白話GDPR：《一般資料保護規範》三個面向完全解析

2018-08-06T06:04:35Z

白話GDPR：《一般資料保護規範》三個面向完全解析

by 翁書婷 2018.08.03

GDPR的出現，給了大部分對個資冷感的使用者，一次響亮的提醒；而法規上路對台灣的影響，以航空、金融、科技、電信與旅遊業等五大類業首當其衝，但許多業者還存著僥倖心態。

2013年，前美國國家安全局外包技術員史諾登（Edward Snowden）將美國國家安全局的「稜鏡計畫」監聽專案秘密文件披露給媒體，引發全球震驚。原來美國政府從2007年起就監控民眾的郵件、社交活動、通訊內容，這個事件也點燃歐美社會開始更重視個人資料的隱私性。

今年5月25日，被冠上史上最嚴格的《一般資料保護規範》（General Data Protection Regulation，以下簡稱GDPR）正式上路，歐盟以重法展現保護歐盟居民「人權」的決心。

GDPR法規的存在目的，除了排除歐盟會員國之間的個資流通障礙外，也提供個資當事人權利與強化個資專責機關權限，但GDPR法規並非憑空而出，最初源自於1995年的《個人資料保護指令》，不過此次GDPR法規則更加重「企業責任」，並且強化「當事人權利」。

加重企業責任是什麼意思？舉例來說，若有企業或組織違反該法，最重可被處以全球營業額的4％或是2千萬歐元（約合7.2億元新台幣）的驚人罰款；若有個資洩漏事件，該企業不僅要在72小時內回報當地個資保護主管機關，大型企業還必須設有個資保護長一職專責處理相關事宜。另外GDPR不僅罰款驚人，適用範疇涵蓋也極廣。

五大類企業，首當其衝

KPMG安侯法律事務所執行顧問翁士傑指出，以下三大類型公司都在GDPR的適用範疇：首先是在歐盟有營運據點的境外公司，其次是沒有據點但有提供產品或服務給歐盟境內居民的企業，第三是提供服務給歐盟會員國公民的業者。

「B2C（企業對消費者）型態的業者，因為直接接觸第一線消費者，影響最深；而地域性強、只在台灣或是亞洲地區服務的傳統產業業者，則影響較小，」達文西個資暨高科技法律事務所所長葉奇鑫分析。

台灣的航空、金融、科技、電信與旅遊業等五大類業者因為符合上述的三大類型特徵，營運首當其衝，這些業者也都積極迎戰GDPR。
那麼強化當事人權利的意思為何？翁士傑指出，在GDPR眾多權利中，有三種權利最為特別：一、被遺忘權（Right to be forgotten），二、資料可攜權（Right to data portability），三、個資自動化決策（Automated decision-making）反對權（Right to object）。

GDPR法規，三種權利最特別

我們先來看「被遺忘權」。歐盟對於被遺忘權的定義為：即資料當事人（Data subject) 在特定條件下，有要求資料控制者（Datacontroller）刪除其個人資料之權利，而且這裡的刪除規定相當嚴格，指的是資料當事人有權要求進行資料處理的第三方，刪除任何個人資料的連結（Links）、複本（Copy）或是再製（Replication）。舉例來說，你有要求搜尋引擎刪除與你相關資料的權利。

數位時代製作

被遺忘權並非新概念，歐洲已經有許多判決案例，其中有名的案例就屬2010年的Google西班牙案（Google Spain）。然而，並不是任何資訊都能被刪除，被遺忘權有所謂的「例外」情況。理律法律事務所合夥人曾更瑩指出，如「為了保護言論自由與資訊自由，或為了維護公共利益與執行公務等情況」的例外，這是避免被遺忘權無限上綱，阻礙了言論自由與公眾利益。

「資料可攜權」又是指什麼呢？民眾對於自己的個資擁有更大的操控權，可以在不同的服務組織之間移動自己的個資，把資料從網路服務供應商（ISP）轉移至另外一個。比如把小米手環的個資全部傳輸轉移到Apple Watch上、把Hotmail的資料轉移到Gmail，就像我們的手機號碼能「攜碼」，我們使用聯網設備產生的數據，也擁有全部轉移到其他設備的權利。

葉奇鑫分析，「此法條具有『公平交易』的精神。」在大數據時代，臉書與Google等科技巨頭握有巨量的數據，這條法條讓資料可在不同企業間流動，因此有機會打破巨型公司的數據壟斷局面，讓珍貴的數據資源可以共享。GDPR上路，讓累積數據優勢的科技巨頭也必須釋出資料，成為中小企業的機會。

至於「個資自動化決策反對權」，能有避免「演算法歧視」的深刻含義。自動化決策意指：以自動化方式處理個人資料的分析與決策活動，曾更瑩就指出，此法條主要是為了避免演算法歧視，因此不能標示性傾向、宗教與種族等因素為決策標準，也因此企業在使用機器學習等自動化決策技術時，有責任告知資料當事人，電腦演算法決策的採用評判標準或依據。

舉例來說，在金融科技發達的未來，消費者使用線上貸款分析時，企業有責任解釋與告知使用者該平台的P2P（Peer-to-Peer）借貸評分標準是怎麼算出來的，而使用者也有拒絕承認平台評分標準的權利。

「GDPR法規的施行是個很好的時間點，此時『暫停一下』，讓企業對資料當事人進到保護義務，從公平與去除偏見的角度考慮演算法發展，而非產生嚴重問題被演算法惡果反撲後，才開始重視，」微軟全球助理法務長、台灣微軟公共暨法律事務部總經理施立成指出。

不過或許你要說，這是歐盟世界的法規，和台灣人無關，這是錯誤的觀念。在某些情境下，GDPR法規不是僅針對歐盟居民，台灣民眾也適用。因此我們不妨從個人、企業、國家，微觀到巨觀角度，一次解析GDPR的含意。

個人面——我的資料，我做主

人權與隱私權之間的關係是什麼？民眾常對新聞中的個資外洩議題冷感，關注程度遠不及銀行ATM被駭客盜領事件；而在科技圈被熱烈討論的「臉書劍橋分析（Cambridge Analytica）事件」，出了科技圈，一般民眾所知甚少，更遑論知曉因為該事件讓臉書8,700萬筆個資遭盜用分析，竟然左右了美國2016年的總統大選結果。

社會雖對個資外洩冷感，但隨著科技發展，民眾仍逐漸感受到監控無所不在。在人臉辨識技術興起的年代，隱私監控已經突破線上的網路IP與Cookie追蹤，延伸到線下。筆者參加今年5月一場國際大數據論壇時，該論壇主辦單位以便利與安全為由，在大型活動現場裝置人臉辨識儀器，監控入場民眾身分與數量，人人無所遁形。

近日也有學校以提升教育品質為名，在教室裝設人臉辨識系統，管理學生遲到早退，而這樣的產品未來是否也會走進辦公場景，監控員工上班是否足夠認真？在對岸的中國甚至出現一個悖論：「在大數據時代，若想要便利又安全，就必須要讓渡隱私，這是沒辦法的事。」

的確，監控系統讓生活更便利安全了，但仍必須思考這是人類想要的生活嗎？不交出資料，生活就會不安全、不便利？有必要退讓隱私權界線嗎？難道不該追求一個在數據時代，生活安全便利又能保有隱私的世界？若沒有GDPR或個資法等規範出現，久而久之，消費者可能就被科技公司給「馴化」，被規訓成科技巨頭想要的樣子。

在此之前，已經有很多隱私權鬥士捍衛隱私權利，從史諾登到劍橋分析共同創辦人懷利（Christopher Wylie），GDPR法規下的新時代也可看成一種隱私權啟蒙的開端，喚醒大眾重視對於自身數據帶來的人權議題。

GDPR保障消費者擁有拒絕權、更正權、資料可攜權與被遺忘權。「數據就是石油」的說法已經耳熟能詳，但GDPR法規對於數據的重視，不僅僅如石油而已，更近乎於資本主義運作下的金錢，當我們直接用金錢理解數據的重要性，就更容易理解這個法規背後的意義。

若把數據看成白花花的鈔票，我們將更有警覺性，積極自主的希望擁有更多自主權，不再漠視廠商所有不透明的黑箱行為。

舉例來說，當廠商拿走消費者的數據，就和拿走錢一樣，廠商沒有經過同意（對應GDPR明確當事人同意規定），可以任意把錢從A國跨國傳輸轉到B國嗎（對映GDPR個資跨國傳輸）？資料主體人要把錢（資料）從A銀行轉到B銀行，難道不行嗎（對映GDPR資料可攜權）？

企業面——歐盟執法嚴，別存僥倖

那在企業層面呢？台灣的航空、金融、科技、電信與旅遊業等五大類業者面對GDPR首當其衝，但多數中小企業警覺心不夠，或多保持觀望與僥倖心態。

不少業者認為，GDPR主要針對Facebook、Google與微軟等美國科技巨頭，可以把這些巨人當擋箭牌，躲在後面看市場風向。更因為GDPR合規費用驚人（業內律師指出至少百萬元新台幣起跳），不少業者躊躇不前，或採取更消極的心態，認為台灣對歐盟來說「天高皇帝遠」，等真的有同業被罰了，再行動也不遲。

部分業者則評估商業活動範圍有限、風險不高，在歐盟境內沒有銀行帳戶，也沒有可被執行的資產，就算被認定違反GDPR法規，歐盟法院也很難找到人執法，因此沒在怕，加上歐盟執法單位自己都還沒有準備好，業者的觀望心態又更濃了。葉奇鑫指出，「歐盟國家的企業也沒有準備好，GDPR概念很先進但執法很困難，我認為還有3年左右的摸索期。」

另外，歐盟法院的執法難度高。以GDPR中的被遺忘權來說，歐盟資訊安全局（ENISA）曾表示，被遺忘權要徹底實行（如告知所有相關連結公司完全刪除連結與複本）難度頗高。

專業律師則認為旅遊業者最要當心，因為航空、金融、電信等業者財力雄厚，早拿出大把資金做合規程序，而多數旅遊業為中小企業，資金不充沛，未積極迎戰GDPR，「但旅遊業業者常提供產品或服務給歐盟境內居民或歐盟會員國公民，觸法風險性高，需要特別當心，」葉奇鑫強調。

翁士傑則提醒，風險高的業者千萬不要抱持僥倖心態，認為歐盟法院罰不到，「歐盟可能會公布違法業者名單，並採取歐盟企業禁止與違法企業商業往來，作為懲罰。」

美國對中國中興通訊實施商業制裁，讓中興至少虧損952億元新台幣，前車之鑑不可不防。另外，雖說GDPR主要規範個人資料而非企業資料，所以B2C業者要慎防，但也不表示B2B（企業對企業）業者可以高枕無憂。

翁士傑強調，「以台灣科技代工業者來說，雖然沒有接觸第一線的消費者，但可能在歐盟設工廠，其員工與往來的客戶等個資就屬於GDPR管轄；在未來，若產品不僅有硬體，也包含軟體服務，在產品研發的過程中，極容易觸碰終端用戶個資，因此歐盟的企業客戶也會要求代工業者需符合GDPR。」

數位時代製作

國家面——跨境傳輸，台灣談判慢於日韓

拉高到全球與國際的層級來看，GDPR其實不僅是法律議題，也關乎台、歐雙邊經貿與外交議題。舉例來說，GDPR中的「跨境傳輸」規範，就需要政府的國際談判斡旋力量。

跨境傳輸是什麼？資料在全球流通，自然牽涉到不同國境間的「傳輸」，舉例來說，某公司的總部在台灣，但在法國有分公司，法國分公司要將含有歐盟居民的數據傳回台灣公司時，就涉及跨境傳輸規範。

而GDPR對跨境傳輸有相當嚴格的規範：「原則禁止，例外允許」，白話一點，就是除非該國家或該企業已經獲得歐盟的認可或當事人明確同意，如取得歐盟適足性認定（Adequacy Decision），否則數據不能傳到其他國家。目前全球已經有12國獲得跨境傳輸的認可，那台灣有名列其中嗎？

2017年日本與韓國已經開始和歐盟進行協商討論，但台灣政府動作慢，一直到法規都已經正式執行、火燒屁股，才由國發會代表台灣飛往歐盟交涉，除了顯示出政府對數位經濟時代的法規變遷不夠熟悉外，也顯示缺乏洞燭機先的能力。

雖然歐盟早在2016年以前就已經公布該規定，當年台灣行政院也有設立數位政委職務，台灣個資法主管機關法務部也有針對相關議題開始研究，但僅止於研究階段，沒有積極和歐盟國家交涉，直到法規今年5月底已經開始執行，行政院才委由國發會和歐盟國家交涉，慢了半拍。

數位時代製作

歐洲，人權思想發源地

「GDPR是一種數據保護文化的變革，裡頭許多基本規則也有出現在《里斯本條約》（Treaty of Lisbon）中，有和憲法一樣的價值。」參與GDPR法令制定的歐盟數據保護監管局主管Giovanni Buttarelli說。

Giovanni Buttarelli相當看重GDPR的角色，提及GDPR法律定位時，也提及了普遍被視為歐盟憲法並且真有其法律效力的《里斯本條約》，可見對於此法的崇高定位。

過去西歐一直是人權思想的發源地，德國與法國都有長期的人權保護傳統，歐洲對於人權保護有《世界人權宣言》、《聯合國人權公約》與《歐洲人權公約》等國際與區域多種層次的法律保護，此次從最重視個人隱私權利的歐洲頒布GDPR法規，也帶動了全球再度重新檢視隱私權的權利，因為沒有人是隱私權中的局外人。

數位時代製作