭,可以把這些巨人擋箭牌躲在後面看市場風向。

也有不少業者,因為GDPR合規費用驚人(業內律師指出至少百萬元台幣起跳),躊躇不前。

也有的採取更為消極的心態,台灣對歐盟來說「天高皇帝遠」,等真的有同業被罰了,再行動也不遲。

或商業活動範圍有限、風險不高,在歐盟境內沒有銀行帳戶,沒有可被執行的資產,就算被認定違反GDPR法規,歐盟法院也很難找到人執法,因此不用理沒在怕。

加上歐盟執法單位自己都還沒有準備好,業者的觀望心態又更濃了。「歐盟國家的企業也沒有準備好,GDPR概念很先進,但執法很困難,我認為還有三年左右的摸索期。」葉奇鑫指出。歐盟法院的執法難度高,以GDPR中的被遺忘權(right to be forgotten)來說,歐盟資訊安全局(ENISA)曾指出,被遺忘權要徹底實行(如告知所有相關連結公司完全刪除連結與複本)難度很高。

旅遊業小心成為下一個中興通訊

對於這些業者的觀望態度,專業律師的看法為何?

旅遊業者最要當心,為什麼呢?航空、金融、電信等業者財力雄厚,早拿出大把銀兩做合規程序,而多數旅遊業為中小企業,資金不充沛,未積極迎戰GDPR,「但旅遊業業者,常提供產品或服務給歐盟境內居民或提供服務給歐盟會員國公民,觸法風險性高,需要特別當心。」葉奇鑫強調。

而翁士傑則提醒,風險高的業者千萬不要抱持僥倖心態,認為歐盟法院罰不到。「歐盟可能會公布違法業者名單,並採取歐盟企業禁止與違法企業商業往來,作為懲罰。」

彭博23日才報導,美國對大陸企業中興通訊實施商業制裁,中興至少虧損952億元台幣。前車之鑑不可不防。

另外,雖說GDPR主要規範個人資料,而非企業資料,因此B2C業者要慎防但B2B的業者也不要以為可以高枕無憂。翁士傑強調,「以台灣科技代工業者來說,雖然沒有接觸第一線的消費者,但可能在歐盟設點開工廠,那其員工與往來的客戶等個資就屬於GDPR管轄,而在未來產品端也不會僅有硬體,也會包含軟體服務,在產品研發的過程中,極容易使用終端用戶個資,因此歐盟的企業客戶也會要求要符合GDPR。」

微軟全球助理法務長、台灣微軟公共暨法律事務部總經理施立成就說,「我演講時常把GDPR和2000年時的千禧蟲危機做個比較,當時很多人很緊張,但後來沒有發生什麼事,但GDPR可『完全不同』,歐盟有很強烈的執法決心,不用討論執法的決心。」

延伸閱讀