白話GDPR

【撰文：翁書婷  】

2013 年，前美國國家安全局外包技術員史諾登（Edward Snowden）將美國國家安全局的「稜鏡計畫」監聽專案秘密文件披露給媒體，引發全球震驚。原來美國政府從 2007 年起就監控民眾的郵件、社交活動、通訊內容，這個事件也點燃歐美社會開始更重視個人資料的隱私性。

今年 5 月 25 日，被冠上史上最嚴格的《一般資料保護規範》（General Data Protection Regulation，以下簡稱 GDPR）正式上路，歐盟以重法展現保護歐盟居民「人權」的決心。

GDPR 法規的存在目的，除了排除歐盟會員國之間的個資流通障礙外，也提供個資當事人權利與強化個資專責機關權限，但 GDPR 法規並非憑空而出，最初源自於 1995 年的《個人資料保護指令》，不過此次 GDPR 法規則更加重「企業責任」，並且強化「當事人權利」。

加重企業責任是什麼意思？舉例來說，若有企業或組織違反該法，最重可被處以全球營業額的 4％或是 2 千萬歐元（約合 7.2 億元新台幣）的驚人罰款；若有個資洩漏事件，該企業不僅要在 72 小時內回報當地個資保護主管機關，大型企業還必須設有個資保護長一職專責處理相關事宜。另外 GDPR 不僅罰款驚人，適用範疇涵蓋也極廣。

五大類企業，首當其衝

KPMG 安侯法律事務所執行顧問翁士傑指出，以下三大類型公司都在 GDPR 的適用範疇：首先是在歐盟有營運據點的境外公司，其次是沒有據點但有提供產品或服務給歐盟境內居民的企業，第三是提供服務給歐盟會員國公民的業者。

「B2C（企業對消費者）型態的業者，因為直接接觸第一線消費者，影響最深；而地域性強、只在台灣或是亞洲地區服務的傳統產業業者，則影響較小，」達文西個資暨高科技法律事務所所長葉奇鑫分析。

台灣的航空、金融、科技、電信與旅遊業等五大類業者因為符合上述的三大類型特徵，營運首當其衝，這些業者也都積極迎戰 GDPR。
那麼強化當事人權利的意思為何？翁士傑指出，在 GDPR 眾多權利中，有三種權利最為特別：一、被遺忘權（Right to be forgotten），二、資料可攜權（Right to data portability），三、個資自動化決策（Automated decision-making）反對權（Right to object）。

個人面——我的資料，我做主

人權與隱私權之間的關係是什麼？民眾常對新聞中的個資外洩議題冷感，關注程度遠不及銀行 ATM 被駭客盜領事件；而在科技圈被熱烈討論的「臉書劍橋分析（Cambridge Analytica）事件」，出了科技圈，一般民眾所知甚少，更遑論知曉因為該事件讓臉書 8,700 萬筆個資遭盜用分析，竟然左右了美國 2016 年的總統大選結果。

社會雖對個資外洩冷感，但隨著科技發展，民眾仍逐漸感受到監控無所不在。在人臉辨識技術興起的年代，隱私監控已經突破線上的網路 IP 與 Cookie 追蹤，延伸到線下。筆者參加今年 5 月一場國際大數據論壇時，該論壇主辦單位以便利與安全為由，在大型活動現場裝置人臉辨識儀器，監控入場民眾身分與數量，人人無所遁形。

近日也有學校以提升教育品質為名，在教室裝設人臉辨識系統，管理學生遲到早退，而這樣的產品未來是否也會走進辦公場景，監控員工上班是否足夠認真？在對岸的中國甚至出現一個悖論：「在大數據時代，若想要便利又安全，就必須要讓渡隱私，這是沒辦法的事。」

的確，監控系統讓生活更便利安全了，但仍必須思考這是人類想要的生活嗎？不交出資料，生活就會不安全、不便利？有必要退讓隱私權界線嗎？難道不該追求一個在數據時代，生活安全便利又能保有隱私的世界？若沒有 GDPR 或個資法等規範出現，久而久之，消費者可能就被科技公司給「馴化」，被規訓成科技巨頭想要的樣子。

在此之前，已經有很多隱私權鬥士捍衛隱私權利，從史諾登到劍橋分析共同創辦人懷利（Christopher Wylie），GDPR 法規下的新時代也可看成一種隱私權啟蒙的開端，喚醒大眾重視對於自身數據帶來的人權議題。

GDPR 保障消費者擁有拒絕權、更正權、資料可攜權與被遺忘權。「數據就是石油」的說法已經耳熟能詳，但 GDPR 法規對於數據的重視，不僅僅如石油而已，更近乎於資本主義運作下的金錢，當我們直接用金錢理解數據的重要性，就更容易理解這個法規背後的意義。

若把數據看成白花花的鈔票，我們將更有警覺性，積極自主的希望擁有更多自主權，不再漠視廠商所有不透明的黑箱行為。

＊尊重智慧財產權，如需轉載請聯繫《數位時代》​：

來源：《數位時代》 2018 年 8 月

更多精彩內容請至 《數位時代》