談到GDPR法規,總和歐盟牽扯上關係,外界以歐盟訂定的GDPR「一般資料保護規範(General Data Protection Regulation)或《歐盟通用資料保護規則》指稱GDPR,也因此讓外界常認為,GDPR的保護對象以「國籍」為分類,僅和歐盟會員國居民有關,遠在天邊的亞洲國家或是台灣居民,不受到GDPR法規保護,台灣民眾和GDPR八竿子打不著。
台灣人在歐盟國家旅遊用漫遊就適用於GDPR法規!
「這是一種錯誤觀念!GDPR並非以『國籍』作為適用與否區分。若台灣企業提供商品或服務,給歐盟境內使用者,該使用者個資就會受到保護,不分國籍。」達文西個資暨高科技法律事務所所長葉奇鑫強調。
因此若台灣民眾在歐盟境內使用台灣企業的商品或服務也算GDPR保護範疇。舉例來說,台灣民眾在德國使用電信漫遊服務,該民眾的個資就受到GDPR法規保護。
「事實上,歐盟此法具有個資保護的普世精神,因此在某些情況,法規可能適用於全球民眾。」理律法律事務所合夥人曾更瑩強調。
應該這樣看:GDPR是對我們這種市井小民的人權保護者
另外,目前的文章也多從企業的角度出發,認為GDPR是史上最嚴格,管最多管最深,罰最大的法條,但卻很少從個資擁有者的「人權保護者」角度去看,法條背後的蘊含的重要精神與意義。
在亞洲國家之中,台灣個資法雖規定較為嚴格,尤其相比把「隱私換便利」當成準則的中國,如百度董事長李彥宏曾在公開場合語出驚人地表示:中國人願意用隱私換便利。也因為兩岸對於個資保護意識差距懸殊,過去談大數據應用時,相關企業主管常吐槽,「台灣有很嚴格的個資法,因此大數據都看得見吃不到。中國對數據的自由開放讓多種應用百花齊放。」
但時隔兩三年,當GDPR的法規正式施行,不僅給中國跨國企業龐大又繁瑣的合規壓力,也讓中小企業不敢隨意跨過國境提供服務。此時,不得不說當時被批評過於嚴格的台灣個資法的確還看得長遠。況且台灣個資法深度和廣度和GDPR比較起來還是小巫見大巫,罰則也輕許多,而台灣個資法雖然嚴格,但執法力道則寬鬆,個資洩漏事件層出不窮。
加上,在文化面上,民眾對於隱私疑慮與重視還是不比歐盟國家,因此個資與隱私「賦權」條文非常值得探索。而且只要身處歐盟境內,台灣人也機會行使這三大權力。
哪些特別的法規與台灣民眾相關呢?
既然如此,除了企業若要搜集或利用使用者個資,一定要先取得資料主體同意等基本原則外,有哪些較為特別的法規呢?
KPMG安侯法律事務所執行顧問翁士傑指出以下三種GDPR法規非常特別。
1.被遺忘權(Right to be forgotten)
2.資料可攜權(Right to data portability)
3.個人資料自動化決策(automated decision-making)反對權(Right to object)
1.因Google Spain案聲名大噪的被遺忘權
歐盟對於「被遺忘權」的定義為:即資料當事人(data subject)在特定條件下,有要求資料控制者(datacontroller)刪除其個人資料之權利,而且這裡的刪除規定相當嚴格,指的是通知進行資料處理的第三方資料當事人要求刪除任何個人資料的連結(links)、複本(copy)或是再製(replication)。舉例來說,你有要求搜尋引擎刪除與你相關資料的權利。
被遺忘權並非新概念,已經有許多判決案例。其中有名的案例就屬2010年的Google Spain案(一名西班牙男子狀告法院,希望Google刪除他1998年的房地產遭法拍資訊,詳情請見 )。
不過,並不是任何資訊都能被刪除,被遺忘權有所謂的「例外」情況,曾更瑩指出,「如為了保護言論自由與資訊自由,或為了維護公共利益與執行公務等情況。」避免被遺忘權無限上綱阻礙言論自由與公眾利益。
2.具有「公平交易」精神的資料可攜權
民眾對於自己的個資擁有更大的操控權,可以在不同的服務組織之間移動自己的個資,把資料從網路服務供應商(ISP)轉移至另外一個(ISP)。如把小米手環的個資,全部傳輸轉移到Apple Watch,把hotmail的資料轉移到Gmail。就像我們的手機號碼能「攜碼」,我們使用聯網設備產生的數據也擁有全部轉移到其他設備的權利。
葉奇鑫認為,此法條具有「公平交易」的精神在內。在大數據時代,FB與Google等科技巨頭,握有巨量的數據,這法條讓資料可在不同企業間流動,因此有機會打破巨型公司的數據壟斷局面,讓珍貴的數據資源可以共享。
不過,具有崇高理想性的法條要如何執行呢?很難想像巨頭之間會願意把自己的心頭肉交給別間公司,而且還可能是競爭對手!翁士傑認為,「短期內最有可能的做法是服務或產品提供商並沒有儲存使用的個資,個資直接儲存在終端裝置,讓使用者可以無痛轉移。」
3.避免「演算法歧視」的自動化決策反對權
自動化決策意指,以自動化方式處理個人資料的分析與決策活動,曾更瑩指出,此法條為了避免「演算法歧視」。
因此不能標示性傾向、宗教與種族等因素為決策標準。而企業在使用機器學習等自動化決策技術時,有責任要告知資料主體人電腦演算法決策的採用評判標準或依據。舉例來說。在金融科技發達的未來,企業有責任解釋與告知使用者該平台的P2P借貸的評分標準如何算出,而使用者也有拒絕承認該平台的評分標準的權利。
我們已經進入人工智慧時代,對於利用客戶資料做機器學習的公司來說怎麼辦?別緊張,只需要先事先獲得該資料主體人明確同意,還是可以進行數據分析。因此葉奇鑫則認為,由於此法條與允企業在獲得使用者明確同意後,採用個人資料自動化決策的技術,因此對於機器學習的長遠發展來說影響並不會太大。
