白話GDPR
※來源:數位時代

【撰文:翁書婷  】

2013 年,前美國國家安全局外包技術員史諾登(Edward Snowden)將美國國家安全局的「稜鏡計畫」監聽專案秘密文件披露給媒體,引發全球震驚。原來美國政府從 2007 年起就監控民眾的郵件、社交活動、通訊內容,這個事件也點燃歐美社會開始更重視個人資料的隱私性。

今年 5 月 25 日,被冠上史上最嚴格的《一般資料保護規範》(General Data Protection Regulation,以下簡稱 GDPR)正式上路,歐盟以重法展現保護歐盟居民「人權」的決心。

GDPR 法規的存在目的,除了排除歐盟會員國之間的個資流通障礙外,也提供個資當事人權利與強化個資專責機關權限,但 GDPR 法規並非憑空而出,最初源自於 1995 年的《個人資料保護指令》,不過此次 GDPR 法規則更加重「企業責任」,並且強化「當事人權利」。

加重企業責任是什麼意思?舉例來說,若有企業或組織違反該法,最重可被處以全球營業額的 4%或是 2 千萬歐元(約合 7.2 億元新台幣)的驚人罰款;若有個資洩漏事件,該企業不僅要在 72 小時內回報當地個資保護主管機關,大型企業還必須設有個資保護長一職專責處理相關事宜。另外 GDPR 不僅罰款驚人,適用範疇涵蓋也極廣。

五大類企業,首當其衝

KPMG 安侯法律事務所執行顧問翁士傑指出,以下三大類型公司都在 GDPR 的適用範疇:首先是在歐盟有營運據點的境外公司,其次是沒有據點但有提供產品或服務給歐盟境內居民的企業,第三是提供服務給歐盟會員國公民的業者。

「B2C(企業對消費者)型態的業者,因為直接接觸第一線消費者,影響最深;而地域性強、只在台灣或是亞洲地區服務的傳統產業業者,則影響較小,」達文西個資暨高科技法律事務所所長葉奇鑫分析。

台灣的航空、金融、科技、電信與旅遊業等五大類業者因為符合上述的三大類型特徵,營運首當其衝,這些業者也都積極迎戰 GDPR。
那麼強化當事人權利的意思為何?翁士傑指出,在 GDPR 眾多權利中,有三種權利最為特別:一、被遺忘權(Right to be forgotten),二、資料可攜權(Right to data portability),三、個資自動化決策(Automated decision-making)反對權(Right to object)。

個人面——我的資料,我做主

人權與隱私權之間的關係是什麼?民眾常對新聞中的個資外洩議題冷感,關注程度遠不及銀行 ATM 被駭客盜領事件;而在科技圈被熱烈討論的「臉書劍橋分析(Cambridge Analytica)事件」,出了科技圈,一般民眾所知甚少,更遑論知曉因為該事件讓臉書 8,700 萬筆個資遭盜用分析,竟然左右了美國 2016 年的總統大選結果。

社會雖對個資外洩冷感,但隨著科技發展,民眾仍逐漸感受到監控無所不在。在人臉辨識技術興起的年代,隱私監控已經突破線上的網路 IP 與 Cookie 追蹤,延伸到線下。筆者參加今年 5 月一場國際大數據論壇時,該論壇主辦單位以便利與安全為由,在大型活動現場裝置人臉辨識儀器,監控入場民眾身分與數量,人人無所遁形。

近日也有學校以提升教育品質為名,在教室裝設人臉辨識系統,管理學生遲到早退,而這樣的產品未來是否也會走進辦公場景,監控員工上班是否足夠認真?在對岸的中國甚至出現一個悖論:「在大數據時代,若想要便利又安全,就必須要讓渡隱私,這是沒辦法的事。」

的確,監控系統讓生活更便利安全了,但仍必須思考這是人類想要的生活嗎?不交出資料,生活就會不安全、不便利?有必要退讓隱私權界線嗎?難道不該追求一個在數據時代,生活安全便利又能保有隱私的世界?若沒有 GDPR 或個資法等規範出現,久而久之,消費者可能就被科技公司給「馴化」,被規訓成科技巨頭想要的樣子。

在此之前,已經有很多隱私權鬥士捍衛隱私權利,從史諾登到劍橋分析共同創辦人懷利(Christopher Wylie),GDPR 法規下的新時代也可看成一種隱私權啟蒙的開端,喚醒大眾重視對於自身數據帶來的人權議題。

GDPR 保障消費者擁有拒絕權、更正權、資料可攜權與被遺忘權。「數據就是石油」的說法已經耳熟能詳,但 GDPR 法規對於數據的重視,不僅僅如石油而已,更近乎於資本主義運作下的金錢,當我們直接用金錢理解數據的重要性,就更容易理解這個法規背後的意義。

若把數據看成白花花的鈔票,我們將更有警覺性,積極自主的希望擁有更多自主權,不再漠視廠商所有不透明的黑箱行為。

*尊重智慧財產權,如需轉載請聯繫《數位時代》​:

 

來源:《數位時代》 2018 年 8 月

更多精彩內容請至 《數位時代》


留言載入中...