按Enter到主內容區
:::

財團法人海峽交流基金會

:::

歐盟GDPR對台商的衝擊分析◆文/江雅綺(國立台北科技大學智財所副教授、國發會GDPR 諮詢委員)《交流雜誌107年10月號第161期(歷史資料)》

數位經濟的發展,顛覆傳統「使用者付費」的市場規則,從收發email、搜索資料、社群或部落格發文與通訊,免費的界面與系統,具有壓倒性的市占率。但,沒有付費,這些提供服務的業者,又從哪裡得到利潤呢?

數位經濟從使用者付費到一切免費

久而久之,使用者才漸漸發現:免費,並非沒有付出代價。因為數位經濟裡最大的幾家提供免費服務的公司,總是趁使用者不知不覺之間,收割、買賣使用者在網路世界的數位足跡:從瀏覽哪些頁面、搜索哪些關鍵字; 到PO 哪些內容、分享給哪些朋友,所有網路免費服務的後面,都有一隻隻蠶食鯨吞的資料巨獸。

以三大科技巨擘為例:Google,擅長以雙邊不對稱市場,藉由免費提供使用者便利的搜索服務,免費取得個人在Google 搜索歷程中所留下的資料,進而運用這些資料販賣數位廣告。Amazon,基於使用者的購物歷程資料、優化商品推薦與動態價格,與其說是使用者在網海中找到自己想下單的商品,不如說是Amazon 撒下海網,讓使用者絕不會錯過Amazon 認為「他/ 她會下單購買的商品」。Facebook,透過對使用者資料與社交網絡的全面掌握,不但可以販賣更精準的數位廣告,甚至在近來的劍橋分析醜聞中,發現它也具有操縱政治選舉的黑暗功能。

雖然網友也逐漸明白,表面上一切免費的數位服務,其實是因為使用者的資料早就被徹頭徹尾的賣光換取而來,但簽了網頁上密密麻麻的使用者條款,人們也莫可奈何。

GDPR 的特色

不過,2018年5月開始,歐盟《一般個人資料保護規則》(GDPR)的法律生效,改變了數位經濟的遊戲規則。它具有下列幾項特色:

● 個人資料的定義寬大

依GDPR 第四條規定,任何直接、間接可識別個人的資訊,都屬於個人資料。包括個人的姓名、身份字號、所在位置、以及網路上的IP 位址,從實體到虛擬空間,只要在合理範圍內認定由該項資訊可識別出特定個人者,皆可謂個人資料。

●個人資料保護的跨域效力

傳統法律的規範效力,習慣以地域為界,遇上可以橫跨各國時空的網路,往往就無能為力。就此而言,GDPR 更展現另一項重要意義,提出一項網路規範的新原則:不再以「歐盟境內」做為法律規範的效力界限。依據GDPR 第三條的規範,資料的處理者或控制者,不論有無在歐盟境內設立辦公室,只要它的服務或商品是提供給「歐盟人民」,或其所監控的個資主體行為發生在「歐盟境內」,均為規範效力所及。易言之,就算是一家從未進入歐盟境內的台灣公司,只要有一位歐盟會員國的客戶、或是通過cookie 記錄、監控使用者在歐盟境內的網路活動,就必須符合GDPR的高規格。

●強化個資主體對個資的掌控權

此項特色, 可謂GDPR 的核心:GDPR 從事前蒐集、到事後更正刪除,強化個資主體對個資處理的決定權、也加強個資處理及控制機構的法律義務。例如,從前網友對密密麻麻的使用者條款,通常是看也不看、直接勾選「同意」。但GDPR所謂的「同意」,並非使用者有勾選「同意」就算。它必須是在資料主體被充分明確的告知下,所為之具體、自由的同意。

因此,很多情況下的「同意」,並不合乎GDPR 的規定。例如,GDPR 第七條中就提到:如僅是單純沉默、或預設選項為同意或不為表示等,都不能算是GDPR 下的「同意」。所謂具體的同意,包含各種目的下的個資處理都要取得同意,倘處理個資具有多重目的,則全部目的均應取得同意,而非含糊的一個「同意」。所謂受有充分告知的同意,如個人資料處理係基於資料主體之同意者,處理個資者除應舉證證明資料主體之同意,並應確保資料主體知悉同意之事實及範圍。

GDPR 尤其注重此同意是資料主體未受強迫、「自由給予」的同意。因此,若資料主體並非出於真意、或無從自由選擇;無法於不損及其權益之情況下得隨時撤銷其同意;更重要的是,若另一方以將契約之履行與否、服務之提供與否,繫於使用者超出契約履行目的的「同意」與否,這樣就會被推定為「不自由的同意」了。最後,「撤回同意」和「給予同意」的程序,應該一樣容易(而非更加複雜),這些資料處理或控制者,需進行隱私評估,同時於個資外洩時有通知義務; 其所蒐集、利用、保存之個資需合乎法定目的、且不應超過所需要之範圍,於前述目的消失或資料已過時之情況,個資主體可要求修正或刪除。

●加重企業相關責任

GDPR 第八十三條規定,資料數理或控制機構,未採取合理的措施避免或降低個資受損害時,最高可處以1千萬歐元或全球營業額的2%(視何者較高); 同時,若違反GDPR 規定的個資蒐集、利用和保存規範,最高可處於2 千萬歐元或全球營業額的4%(視何者為高)。以上所提的數額,僅僅是對該企業的懲罰,對於個資受侵害的使用者而言,仍可另行提起法律訴訟要求損害賠償。

GDPR 對台商的衝擊分析

總的來說,GDPR 對個資保護的規範嚴格,勢將提高企業蒐集或處理數位資料的成本,在「資料即原油」的時代,規模較小的公司或新創公司,將因法遵成本大增,受到更大的生存考驗。事實說明:直至今年8 月,美國研究人員仍然指出,至今仍然有超過1 千個新聞網站因為無力符合GDPR 的高標,只好封鎖歐盟用戶造訪網站。與此同時,依據哈佛大學尼曼基金會(Nieman Foundation)的尼曼新聞學實驗室8 月的公開資料,美國前一百大新聞網站中,目前仍有三分之一苦於無法達到GDPR 的標準,只好封鎖歐盟讀者。

此外,在區域發展上,值得注意的是,中國大陸也在GDPR 生效前,在2018 年5 月1 日正式實施《信息安全技術個人信息安全規範》(簡稱《規範》),其重點主要是針對數位經濟產業中常見的同意「過量個資蒐集」與「濫用個資」的行為進行規範。根據該《規範》,收集個資時,應在個資主體被充分告知的基礎上,取得個資主體自願、具體、明確的同意。其次,蒐集個資的範圍應合乎個資蒐集的目的,以「最小化」為原則,不可過量。最後,對個資的處理、共享或轉讓,除要取得個資主體的同意外,尚需進行個人資料安全影響評估。

雖然在形式上,此《規範》僅為「推薦性的國家標準」,並非具有強制力的法律規範。但它提高個資保護的標準,強化對企業的監管力道,其內容的邏輯與架構與GDPR 相近,甚至連生效的時間也與GDPR 相差不到1 個月。因此該《規範》一出,即搭上GDPR 的全球風潮,廣受注意,讓FT 中文網亦稱中國大陸為「亞洲資料保護的先驅」。

由此可見,中國大陸政府雖然廣用數位監控科技,擁有大量個人資料,但同時也不斷強化對企業蒐集個資的監管力道,此亦為趨勢。未來台商若要進入需要大量蒐集、處理或利用個資的數位產業,門檻都會愈來愈高、愈來愈不容易,應審慎因應。

回頁首