General Data Protection Regulation (GDPR) 將取代「個人資料保護指令」(Data Protection Directive,95/46/EC)在2018年5月25日實施,倒數時間不到一年,往後若有違法者,將可能受到高額罰金的懲罰。本篇將針對這部新法做出幾項變革介紹。
GDPR中所涉及的主體
Data Subject ( 個人資料主體):個人資料擁有者
Data Controller ( 個人資料控制者):個人資料收集與處理的控制者
Data Processors ( 個人資料處理者):處理個人資料的執行者
(參考Chapter 1: General Provisions, Article 1: Subject matter and objectives)
GDPR中所定義的「個人資料 Personal Data」
指能夠識別(直接/間接)或者足以識別自然人個人資料的任何相關資訊,譬如身分證字號、定位資料,或任何涉及自然人個別的生理、心理、精神、遺傳基因、社會文化認同、政治思想、經濟地位等不同形式的資料。
Chapter 1: General Provisions, Article 4 Definition (1)‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
使用資料前必須先得到個人同意 (Consent)
關於這點我想我們都很有感,譬如臉書、Google的演算法,總是在廣告欄迅速的推播我們曾經關心過的商品或品牌。其實這些網路足跡也都屬於個人資料的一環,只是我們都不清楚在哪個環節將這些個人的數位資訊提供給臉書或Google等企業加以利用了(其實就在睜著眼點連續點擊同意的情況下)!過去也有一種聲音是,就算個資被利用又如何,這是每個享受數位時代便利性時對於個人資料必須取捨的。但在GDPR法案通過後,將個人資料的授權的控制權還給每個歐盟的居民,在法案之後企業不得再像金融商品的購買資料寫的一大堆密密麻麻,意圖使消費者忽視這些與自身權益相關的條款,最後再奉送上一句「投資一定有風險,基金投資有賺有賠,申購前應詳閱公開說明書。」,就這樣將風險轉嫁給消費者。在此之後企業必須以潛顯易懂的機制,讓網路使用者理解個人資料授權的利用範圍與方式,並且還要讓使用者能夠容易地接觸到授權機制,能夠在不受限的情況下「授權」或「解除授權」。
(參考Chapter 1: General Provisions, Article 7 Condition for consent)
歐盟擴張該法適用的管轄權 (extra-territorial applicability)
數位時代資訊的快速流通,以及世界人口遷徙、流動幾乎不受限制,為了讓適用此法的個人獲得完善的保護,因此法規所適用的管轄擴及到歐盟境外的企業。受到GDPR拘束的除了在歐盟境內有營業據點的企業,也及於歐盟境外提供商品、服務俾歐盟成員國居民的企業。也就是說,企業無論是否設點於歐盟境內,都會因為提供商品、服務俾歐盟成員國居民時,不論此項商品/服務是否需要付款,只要涉及主體的個人資料處理或監控敏感性資料,皆必須遵守此項規範。
(參考Chapter 1: General Provisions, Article 3 Territorial scope)
具體而言,權利義務的主體如下:
1. Data Subject ( 資料主體):不論是否居住於歐盟境內,只要是歐盟會員國的公民,均受保護
2. Data Controller ( 資料控制者)與 Data Processors ( 資料處理者):不論是否於歐盟禁內設立營業據點,只要提供歐盟會員國公民服務,接觸到其個人資料,即屬之。
賦予人們對於個人資料的三項新權利
「資料取得權 (Right to Access) 」
個人資料的主體有權在得知企業處理個資的目的、範圍與方式後,方決定授權與否,取得授權後企業方得以加以處理、利用之。
(參考:Chapter 3: Rights of the Data Subject, Section 2: Information and Access to Data, Article 15 Right of access by the data subject)
「被遺忘權 (Right to be Forgotten / Data Erasure) 」
規定的被遺忘權其實我們不陌生,最常見的場景就是,是否能夠要求資料上傳者或搜尋引擎等平台,將網路上關於個人的不實甚至是負面資訊刪除。也就是說,被遺忘權在歐盟確實確立。
(參考:Chapter 3: Rights of the Data Subject, Section 3: Rectification and Erasure, Article 17 “Right to erasure” / “Right to be forgotten”)
「資料可攜帶權 (Data Portability)」
筆者認為資料可攜帶權的觀點就是將「個人的數位資料」視為資產,且這項資產是個人資料主體有權要求企業將其特定個人資料在指定的企業間交互利用。
(參考:Chapter 3: Rights of the Data Subject, Section 3: Rectification and Erasure, Article 20 Right to data portability )
「隱私設計 (Privacy by Design)」概念的落實
隱私設計的概念簡而言之的說,就是將「隱私保護」在系統中設為預設值(或者說是基本配備),企業必須投入妥適的成本,應用適當的科技提供保護。
(參考:Chapter 4: Controller and Processor, Section 1: General Obligations, Article 25 Data protection by design and by default )
公司組織架構:企業內須設置「資料保護官 (Data Protection Officers )」
資料保護官當然必須具備個資保護領域技術與法規層面的專業,但並無限制一定必須是企業內部員工,企業亦可將此職務外包,而資料保護官最重要的職責當然就是檢視企業內部的個資保護是否完備,筆者相信這部法規在正式實行前,已經在勞動市場中產生職位與新機會了!
(參考Chapter 4: Controller and Processor, Section 4 Data protection officer)
一千萬歐元或年營業額 2% – 4% 的巨額罰款
違反該法各條規定的企業,可能受到的行政罰鍰從一千萬歐元,或2%-4%在全球的年營業額。
(參考:Chapter 8: Remedies, Liability, and Sanctions, Article 83 General conditions for imposing administrative fines)
對於網路生態的影響
這項法規的執行對Google、Facebook、Line、Amazon、Airbnb、Spotify等線上服務平台首當其衝,這些國際性的大平台雖然擁有龐大的資訊,但使用者幾乎涵蓋全球(當然不包含中國),當然這之中也包含歐盟會員國的公民,而這是否讓我們將受惠於GDPR與這些在世界各地的使用者,讓擁有龐大資料的網路巨頭改變整體的使用生態?
不過,就算生態因此改變,在線上對於資訊多數的我們應該還是怠於行使權力,享受著平台推播給我們的廣告,畢竟逛廣告似乎已經成為慣性娛樂了(眼睛業障重又腦波弱,常常不知不覺花很多時間沈浸在逛廣告啊…)。而即便網路的生態改變了,在法律上,台灣的個人資料法及相關的法規尚未確立擴充隱私權的範疇與內容前,資料取得權、被遺忘權與資料可攜帶權的主張與行使都是存疑的。
參考資料:
1. General Data Protection Regulation (GDPR)
2. GDPR Key Changes
