歐盟史上最嚴格個資法GDPR上路：你聽過最高可罰7億的「被遺忘權」嗎？

號稱史上最嚴格個資保護法的歐盟GDPR（General Data Protection Regulation, GDPR）將於明（25）日上路，為了符合法規，許多科技大廠紛紛修改隱私條款。國發會主委陳美伶表示，目前盤點對台灣影響最大的為金融業、航空業，以及電子商務業。

如果你擁有Apple、Google或Yahoo帳號或是用戶，最近登入帳號多半都會收到新版的隱私條款聲明，並進一步被要求按下同意，有些人可能會以為是因應Facebook的「劍橋分析」風暴，各家業者祭出的對策，但其實可能不只是如此。

• 一個「心理測驗」讓5000萬FB用戶資料外洩：7招教你保護個資

GDPR的起源：「被遺忘權」

首宗關於「被遺忘權」的訴訟源於西班牙，一名西班牙男子於2011年向法院要求當地報章刪除一篇有關他16年前因陷入財政危機、無法繳稅而被迫拍賣物業的報導。雖然他早已還清債務，但多年後仍可以Google上搜尋相關內容，該名男子認為相關搜尋結果影響到他的名譽。

歐盟法院最終於2014年5月裁定Google敗訴，確立歐洲公民享有「被遺忘權」。判決出爐後，Google亦隨即推出新服務，容許用戶向Google提出移除涉及個人資料及私隱的超連結，但僅限於歐洲用戶。（目前已經推展到澳洲）

一年內約有近30萬人向Google要求移除資料，約有41%的資料在申請後成功移除。至今Google總計收到了至少240萬條連結的刪除要求，但企業可因「公共利益」拒絕該項要求。

• 數位時代下「不想被喚起的過去」，能要求從搜尋紀錄移除嗎？
• 歐盟法院重大判決 民眾有權要求Google移除搜尋個資

什麼是「GDPR」？

歐盟為了提升個人資料保護規範，並建立歐盟境內一體適用的規則，2016年通過「一般資料保護規則」（General Data Protection Regulation, GDPR）來取代歐盟1995年個人資料保護指令（Data Protection Directive），經過了兩年的緩衝期後，將於2018年5月25日生效並全面施行。

也就是說，明天開始，歐盟公民將開始享有其個人資料從網路上全面消失的的權利，又被稱為「被遺忘權」。因為GDPR是個規範，它不需要各國政府立法授權，並且直接適用。例如：

• 使用者必須逐條同意其資料所應用項目，不像以往勾選一個空格便代表同意所有的使用條款。
• 除了姓名、身份證或護照等證件號碼、住址、電話號碼外，能直接或間接識別個人「敏感性」資訊的資料，若未取得當事人授權，企業不得使用或處理。（「敏感性」指的是任何得以揭露種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、基因資料或生物統計資料等因子等。）
• 年滿16歲才能同意公司使用其資料。
• 若是公司業務涉及敏感資料收集，公司內必須有設立全職的資料保護長（data protection officer）。
• 若被駭，公司必須在72小時內發出警訊，若違反規定，罰款最高可處2千萬歐元（約新台幣7.2億），或是年度全球營業總額4%，兩者取其高者為罰款。（台灣現行《個人資料保護法》對違法企業，最高按次處以新台幣5萬元以上、50 萬元以下罰鍰。）

若是以臉書與劍橋分析（Cambridge Analytica）的用戶資料外洩事件為例，臉書在去年創造了逾400億美元的營收，在GDPR規範下，臉書可能得支付16億美元的罰款。

在GDPR整份文件，光是前言就有173點，內文更長達11章共99條法規，詳細規範了什麼才是合法、公平與透明的數據蒐集、處理、利用。此外，本次GDPR亦規定對第三國個資保護水平是否達到GDPR標準的適足性認定制度，取得此一認定資格的國家，即可自由與歐盟間進行個資跨境傳輸。

國發會主委陳美伶指出，4月初就邀集相關部會召開會議，同時研議成立個資保護專案辦公室，以利相關部會因應。另外，陳美伶下週將前往歐盟拜會相關單位，積極爭取適足性認定。國發會指出，目前取得歐盟適足性認定國家有12個，包括阿根廷、以色列、紐西蘭、瑞士、烏拉圭及美國（僅限於隱私盾架構）等，日本及南韓正在協商中。

• 歐盟GDPR導讀（國發會）
• 歐盟GDPR翻譯資料（國發會）
• 歐盟GDPR與我國個人資料保護法之重點比較分析（國發會）

微軟、蘋果和臉書如何因應？

向來強調用戶隱私的蘋果（Apple），則推出一個新的資料隱私網站，網站上用戶可以獲得蘋果所掌握資料的副本，包含App Store、iTunes Store、Apple Music使用紀錄、Apple實體商店的消費記錄，以及iCloud上的日曆、聯絡人、照片、文件等檔案，也可以藉此知道，蘋果到底擁有哪些關於自己隱私的資料。

另外，用戶也可以選擇讓自己的Apple ID失效，來禁止蘋果繼續使用自己的資料。目前，蘋果的新隱私網站現在已經在歐盟地區上線，也會在不久未來推給全世界用戶。

微軟則宣佈將權利擴大到全球所有消費者用戶，並於5月更新了隱私聲明，變更的地方包括加入GDPR要求的文字（如用戶權利及法源），並說明微軟蒐集的用戶資料種類（語音、使用的內容及上網紀錄）、用途（如用於改善產品、提供服務或功能更新，以及廣告）並舉例。

微軟也表示，所有消費者用戶都享有GDPR定義的「資料主體權利」（Data Subject Rights），包括了解微軟蒐集用戶哪些資訊、及修改、刪除與將資訊轉移到其他地方的權利。

而臉書（Facebook）為了減輕歐盟GDPR個資法可能帶來的衝擊，選擇將在5月把原本隸屬於愛爾蘭國際總部管轄的15億名用戶移出歐盟管轄區，下個月起這些用戶的服務條款將改用美國版，而非歐盟版。

臉書在全球設有兩個總部，一個是負責美國與加拿大市場的美國總部，管理2.39億名用戶，另一個則是在2008年成立於愛爾蘭的國際總部，管理3.7億名歐洲用戶以及15.2億名來自其它市場的用戶。也就是說，GDPR將只能保障3.7億名歐洲用戶，約佔臉書全球用戶數的17.4%。

另外，也有小公司索性退出歐盟市場。像是共享租借平台StreetLend.com就宣布關閉了營運5年的網站服務，該平台創辦人認為，GDPR個資法傷害了小型以及新創公司，造成網站服務產生無法確定的風險，存在被處以高額罰金的可能性，並指出GDPR反而有助於鞏固像是Facebook、Google和Twitter的市場地位。