隱私權保障不只是人權也關乎經濟發展——歐盟個資保護規範的啟示

隱私權保障不只是人權也關乎經濟發展——歐盟個資保護規範的啟示
Photo Credit: Depositephotos

我們想讓你知道的是

隱私權保護的推動在微軟等科技巨頭紛紛表態配合後,GDPR可能將透過這些掌握巨量消費者的國際企業,跨域對世界各地產生影響或事實上拘束力。

文:馬紹恆(新南威爾斯大學法律博士生、FinTech Taiwan創始會員)

隱私權的保障不僅被歐盟視為是基本自由權利,將之明訂於歐盟人權規章第七條中,更被歐盟認為是發展數位共同市場(Digital Single Market)的重要基礎建設之一。若先不討論高尚的基本權利問題,歐盟對於隱私權保障的戮力推動,可能奠基在它是數位共同市場能夠被完全信任的基礎前提之一。

數位共同市場是歐盟極為重要的政策,據歐盟統計,如果這個共同市場成功,每年將能為歐盟帶來4億1500萬歐元的經濟規模,並且創造成千上百的就業機會。

歐盟意識到創造一個成功的市場的關鍵因素在於市場參與者對於市場的信任程度。在數位時代,如果消費者對於數位市場缺乏安全感或是對於科技本身缺乏安全感,便可能導致信任程度降低而阻礙商業與經濟發展。

對歐盟來說,建立足以被信任的的數位共同市場,隱私權保障就是治癒安全感缺乏的主要解方之一。歐盟寄望由數位隱私權指令(DIRECTIVE 2002/58/EC)與普遍性個人資料保護規則(General Data Protection Rules)來創造數位市場信任的基礎設施,這兩個法規範的重要性可見一斑。

數位隱私權指令在2002年頒布,旨在建立個人資料保護的框架性結構,規範歐盟境內的各式通訊網絡,要求不論使用何種通訊技術,都必須考量歐盟公民的基本權利,而普遍性個人資料保護規則GDPR可以說是歐盟隱私權保護在數位隱私權指令框架下的推進。

為了消弭歐盟各國法制不一致導致的遵循困難以及規範密度不足等問題,GDPR的規範具體而細緻,相當清楚的建立個人資料主體的權利,受規範客體的義務與責任,明確的執行細節與處罰…等等規則,並且在2018年5月生效後直接對所有會員國生效,不再需要各國議會同意。

對於商業發展來說,GDPR的生效或許更是事關重大,畢竟不論是提供服務或商品的業者,似乎無可避免的將會以某種形式接觸到個人資料。

歐盟為全球主要終端消費市場之一,在網路科技發達的時代,業者將很難不觸碰到歐盟市場,更何況GDPR並不在乎業者是否實質對歐盟市場提供商品或服務,也不管有償或無償,總之只要被歐盟認定業者有觸碰歐盟公民個資的打算,而它又管的到的話,GDPR將毫不留情的適用。

此外,隱私權保護的推動在微軟等科技巨頭紛紛表態配合後,GDPR可能將透過這些掌握巨量消費者的國際企業,跨域對世界各地產生影響或事實上拘束力,申言之,即使不接觸歐盟消費者,業者仍然可能面對強大的遵循壓力,分別來自消費者、協力廠商、供應商甚至國家修法調整各該國的隱私權法規至歐盟水平。

鑒於GDPR的生效預期將相當大程度的對進入歐洲市場的業者造成衝擊,筆者以下簡單的介紹GDPR的一些重要亮點。

1. 處罰

GDPR建立一個統一的處罰基調,並指示各會國應規範其相關的行政或刑事處罰。而GDPR自己訂立的行政處罰上限,最高可到2000萬歐元或是企業全球營收的4%,取其高者。再來看監管架構。

2. 監管架構

歐盟對於資訊安全及個人資料的保護已行之有年,在反省過去的經驗後,歐盟決定除了各國自己的監管單位外,歐盟將自行成立一個歐盟等級的監管單位(European Data Protection Supervisor),EDPS將有一定權力監管歐盟全境的公務與非公務機關的個資活動,包括法律遵循的稽核權以及個資爭議的調查權,它甚至有權力控制受監管者的網路系統。

EDPS負責GDPR的執行,協調各歐盟成員國監管者,並與受監管者溝通,讓隱私權保障達成一致性。此外,GDPR更設計了一站式個資爭議解決的架構,賦予個資爭議發生國的監管機關負責解決爭議,而其它成員國的監管機關協力解決,EDPS則協調以及給予其它的協助。GDPR亦鼓勵監管的科技化,以提升監管效率。

3.受監管者的義務與責任

(1)保障個人對自我的自治權

GDPR極為強調資料主體的個人資料自治權。意即,除特別規定外,個人得出於其自由意願,同意、拒絕、調動、轉移或刪除其個人資料,並僅得在其同意的合法目的內被使用,受監管者必須再合理時間內以合理方式回應該個人的請求。

個人的自由意願必須是出於完全明示告知,並在無詐欺強暴脅迫下產生,GDPR甚至具體規定,個人資料的同意權給予不得成為契約的生效條件。另外值得注意的是,個人資料的範圍似乎被擴張,包含生物特徵、IP 位置、Email位置、Cookies 以及RFID 標籤…等等各式各樣的identifiers都屬於個人資料。而社群媒體(Social Media)上的個人活動也包含在內。

(2)個人資料保障的系統性思維

為了維護資料主體的自治權,GDPR要求既然是受監管者要使用處理個人資料的,那就由要由受監管者自行管理、維護以及保障資料的安全。

受監管者必須要在蒐集個人資料之前,設計方法,系統性的管理個資以符合GDPR的規範。如果受監管者是以資訊系統管理個資,那麼必須同時以符合現代科技的水準,同時建立資訊安全系統。

此外,受監管者負有個資安全問題的通報義務。只要有個資爭議出現,應即時通報監管者與該個人,並告知個人其合法的權利與應對措施。是故GDPR建議,隱私權保護架構應納入公司治理的範疇,應當訂出行為準則,並受到內稽內控的管理。

非常值得注意的是,GDPR引進了個資風險評估制度(assessment of impact),要求受監管者再處理個資前必須先進行風險評估,並依照風險評估的結果預先設計應對措施。

(3)個資保障專業化與遵循科技化

由於GDPR引進系統性管理的制度,它同時也考慮到操作者的專業程度,並且期待藉由專業人員的導入加強個資保護效率。因此,受監管者中的資料處理者(processor)應當具備GDPR遵循的專業知識,並且要維持專業水準,還要與監管者保持順暢溝通。

此外,GDPR同時引進了法規遵循代表的制度,讓資料處理者得以授權法規遵循代表處理法律遵循事務並協助與監管者溝通。但GDPR強調,隱私權保障的最終責任在資料控制者身上(controller),資料處理者在規範範圍內亦需負責,責任不會轉嫁到法規遵循代表身上。

針對法律遵循事務,歐盟表示由於網路科技的進步太快,傳統的個資遵循可能無法發揮功能,因此GDPR鼓勵發展科技方式以進行遵循。

(4)法律責任的最終歸屬

GDPR大幅加重了資料控制者與資料處理者的責任,並由控制者負擔最終責任。GDPR並表示,最終責任即表示責任無法轉嫁,傳統利用資料處理外包方式規避責任不會有顯著效果。

責任編輯:孫珞軒
核稿編輯:楊之瑜