数位经济的发展，颠覆传统「使用者付费」的市场规则，从收发email、搜索资料、社群或部落格发文与通讯，免费的界面与系统，具有压倒性的市占率。但，没有付费，这些提供服务的业者，又从哪里得到利润呢？

数位经济从使用者付费到一切免费

久而久之，使用者才渐渐发现：免费，并非没有付出代价。因为数位经济里最大的几家提供免费服务的公司，总是趁使用者不知不觉之间，收割、买卖使用者在网路世界的数位足迹：从浏览哪些页面、搜索哪些关键字; 到PO 哪些内容、分享给哪些朋友，所有网路免费服务的后面，都有一只只蚕食鲸吞的资料巨兽。

以三大科技巨擘为例：Google，擅长以双边不对称市场，借由免费提供使用者便利的搜索服务，免费取得个人在Google 搜索历程中所留下的资料，进而运用这些资料贩卖数位广告。Amazon，基于使用者的购物历程资料、优化商品推荐与动态价格，与其说是使用者在网海中找到自己想下单的商品，不如说是Amazon 撒下海网，让使用者绝不会错过Amazon 认为「他/ 她会下单购买的商品」。Facebook，透过对使用者资料与社交网络的全面掌握，不但可以贩卖更精准的数位广告，甚至在近来的剑桥分析丑闻中，发现它也具有操纵政治选举的黑暗功能。

虽然网友也逐渐明白，表面上一切免费的数位服务，其实是因为使用者的资料早就被彻头彻尾的卖光换取而来，但签了网页上密密麻麻的使用者条款，人们也莫可奈何。

GDPR 的特色

不过，2018年5月开始，欧盟《一般个人资料保护规则》（GDPR）的法律生效，改变了数位经济的游戏规则。它具有下列几项特色：

● 个人资料的定义宽大

依GDPR 第四条规定，任何直接、间接可识别个人的资讯，都属于个人资料。包括个人的姓名、身份字号、所在位置、以及网路上的IP 位址，从实体到虚拟空间，只要在合理范围内认定由该项资讯可识别出特定个人者，皆可谓个人资料。

●个人资料保护的跨域效力

传统法律的规范效力，习惯以地域为界，遇上可以横跨各国时空的网路，往往就无能为力。就此而言，GDPR 更展现另一项重要意义，提出一项网路规范的新原则：不再以「欧盟境内」做为法律规范的效力界限。依据GDPR 第三条的规范，资料的处理者或控制者，不论有无在欧盟境内设立办公室，只要它的服务或商品是提供给「欧盟人民」，或其所监控的个资主体行为发生在「欧盟境内」，均为规范效力所及。易言之，就算是一家从未进入欧盟境内的台湾公司，只要有一位欧盟会员国的客户、或是通过cookie 记录、监控使用者在欧盟境内的网路活动，就必须符合GDPR的高规格。

●强化个资主体对个资的掌控权

此项特色， 可谓GDPR 的核心：GDPR 从事前搜集、到事后更正删除，强化个资主体对个资处理的决定权、也加强个资处理及控制机构的法律义务。例如，从前网友对密密麻麻的使用者条款，通常是看也不看、直接勾选「同意」。但GDPR所谓的「同意」，并非使用者有勾选「同意」就算。它必须是在资料主体被充分明确的告知下，所为之具体、自由的同意。

因此，很多情况下的「同意」，并不合乎GDPR 的规定。例如，GDPR 第七条中就提到：如仅是单纯沉默、或预设选项为同意或不为表示等，都不能算是GDPR 下的「同意」。所谓具体的同意，包含各种目的下的个资处理都要取得同意，倘处理个资具有多重目的，则全部目的均应取得同意，而非含糊的一个「同意」。所谓受有充分告知的同意，如个人资料处理系基于资料主体之同意者，处理个资者除应举证证明资料主体之同意，并应确保资料主体知悉同意之事实及范围。

GDPR 尤其注重此同意是资料主体未受强迫、「自由给予」的同意。因此，若资料主体并非出于真意、或无从自由选择；无法于不损及其权益之情况下得随时撤销其同意；更重要的是，若另一方以将契约之履行与否、服务之提供与否，系于使用者超出契约履行目的的「同意」与否，这样就会被推定为「不自由的同意」了。最后，「撤回同意」和「给予同意」的程序，应该一样容易（而非更加复杂），这些资料处理或控制者，需进行隐私评估，同时于个资外泄时有通知义务; 其所搜集、利用、保存之个资需合乎法定目的、且不应超过所需要之范围，于前述目的消失或资料已过时之情况，个资主体可要求修正或删除。

●加重企业相关责任

GDPR 第八十三条规定，资料数理或控制机构，未采取合理的措施避免或降低个资受损害时，最高可处以1千万欧元或全球营业额的2%（视何者较高）； 同时，若违反GDPR 规定的个资搜集、利用和保存规范，最高可处于2 千万欧元或全球营业额的4%（视何者为高）。以上所提的数额，仅仅是对该企业的惩罚，对于个资受侵害的使用者而言，仍可另行提起法律诉讼要求损害赔偿。

GDPR 对台商的冲击分析

总的来说，GDPR 对个资保护的规范严格，势将提高企业搜集或处理数位资料的成本，在「资料即原油」的时代，规模较小的公司或新创公司，将因法遵成本大增，受到更大的生存考验。事实说明：直至今年8 月，美国研究人员仍然指出，至今仍然有超过1 千个新闻网站因为无力符合GDPR 的高标，只好封锁欧盟用户造访网站。与此同时，依据哈佛大学尼曼基金会（Nieman Foundation）的尼曼新闻学实验室8 月的公开资料，美国前一百大新闻网站中，目前仍有三分之一苦于无法达到GDPR 的标准，只好封锁欧盟读者。

此外，在区域发展上，值得注意的是，中国大陆也在GDPR 生效前，在2018 年5 月1 日正式实施《信息安全技术个人信息安全规范》（简称《规范》），其重点主要是针对数位经济产业中常见的同意「过量个资搜集」与「滥用个资」的行为进行规范。根据该《规范》，收集个资时，应在个资主体被充分告知的基础上，取得个资主体自愿、具体、明确的同意。其次，搜集个资的范围应合乎个资搜集的目的，以「最小化」为原则，不可过量。最后，对个资的处理、共享或转让，除要取得个资主体的同意外，尚需进行个人资料安全影响评估。

虽然在形式上，此《规范》仅为「推荐性的国家标准」，并非具有强制力的法律规范。但它提高个资保护的标准，强化对企业的监管力道，其内容的逻辑与架构与GDPR 相近，甚至连生效的时间也与GDPR 相差不到1 个月。因此该《规范》一出，即搭上GDPR 的全球风潮，广受注意，让FT 中文网亦称中国大陆为「亚洲资料保护的先驱」。

由此可见，中国大陆政府虽然广用数位监控科技，拥有大量个人资料，但同时也不断强化对企业搜集个资的监管力道，此亦为趋势。未来台商若要进入需要大量搜集、处理或利用个资的数位产业，门槛都会愈来愈高、愈来愈不容易，应审慎因应。