GDPR——個資冷感時代的新啟蒙運動
專題故事

我們是否可以把GDPR法規下的新時代,看作一種啟蒙的開端?就像金恩博士對非裔美國人人權、西蒙·波娃對女性人權的貢獻,來到大數據時代,我們需要新的啟蒙者,喚醒大眾對於自身數據帶來的人權議題重視。

1 白話GDPR:三個面向完全解析

shutterstock
GDPR的出現,給了大部分對個資冷感的使用者,一次響亮的提醒;而法規上路對台灣的影響,以航空、金融、科技、電信與旅遊業等五大類業首當其衝,但許多業者還存著僥倖心態。

2013年,前美國國家安全局外包技術員史諾登(Edward Snowden)將美國國家安全局的「稜鏡計畫」監聽專案秘密文件披露給媒體,引發全球震驚。原來美國政府從2007年起就監控民眾的郵件、社交活動、通訊內容,這個事件也點燃歐美社會開始更重視個人資料的隱私性。

今年5月25日,被冠上史上最嚴格的《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)正式上路,歐盟以重法展現保護歐盟居民「人權」的決心。

GDPR法規的存在目的,除了排除歐盟會員國之間的個資流通障礙外,也提供個資當事人權利與強化個資專責機關權限,但GDPR法規並非憑空而出,最初源自於1995年的《個人資料保護指令》,不過此次GDPR法規則更加重「企業責任」,並且強化「當事人權利」。
加重企業責任是什麼意思?舉例來說,若有企業或組織違反該法,最重可被處以全球營業額的4%或是2千萬歐元(約合7.2億元新台幣)的驚人罰款;若有個資洩漏事件,該企業不僅要在72小時內回報當地個資保護主管機關,大型企業還必須設有個資保護長一職專責處理相關事宜。另外GDPR不僅罰款驚人,適用範疇涵蓋也極廣。

五大類企業,首當其衝

KPMG安侯法律事務所執行顧問翁士傑指出,以下三大類型公司都在GDPR的適用範疇:首先是在歐盟有營運據點的境外公司,其次是沒有據點但有提供產品或服務給歐盟境內居民的企業,第三是提供服務給歐盟會員國公民的業者。

「B2C(企業對消費者)型態的業者,因為直接接觸第一線消費者,影響最深;而地域性強、只在台灣或是亞洲地區服務的傳統產業業者,則影響較小,」達文西個資暨高科技法律事務所所長葉奇鑫分析。

台灣的航空、金融、科技、電信與旅遊業等五大類業者因為符合上述的三大類型特徵,營運首當其衝,這些業者也都積極迎戰GDPR。
那麼強化當事人權利的意思為何?翁士傑指出,在GDPR眾多權利中,有三種權利最為特別:一、被遺忘權(Right to be forgotten),二、資料可攜權(Right to data portability),三、個資自動化決策(Automated decision-making)反對權(Right to object)。

GDPR法規,三種權利最特別

我們先來看「被遺忘權」。歐盟對於被遺忘權的定義為:即資料當事人(Data subject) 在特定條件下,有要求資料控制者(Datacontroller)刪除其個人資料之權利,而且這裡的刪除規定相當嚴格,指的是資料當事人有權要求進行資料處理的第三方,刪除任何個人資料的連結(Links)、複本(Copy)或是再製(Replication)。舉例來說,你有要求搜尋引擎刪除與你相關資料的權利。

數位時代製作

被遺忘權並非新概念,歐洲已經有許多判決案例,其中有名的案例就屬2010年的Google西班牙案(Google Spain)。然而,並不是任何資訊都能被刪除,被遺忘權有所謂的「例外」情況。理律法律事務所合夥人曾更瑩指出,如「為了保護言論自由與資訊自由,或為了維護公共利益與執行公務等情況」的例外,這是避免被遺忘權無限上綱,阻礙了言論自由與公眾利益。

「資料可攜權」又是指什麼呢?民眾對於自己的個資擁有更大的操控權,可以在不同的服務組織之間移動自己的個資,把資料從網路服務供應商(ISP)轉移至另外一個。比如把小米手環的個資全部傳輸轉移到Apple Watch上、把Hotmail的資料轉移到Gmail,就像我們的手機號碼能「攜碼」,我們使用聯網設備產生的數據,也擁有全部轉移到其他設備的權利。

葉奇鑫分析,「此法條具有『公平交易』的精神。」在大數據時代,臉書與Google等科技巨頭握有巨量的數據,這條法條讓資料可在不同企業間流動,因此有機會打破巨型公司的數據壟斷局面,讓珍貴的數據資源可以共享。GDPR上路,讓累積數據優勢的科技巨頭也必須釋出資料,成為中小企業的機會。

至於「個資自動化決策反對權」,能有避免「演算法歧視」的深刻含義。自動化決策意指:以自動化方式處理個人資料的分析與決策活動,曾更瑩就指出,此法條主要是為了避免演算法歧視,因此不能標示性傾向、宗教與種族等因素為決策標準,也因此企業在使用機器學習等自動化決策技術時,有責任告知資料當事人,電腦演算法決策的採用評判標準或依據。

舉例來說,在金融科技發達的未來,消費者使用線上貸款分析時,企業有責任解釋與告知使用者該平台的P2P(Peer-to-Peer)借貸評分標準是怎麼算出來的,而使用者也有拒絕承認平台評分標準的權利。

「GDPR法規的施行是個很好的時間點,此時『暫停一下』,讓企業對資料當事人進到保護義務,從公平與去除偏見的角度考慮演算法發展,而非產生嚴重問題被演算法惡果反撲後,才開始重視,」微軟全球助理法務長、台灣微軟公共暨法律事務部總經理施立成指出。

不過或許你要說,這是歐盟世界的法規,和台灣人無關,這是錯誤的觀念。在某些情境下,GDPR法規不是僅針對歐盟居民,台灣民眾也適用。因此我們不妨從個人、企業、國家,微觀到巨觀角度,一次解析GDPR的含意。

個人面——我的資料,我做主

人權與隱私權之間的關係是什麼?民眾常對新聞中的個資外洩議題冷感,關注程度遠不及銀行ATM被駭客盜領事件;而在科技圈被熱烈討論的「臉書劍橋分析(Cambridge Analytica)事件」,出了科技圈,一般民眾所知甚少,更遑論知曉因為該事件讓臉書8,700萬筆個資遭盜用分析,竟然左右了美國2016年的總統大選結果。

社會雖對個資外洩冷感,但隨著科技發展,民眾仍逐漸感受到監控無所不在。在人臉辨識技術興起的年代,隱私監控已經突破線上的網路IP與Cookie追蹤,延伸到線下。筆者參加今年5月一場國際大數據論壇時,該論壇主辦單位以便利與安全為由,在大型活動現場裝置人臉辨識儀器,監控入場民眾身分與數量,人人無所遁形。

近日也有學校以提升教育品質為名,在教室裝設人臉辨識系統,管理學生遲到早退,而這樣的產品未來是否也會走進辦公場景,監控員工上班是否足夠認真?在對岸的中國甚至出現一個悖論:「在大數據時代,若想要便利又安全,就必須要讓渡隱私,這是沒辦法的事。」

的確,監控系統讓生活更便利安全了,但仍必須思考這是人類想要的生活嗎?不交出資料,生活就會不安全、不便利?有必要退讓隱私權界線嗎?難道不該追求一個在數據時代,生活安全便利又能保有隱私的世界?若沒有GDPR或個資法等規範出現,久而久之,消費者可能就被科技公司給「馴化」,被規訓成科技巨頭想要的樣子。

在此之前,已經有很多隱私權鬥士捍衛隱私權利,從史諾登到劍橋分析共同創辦人懷利(Christopher Wylie),GDPR法規下的新時代也可看成一種隱私權啟蒙的開端,喚醒大眾重視對於自身數據帶來的人權議題。

GDPR保障消費者擁有拒絕權、更正權、資料可攜權與被遺忘權。「數據就是石油」的說法已經耳熟能詳,但GDPR法規對於數據的重視,不僅僅如石油而已,更近乎於資本主義運作下的金錢,當我們直接用金錢理解數據的重要性,就更容易理解這個法規背後的意義。

若把數據看成白花花的鈔票,我們將更有警覺性,積極自主的希望擁有更多自主權,不再漠視廠商所有不透明的黑箱行為。

舉例來說,當廠商拿走消費者的數據,就和拿走錢一樣,廠商沒有經過同意(對應GDPR明確當事人同意規定),可以任意把錢從A國跨國傳輸轉到B國嗎(對映GDPR個資跨國傳輸)?資料主體人要把錢(資料)從A銀行轉到B銀行,難道不行嗎(對映GDPR資料可攜權)?

企業面——歐盟執法嚴,別存僥倖

那在企業層面呢?台灣的航空、金融、科技、電信與旅遊業等五大類業者面對GDPR首當其衝,但多數中小企業警覺心不夠,或多保持觀望與僥倖心態。

不少業者認為,GDPR主要針對Facebook、Google與微軟等美國科技巨頭,可以把這些巨人當擋箭牌,躲在後面看市場風向。更因為GDPR合規費用驚人(業內律師指出至少百萬元新台幣起跳),不少業者躊躇不前,或採取更消極的心態,認為台灣對歐盟來說「天高皇帝遠」,等真的有同業被罰了,再行動也不遲。

部分業者則評估商業活動範圍有限、風險不高,在歐盟境內沒有銀行帳戶,也沒有可被執行的資產,就算被認定違反GDPR法規,歐盟法院也很難找到人執法,因此沒在怕,加上歐盟執法單位自己都還沒有準備好,業者的觀望心態又更濃了。葉奇鑫指出,「歐盟國家的企業也沒有準備好,GDPR概念很先進但執法很困難,我認為還有3年左右的摸索期。」

另外,歐盟法院的執法難度高。以GDPR中的被遺忘權來說,歐盟資訊安全局(ENISA)曾表示,被遺忘權要徹底實行(如告知所有相關連結公司完全刪除連結與複本)難度頗高。

專業律師則認為旅遊業者最要當心,因為航空、金融、電信等業者財力雄厚,早拿出大把資金做合規程序,而多數旅遊業為中小企業,資金不充沛,未積極迎戰GDPR,「但旅遊業業者常提供產品或服務給歐盟境內居民或歐盟會員國公民,觸法風險性高,需要特別當心,」葉奇鑫強調。

翁士傑則提醒,風險高的業者千萬不要抱持僥倖心態,認為歐盟法院罰不到,「歐盟可能會公布違法業者名單,並採取歐盟企業禁止與違法企業商業往來,作為懲罰。」

美國對中國中興通訊實施商業制裁,讓中興至少虧損952億元新台幣,前車之鑑不可不防。另外,雖說GDPR主要規範個人資料而非企業資料,所以B2C業者要慎防,但也不表示B2B(企業對企業)業者可以高枕無憂。

翁士傑強調,「以台灣科技代工業者來說,雖然沒有接觸第一線的消費者,但可能在歐盟設工廠,其員工與往來的客戶等個資就屬於GDPR管轄;在未來,若產品不僅有硬體,也包含軟體服務,在產品研發的過程中,極容易觸碰終端用戶個資,因此歐盟的企業客戶也會要求代工業者需符合GDPR。」

數位時代製作

國家面——跨境傳輸,台灣談判慢於日韓

拉高到全球與國際的層級來看,GDPR其實不僅是法律議題,也關乎台、歐雙邊經貿與外交議題。舉例來說,GDPR中的「跨境傳輸」規範,就需要政府的國際談判斡旋力量。

跨境傳輸是什麼?資料在全球流通,自然牽涉到不同國境間的「傳輸」,舉例來說,某公司的總部在台灣,但在法國有分公司,法國分公司要將含有歐盟居民的數據傳回台灣公司時,就涉及跨境傳輸規範。

而GDPR對跨境傳輸有相當嚴格的規範:「原則禁止,例外允許」,白話一點,就是除非該國家或該企業已經獲得歐盟的認可或當事人明確同意,如取得歐盟適足性認定(Adequacy Decision),否則數據不能傳到其他國家。目前全球已經有12國獲得跨境傳輸的認可,那台灣有名列其中嗎?

2017年日本與韓國已經開始和歐盟進行協商討論,但台灣政府動作慢,一直到法規都已經正式執行、火燒屁股,才由國發會代表台灣飛往歐盟交涉,除了顯示出政府對數位經濟時代的法規變遷不夠熟悉外,也顯示缺乏洞燭機先的能力。

雖然歐盟早在2016年以前就已經公布該規定,當年台灣行政院也有設立數位政委職務,台灣個資法主管機關法務部也有針對相關議題開始研究,但僅止於研究階段,沒有積極和歐盟國家交涉,直到法規今年5月底已經開始執行,行政院才委由國發會和歐盟國家交涉,慢了半拍。

數位時代製作

歐洲,人權思想發源地

「GDPR是一種數據保護文化的變革,裡頭許多基本規則也有出現在《里斯本條約》(Treaty of Lisbon)中,有和憲法一樣的價值。」參與GDPR法令制定的歐盟數據保護監管局主管Giovanni Buttarelli說。

Giovanni Buttarelli相當看重GDPR的角色,提及GDPR法律定位時,也提及了普遍被視為歐盟憲法並且真有其法律效力的《里斯本條約》,可見對於此法的崇高定位。

過去西歐一直是人權思想的發源地,德國與法國都有長期的人權保護傳統,歐洲對於人權保護有《世界人權宣言》、《聯合國人權公約》與《歐洲人權公約》等國際與區域多種層次的法律保護,此次從最重視個人隱私權利的歐洲頒布GDPR法規,也帶動了全球再度重新檢視隱私權的權利,因為沒有人是隱私權中的局外人。

數位時代製作
數位時代製作
數位時代製作
GDPR
一般資料保護規定
歐洲隱私權法律──一般資料保護規定(General Data Protection Regulation),預定於2018/5/25 生效,目的在於讓個人能控制個人資料、掌握這些資料會被用在哪些地方,以及要求企業提升資料安全性。 個資包含所有可識別出特定人身份的資料,如姓名、指紋、IP地址等。一旦違反,最高將面臨高達2,000萬歐元、或是該年度全球營業額4%的罰鍰(看何者金額較高)。 (來源: 微軟 )

2 一個水表竟成命案關鍵線索!最無感監視網:智慧家電

Shutterstock
隨著技術進步,最無感的監視網絡,已經不是閉路攝影機了,是那些在家中的智慧家電!

生活隨時隨地都能產生資訊,在你踏進家門前,客廳大燈已經自動打開、空調也調整到最適溫度⋯⋯,這是智慧家居生活的基本樣貌。

只不過,當我們幾點睡覺、幾點起床、何時沖馬桶都被一一記錄、做事的頻率被聯網裝置捕捉,這些最了解你的智慧助手,反過來也可能成為最綿密的監視網路。

根據IDC報告,全球資料量到2025年會達163 Zettabytes,成長驅動就是來自物聯網裝置,且其中20%的資料將和我們的日常生活息息相關,未來我們平均每天要和聯網裝置互動4,800次,相當於每18秒就一次;Gartner報告也指出,聯網設備到2020年會超過2千萬個。

隨著設有麥克風、攝影機的聯網裝置進駐到客廳、臥室、浴室,家中已不再是最私密的地方。

一份美國消費者保護組織Consumer Watchdog去年底發布的報告指出,亞馬遜和Google分別申請專利,讓裝置可透過蒐集用戶說過的話、做過的事,識別出他們的生活習慣和興趣後,進一步對用戶進行行為分析,並用於個人化廣告和產品推薦。

兩小時用140加侖水量,抓到凶手

例如,亞馬遜申請的一項演算法專利,讓語音裝置可以辨識出表達「興趣」的句型;另一項專利也顯示,Google未來可能透過聯網裝置蒐集更多數據,例如當監視器捕捉到客廳有位拿著籃球的15歲少年,就能推播運動類夏令營的廣告,就連用戶身上穿著印有某明星臉的T恤、放在家中的書,都能成為廣告推薦依據。

今年7月,Facebook遭爆料申請一項可遠端遙控偷錄音的專利,原理是在電視廣告中藏聲音指紋,利用人類聽不見的音頻,啟動手機麥克風錄製背景音,了解家庭成員看了哪些節目、有什麼反應。

雖然上述的描寫只是專利,並非目前產品的真正功能,但已有案例顯示,聯網裝置蒐集的數據已經超過人們想像。去年10月Google Home Mini出貨前被發現,在沒喚醒的情況下竟會自動錄音,並將音檔回傳Google伺服器。

此外,2015年一起美國命案中,警方認為亞馬遜智慧喇叭Echo有機會錄下案發當時嫌犯家中的聲音,甚至成為整起案件的關鍵證人,但亞馬遜為保障用戶隱私,拒絕提供警方任何資訊。不過比起Echo,在這場案件中另一個智慧水表其實提供了更多辦案線索,警方發現,在案發當晚凌晨1點到3點,嫌犯總共用了140加侖的水,可能是凶手用來清理犯罪現場的證據。

最大問題:無意識下資料被「偷」

「它往往在我們沒辦法感受的狀況下就蒐集數據,這是感覺比較不好的。」正如資策會科法所副所長顧振豪所說,物聯網引發疑慮的部分在於,消費者正無意識一點一點地放棄隱私,因為他們不知道哪些數據正在被蒐集,以及如何被使用。

顧振豪舉例,為了優化商品,檯燈製造商可能記錄用戶用燈習慣、用電量,儘管這些數據對一般人來說可能無關緊要,但一旦和客戶系統連接,就會成為個資,且透過手機、筆電、穿戴式設備無所不在蒐集,就越容易清楚描繪客戶幾點上班、常做什麼等個人情境。

顧振豪指出,這也是為什麼5月上路的歐盟《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)強調隱私設計,就是希望在產品製造和服務設計時就加入資料保護機制。

台灣人權會網路透明度報告專案經理何明諠也認為,台灣人隱私意識並不低落,很多時候只是沒有意識到國家和企業正在蒐集我們的資料。「『告知』在隱私保護中是很重要的環節。」他說,像是如何蒐集資料、蒐集哪些資料、用途等,這些細節必須告訴資料提供者,否則大家根本不會意識到隱私是否被侵犯。

隨著GDPR上路,不少企業都修改隱私條款,透過email或在用戶登入時跳出提醒,說明他們如何蒐集用戶資料、蒐集的資料類型以及用在哪,盡到告知義務,但這是否真能讓用戶隱私較以往獲得更多保障?

今年6月挪威消費者委員會的一份報告顯示,Facebook和Google皆企圖用視窗設計和措辭,引導用戶同意更有利於企業的隱私選項,如果想改成隱私友善的設定必須經過更繁瑣的過程;非營利法律網站noyb.eu也指控Facebook和Google已經違反GDPR中禁止「捆綁同意」的條款,強迫用戶只能在同意隱私條款或刪除帳號間做選擇。

台灣用戶更有感的是,LINE在7月更新隱私條款,讓用戶要同意所有條款才能繼續使用服務,被國發會要求改善。值得思考的是,對用戶而言企業的作法到底是否合理?用戶是否也只能靠「不爽不要用」來消極抵抗?

顧振豪指出,雖然企業修改隱私條款是屬於私人契約,就像房東在租約期滿漲房租一樣,不會被禁止,但當市場中大部分的人都在用該服務,讓使用者不得不用時,就涉及市場壟斷。

「資料擁有者越大,越容易操控市場,帶來不公平競爭。」顧振豪說,但以LINE此例來看,很難符合市場壟斷的標準,因為仍有其他通訊軟體可選擇,而GDPR中的「資料可攜權」,也是為了促使市場公平競爭,讓用戶可以將在某平台累積的資料,輕鬆轉換到其他服務上。

蒐集本身無罪,合理應用才是根本

先不論上述質疑,就連有多少人真的仔細閱讀過隱私條款,都是一個大哉問。一份2008年的研究顯示,要認真讀完所有正在使用服務的隱私條款,每年至少要花上244小時,更何況是更多新服務出現的10年後。

隱私爭議日益增加,和「羊毛出在狗身上,豬來買單」的商業模式也很有關。顧振豪指出,新服務來自各家服務不斷串接,並不斷從大數據中創造新的經濟模式,很難在數據蒐集之始就決定目的。舉例來說,Facebook原先蒐集用戶資料時,也沒有現在賣廣告的商業模式,而這樣資訊跨界的流動和使用,在免費服務上很難避免,也是隱私爭議的起始,「會影響到我們原先承諾同意這件事,這是資訊社會裡最麻煩的,」顧振豪說。

不過,顧振豪樂觀看待,認為科技可以為善,我們不用過於恐懼,只要在服務設計上符合當事人感受、注意事前告知,不必然數據被蒐集利用就表示失去隱私;無論GDPR或其他個資法的理念,都在強調「資料自我控制」,重點不是禁止資料被蒐集,而是促進合理使用。

244 小時
要認真讀完所有正在使用服務的隱私條款,每年至少要花244小時。

3 小心那些Instagram、Netflix和亞馬遜都在做的事

Shutterstock
GDPR的出現某一部份似乎也是在提醒大家:小心社群平台的數位跟蹤計!

「你願意跟我們分享昨晚住宿的旅館是哪一間嗎?」美國參議員迪克.德賓(Dick Durbin)在今年4月的國會聽證會上,問了Facebook創辦人馬克.祖克伯(Mark Zuckerberg)這麼一個問題。「嗯⋯⋯我不願意。」這是一陣沉默後,祖克柏擠出的尷尬回答。德賓繼續追問:「你會讓我們知道你這週傳簡訊給哪些人嗎?」祖克伯說:「參議員,不,我不會在這裡、這個公開場合,告訴大家這件事情。」

一段看似有點偏離主題的對談,正映照出社群媒體上的隱私問題:我們對個人隱私的權利、權利範圍的界線究竟在哪裡?有趣的是,今日的Facebook對你我生活暸若指掌,而祖克伯自己卻基於隱私考量,連下榻的旅館都不願透露。

8,700萬用戶數據,左右美國總統大選

今年3月,史上最大用戶資料外洩風波,在擁有22億全球用戶的Facebook上正式爆發。

事件的主角劍橋分析(Cambridge Analytica)是一家成立於2013年的政治資料分析公司,位於英國的母公司戰略溝通實驗室集團(SCL Group)則為全球官方機構提供數據分析和戰略決策。這間公司的背景十分特殊,由白宮前首席策略師兼美國總統顧問史蒂芬.巴農(Steve Bannon)擔任行政主席,還得到共和黨億萬富豪羅伯特.默瑟(Robert Mercer)1,500萬美元投資。

事實上從2007年開始,Facebook就開放第三方App存取用戶好友的資料,一名劍橋大學心理系教授科根(Alesksandr Kogan)的研究公司Global Science Research(GSR)就利用這點,在2014年開發一款名為「這是你的數位生活(thisisyourdigitalife)」的性格測試App。劍橋分析透過這款App,打著學術研究的名號,實際上暗地裡蒐集高達8,700萬用戶的個人數據,並曾受雇於美國總統川普的競選團隊,利用資料優勢打贏了總統選戰,整起事件後來遭劍橋分析共同創辦人懷利(Christopher Wylie)揭露。

濫用8,700萬用戶個資的劍橋分析事件,讓身處數位時代的你我深刻意識到個資隱私的重要性,「#DeleteFacebook」(刪除臉書)在社群上蔓延開來,「鋼鐵人」馬斯克(Elon Musk)在事件爆發後,也已經刪除在Facebook的SpaceX、特斯拉(Tesla)粉絲專頁來響應行動;而劍橋分析因為風波擴大影響營運,今年5月宣布連同母公司戰略溝通實驗室集團破產,正式關門大吉。

「人們在現在的環境,很難清楚到底誰擁有了自己的資料。」蘋果執行長庫克(Tim Cook)除了公開批評Facebook的隱私策略,同時也認為「隱私是人權」。

事件爆發後,Facebook大規模更改個資管理策略,將本來遍布在許多不同頁面上的隱私設定,通通集中在新推出的「隱私捷徑工具」中,試圖修補與用戶間的信任關係。接著在Facebook F8全球開發者大會上,宣布全面重啟應用程式審查,確保濫用個資事件不再重演。

這並不是Facebook第一次出包。一名叫哈納(Aran Khanna)的哈佛學生,2015年曾開發一款名為「Marauders Map」的擴充程式,用戶安裝後能看到使用Messenger發訊者的精確地理位置。哈納發現,2015年6月以前Android版本的Messenger,都會偷偷蒐集傳訊者所在地點資料,默認分享Messenger使用者的位置資訊。

隨手打卡、下單,動態都能被利用

不論是隨手打卡、按讚、搜尋、購物,都在無形之中被記錄下來,因此Facebook、推特、Instagram這些社群平台就能透過分析這些資訊,來洞察用戶喜好並投放廣告。這類情況可大可小,像網飛(Netflix)利用會員資料、瀏覽紀錄來推薦甚至預測用戶喜愛的內容;亞馬遜透過顧客的購買、搜尋紀錄來推薦商品,這些都還算是合理範圍的利用。

劍橋分析事件也讓今年5月25日正式執行的《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)受到關注。這是一款極具人權保護色彩的規範,舉凡蒐集用戶個人身分、生物特徵、線上定位資料都受到嚴謹保護。

為了防止開發人員未經許可取得用戶數據,Facebook將嚴格管控活動、社團、粉絲頁的應用程式介面(API)存取權,未來第三方App將不再擁有「以用戶身分向Facebook發布貼文」的權限。祖克伯5月也在歐盟的聽證會上表示,Facebook絕對會遵守GDPR規範,為了符合這個精神,將推出「一鍵清除歷史資料按鈕」功能,允許用戶刪除所有儲存的Cookie和瀏覽歷史。

此外,Facebook底下還有Instagram、WhatsApp兩大平台。擁有8億用戶的Instagram,過去一直以不容易輸出資料聞名,因此為了因應GDPR的「資料可攜權」,推出資料備份功能,用戶可將照片、影片、封存的限時動態、個人檔案資料、留言、私訊、追蹤清單、搜尋紀錄通通打包備份,檔案會以email形式傳送到用戶信箱中,但整個下載過程需要耗時約48小時。

WhatsApp同樣為了符合GDPR,宣布調整歐盟用戶使用年齡,必須年滿16歲才能使用服務,13到16歲的歐盟用戶必須在監護人同意的情況下,才能在平台上分享訊息。如果年齡不符合規範,將不會使用用戶的資料投放個性化廣告,其他國家地區則維持13歲的限制,但並沒有詳細說明如何驗證年齡資訊的真偽。

無論劍橋分析事件或GDPR,都讓握有大量用戶數據的公司在處理攸關隱私的數據、資料上顯得更加謹慎小心,而資料被濫用的問題更成為人們關注的焦點。

資訊偏見,恐變最鋒利武器

今年是台灣的選舉年,各個候選人無不使出渾身解數吸引選民目光,而社群媒體就成了與選民溝通的工具與管道,然而資訊一旦被濫用,連選舉結果都可能被影響。Facebook表示,2015至2017年間有479個俄羅斯假帳號,花了10萬美元針對美國用戶投放了3千則廣告,內容焦點都放在分裂意見的社會議題,如種族、同性戀權利、槍枝管制、外來移民等,被認為俄羅斯想干預美國選舉,將川普送上大位。

為了確保選舉不被干擾,Facebook宣布將與七家外部的非營利組織合作,成立獨立委員會,研究社群媒體在選舉中造成的影響,改善選舉公平性。這些例子都一再告訴我們,在社群當道的年代,被濫用的個資也能成為鋒利的武器。

5 小時
劍橋事件爆發後,Facebook創辦人祖克伯赴美國國會說明,在長達5小時的聽證會上,接受來自44位議員的連番拷問。

4 天價罰款高達7.2億,GDPR實施引爆新創倒閉潮

Shutterstock
GDPR之所以成為全球企業共同關心的話題,除了影響範圍廣闊,只要蒐集、處理與利用歐盟公民個資的企業,不論是否設點於歐盟都受到規範之外,高額罰款更是最讓企業心驚膽顫的因素。

《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)號稱史上最嚴格的個資法規範,違法者最高可被判罰2千萬歐元(約合7.2億元新台幣)或全球營業總額的4%,兩者取其高。正因罰款近乎天價,全球企業無不繃緊神經。

GDPR之所以成為全球企業共同關心的話題,除了影響範圍廣闊,只要蒐集、處理與利用歐盟公民個資的企業,不論是否設點於歐盟都受到規範之外,高額罰款更是最讓企業心驚膽顫的因素。

GDPR的罰款有多恐怖?根據規範分為兩種情境:若沒有合法理由,拒絕當事人刪除個資的請求、也沒有建立資料保護管理系統時,最高可罰3.6億元新台幣或全球年度營業總額2%作為罰款。更嚴重的違規,如非法處理個資、資料外洩沒有主動通報、沒有任命資料保護長、違法向第三國傳輸個資等,最高將處7.2億元新台幣或全球年度營業總額4%作為罰款。不論是定額的3.6億元、7.2億元或營業總額比例,都將取其高者作為處罰。

天價「付不起」,直接宣告關閉

在高額的罰款面前,企業無不繃緊神經深怕違法。 GDPR法案通過日期為2016年5月25日,不過新增的使用者識別資訊定義包含Cookie、IP位址以及GPS位置等,都被視為個資的一環,大大增加了企業應對的難度,因此特別延至2018年5月25才正式施行。

儘管有了兩年緩衝時間,許多大企業仍因應不及,如Pinterest旗下熱門的書籤服務Instapaper就在GDPR正式執行的前一天,才宣布暫停服務歐盟用戶。Pinterest的產品工程經理也親上前線回覆社群媒體,表示團隊正持續趕工,改善服務直到符合GDPR規範。寧願先關閉服務,也害怕踩到紅線,由此可見GDPR高額罰款的可怕之處。

就連大企業都會因應不及,更別說資源較少的新創公司,GDPR直接成為壓垮他們的最後一根稻草。

租借平台StreetLend便是一例。營運5年的StreetLend主要服務區域為倫敦,提供使用者將梯子、螺絲起子或電鑽等工具放上網讓其他人借用。在GDPR正式實施後,Streetlend的創辦人表示,由於無法負擔法律團隊的成本,再加上GDPR上看7.2億元新台幣的罰款,所帶來的風險高到難以承擔,只能以關閉收場。

其他案例如打造出《仙境傳說》的遊戲公司重力社也宣布封鎖歐盟玩家的IP;遊戲《超級周一格鬥之夜》因為需要重寫用戶的帳戶資料結構,在處理成本過高的情況下宣告關閉;開源即時通訊軟體Monal則因軟體開發與營運都只有一人,沒有多餘資源處理GDPR所需的更動,宣布停止對歐盟市場的服務。

儘管GDPR立意良善,但隨之而來的營運成本與無法負擔的高額罰款扼殺了許多歐盟新創企業的生存空間,也變相替付得起龐大法律團隊的企業如微軟、Google加深了護城河。更別說同時擁有雲端資料中心的他們,成為企業客戶們心中符合GDPR的首選,儼然是GDPR規則下的最大贏家。

我們尚看不出來GDPR史上最高的罰款是否矯枉過正,值得用歐盟新創公司的未來做交換,但創業家的感受將成為因GDPR死去企業的最佳墓誌銘,「GDPR的確會對新創企業造成傷害」,StreetLend創辦人在關閉的網站中這樣寫道。

這兩類企業,受GDPR重點管轄

為了避免受到GDPR懲罰,台灣企業比較關心的問題是「哪一種類型的企業會受到GDPR規範」?除了直接設點於歐盟、直接服務歐盟公民的企業之外,主要可分為以下兩類:

一、針對歐盟公民資料處理因而獲利的企業:包含提供服務收取訂閱費用或追蹤、建檔、分析使用者資料而獲利,都在GDPR的法律規範之中。除此之外,就算是接受其他企業的外包,「間接」處理到歐盟公民個資也必須符合規範。

二、歐盟公民的營收占比比例顯著:就算企業位於台灣,只要歐盟公民貢獻的營收占一定比例,就必須符合GDPR規範。

目前對於歐盟之外的企業如何落實處罰方法仍在密切討論中,就算如此,台灣業者也不該心存僥倖,只要爆發個資外洩或危害到歐盟公民個資的違法事實成立,最終處罰仍會到來。

7.2億
若嚴重違反GDPR相關規定,最高可處7.2億元新台幣作為罰款。