歐盟史上最嚴格個資法GDPR上路:你聽過最高可罰7億的「被遺忘權」嗎?

歐盟史上最嚴格個資法GDPR上路:你聽過最高可罰7億的「被遺忘權」嗎?
photo credit: AP/達志影像
我們想讓你知道的是

5月25日開始,歐盟公民將開始享有其個人資料從網路上全面消失的的權利,又被稱為「被遺忘權」,也因GDPR是個規範,它不需要各國政府立法授權,並且直接適用。例如:

唸給你聽
powered by Cyberon

號稱史上最嚴格個資保護法的歐盟GDPR(General Data Protection Regulation, GDPR)將於明(25)日上路,為了符合法規,許多科技大廠紛紛修改隱私條款。國發會主委陳美伶表示,目前盤點對台灣影響最大的為金融業、航空業,以及電子商務業。

如果你擁有Apple、Google或Yahoo帳號或是用戶,最近登入帳號多半都會收到新版的隱私條款聲明,並進一步被要求按下同意,有些人可能會以為是因應Facebook的「劍橋分析」風暴,各家業者祭出的對策,但其實可能不只是如此。

GDPR的起源:「被遺忘權」

首宗關於「被遺忘權」的訴訟源於西班牙,一名西班牙男子於2011年向法院要求當地報章刪除一篇有關他16年前因陷入財政危機、無法繳稅而被迫拍賣物業的報導。雖然他早已還清債務,但多年後仍可以Google上搜尋相關內容,該名男子認為相關搜尋結果影響到他的名譽。

歐盟法院最終於2014年5月裁定Google敗訴,確立歐洲公民享有「被遺忘權」。判決出爐後,Google亦隨即推出新服務,容許用戶向Google提出移除涉及個人資料及私隱的超連結,但僅限於歐洲用戶。(目前已經推展到澳洲)

一年內約有近30萬人向Google要求移除資料,約有41%的資料在申請後成功移除。至今Google總計收到了至少240萬條連結的刪除要求,但企業可因「公共利益」拒絕該項要求。

什麼是「GDPR」?

歐盟為了提升個人資料保護規範,並建立歐盟境內一體適用的規則,2016年通過「一般資料保護規則」(General Data Protection Regulation, GDPR)來取代歐盟1995年個人資料保護指令(Data Protection Directive),經過了兩年的緩衝期後,將於2018年5月25日生效並全面施行。

也就是說,明天開始,歐盟公民將開始享有其個人資料從網路上全面消失的的權利,又被稱為「被遺忘權」。因為GDPR是個規範,它不需要各國政府立法授權,並且直接適用。例如:

  • 使用者必須逐條同意其資料所應用項目,不像以往勾選一個空格便代表同意所有的使用條款。
  • 除了姓名、身份證或護照等證件號碼、住址、電話號碼外,能直接或間接識別個人「敏感性」資訊的資料,若未取得當事人授權,企業不得使用或處理。(「敏感性」指的是任何得以揭露種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、基因資料或生物統計資料等因子等。)
  • 年滿16歲才能同意公司使用其資料。
  • 若是公司業務涉及敏感資料收集,公司內必須有設立全職的資料保護長(data protection officer)。
  • 若被駭,公司必須在72小時內發出警訊,若違反規定,罰款最高可處2千萬歐元(約新台幣7.2億),或是年度全球營業總額4%,兩者取其高者為罰款。(台灣現行《個人資料保護法》對違法企業,最高按次處以新台幣5萬元以上、50 萬元以下罰鍰。)

若是以臉書與劍橋分析(Cambridge Analytica)的用戶資料外洩事件為例,臉書在去年創造了逾400億美元的營收,在GDPR規範下,臉書可能得支付16億美元的罰款。

在GDPR整份文件,光是前言就有173點,內文更長達11章共99條法規,詳細規範了什麼才是合法、公平與透明的數據蒐集、處理、利用。此外,本次GDPR亦規定對第三國個資保護水平是否達到GDPR標準的適足性認定制度,取得此一認定資格的國家,即可自由與歐盟間進行個資跨境傳輸。

國發會主委陳美伶指出,4月初就邀集相關部會召開會議,同時研議成立個資保護專案辦公室,以利相關部會因應。另外,陳美伶下週將前往歐盟拜會相關單位,積極爭取適足性認定。國發會指出,目前取得歐盟適足性認定國家有12個,包括阿根廷、以色列、紐西蘭、瑞士、烏拉圭及美國(僅限於隱私盾架構)等,日本及南韓正在協商中。

微軟、蘋果和臉書如何因應?

向來強調用戶隱私的蘋果(Apple),則推出一個新的資料隱私網站,網站上用戶可以獲得蘋果所掌握資料的副本,包含App Store、iTunes Store、Apple Music使用紀錄、Apple實體商店的消費記錄,以及iCloud上的日曆、聯絡人、照片、文件等檔案,也可以藉此知道,蘋果到底擁有哪些關於自己隱私的資料。

另外,用戶也可以選擇讓自己的Apple ID失效,來禁止蘋果繼續使用自己的資料。目前,蘋果的新隱私網站現在已經在歐盟地區上線,也會在不久未來推給全世界用戶。

微軟則宣佈將權利擴大到全球所有消費者用戶,並於5月更新了隱私聲明,變更的地方包括加入GDPR要求的文字(如用戶權利及法源),並說明微軟蒐集的用戶資料種類(語音、使用的內容及上網紀錄)、用途(如用於改善產品、提供服務或功能更新,以及廣告)並舉例。

微軟也表示,所有消費者用戶都享有GDPR定義的「資料主體權利」(Data Subject Rights),包括了解微軟蒐集用戶哪些資訊、及修改、刪除與將資訊轉移到其他地方的權利。

而臉書(Facebook)為了減輕歐盟GDPR個資法可能帶來的衝擊,選擇將在5月把原本隸屬於愛爾蘭國際總部管轄的15億名用戶移出歐盟管轄區,下個月起這些用戶的服務條款將改用美國版,而非歐盟版。

臉書在全球設有兩個總部,一個是負責美國與加拿大市場的美國總部,管理2.39億名用戶,另一個則是在2008年成立於愛爾蘭的國際總部,管理3.7億名歐洲用戶以及15.2億名來自其它市場的用戶。也就是說,GDPR將只能保障3.7億名歐洲用戶,約佔臉書全球用戶數的17.4%。

另外,也有小公司索性退出歐盟市場。像是共享租借平台StreetLend.com就宣布關閉了營運5年的網站服務,該平台創辦人認為,GDPR個資法傷害了小型以及新創公司,造成網站服務產生無法確定的風險,存在被處以高額罰金的可能性,並指出GDPR反而有助於鞏固像是Facebook、Google和Twitter的市場地位。

電子郵件訂閱管理平台Unroll.me也於5月23日停止支援歐盟用戶,並將在隔天移除所有的歐盟用戶資料。Unroll.me還說明,很遺憾該公司原本是為了服務美國用戶,並未針對GDRP而設計,未來可能無法服務歐盟用戶。

GDPR跟台灣有什麼關係?

GDPR規範的重點主要是擴大了適用的範圍,除了在歐盟境內設立據點的企業外,還包括對歐盟境內人民提供產品、服務或監測歐盟境內人民網路行為的境外企業。其次,在個資跨境傳輸的部分,由於歐盟是採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個資才能進行跨境傳輸。

國發會指出,與歐盟有個資往來的金融、網購及航空運輸受影響較大。以金融業來說,國有六家銀行在歐盟設8個據點,因擁有個資最多,且涉及跨境資料傳輸問題,影響最大;金管會已請業者找顧問公司或會計、法律事務所幫忙完成法遵相關準備工作,並配合規定設置資料保護長;25日起,總行與分行簽署標準個資保護契約條款(SCC)即可。

而航空業者則有交通部協助處理。至於電商及新創業者,若跨國買賣涉及個資傳輸,也會面臨相關問題,經濟部已在盤點中;但因台灣電商規模都不是太大,或未跨到歐洲市場,影響應不大。

另外,新世代金融基金會董事長陳冲,邀請前法務部長羅瑩雪、東海大學法律系教授范姜真媺、政大法律系教授許耀明等學者專家,檢視我國參考歐盟1995年「資料保護綱領指令」修正的現行《個資法》,提出十項修法建議:

  1. 由日本情報保護委員會可知,獨立監管機關(Independent supervisory authorities)之設立,除可承擔訂定標準規範,亦有助於我國接軌國際社會,現行法甚至未設法律主管機關,亟應翻轉思考,修法設置獨立監管機關。
  2. 大數據運用對於企業及人民眾皆有利,但仍須保護個人資料,修法要在企業競爭力和社會利益中求取平衡。
  3. 特定個人識別性因有相對性,由歐盟on-line identifier(網路識別符號)及日本經驗顯示,我現行法第二條第一款的規定顯然不足,故應修法研擬認定基準。
  4. 去識別化後可否回復原狀,是值得探討的議題,應可參考日本的規定。
  5. 關於被遺忘權,應在公共利益和個人權利間尋求平衡,若契約純粹出於商業利益,應加強被遺忘權,反之公共利益為導向時可適當限縮(如性侵案件)。
  6. 現行個資法第七條對個資收集之同意,仍採推定同意,應修正同GDPR中的同意要件,出於自願、具體且明白的聲明,或清楚肯定的意思表示。另外,應增列撤回同意,並重視資訊不對等下表示同意的怪異現象。
  7. 條文中所稱”特定目的”應研擬標準,不含糊不概括,否則將喪失特定目的的立法意義。
  8. 要求未來的獨立監管機關,對於DPIA(隱私衝擊評估機制)、DPBD(隱私保護設計)及DPO(資料保護長)三項應有明確規範。
  9. 針對跨境資訊移轉,應重新檢視與國際趨勢漸行漸遠的個資法第21條立法意義(現行法律為原則不限制,例外才限制)。
  10. 現行社群媒體服務業及國際網路或App服務提供者(如line、FB等)很多,更應修法保護國內消費者個資,並配合新設之獨立監管機關,才能與國際跨境合作,落實保護,並應同時檢討privacy policy的引進與執行,以確保使用者在下載應用軟體時能獲得保障。

新聞來源:

核稿編輯:楊之瑜

或許你會想看
更多『新聞』文章 更多『國際』文章 更多『羊正鈺』文章
Loader