身在台灣,幾乎沒有任何人未受過各式各樣詐騙手法的困擾。用電話報明牌──某家即將上市、極具潛力的生技公司股票;詐騙電話──指名道姓親人被綁架的贖金勒索;或者來信要你領取某筆中獎金額,以及不明的網路社群邀約。「這些人如何取得我們的電話、通訊地址以及email?」每回我接獲這些訊息時,內心總是不由發出此問。誰都不希望自己的個資[1],在未經同意的情況下被任意分享,甚至販賣給第三方謀利。

隱私權的學習典範──GDPR

與此相較,一向極為注重個人隱私權的歐盟[2],自1995年起即實施「歐盟資料保護指令」(Directive95/46/EC),2016年又制定了更為嚴格的歐洲隱私權法律,即我們通稱的「一般資料保護規定」(General Data Protection Regulation,簡稱GDPR)[3],並於2018年5月25日正式生效[4]。

GDPR立基於六大原則:

個人資料的處理和使用過程必須透明;
將個人資料的處理限制在特定、正當的目的;
將個人資料的蒐集和儲存限制在預定目的;
個人能夠更正或刪除其個人資料;
將個人識別資料的儲存限制為僅基於預定目的且有必要時才儲存;
確保個人資料有適當的安全性加以保護。

這項法律針對的不僅是歐盟人民,更擴及為歐盟(EU)人民提供商品及服務,或者監視歐盟居民行為,蒐集並分析歐盟居民相關資料的公司、政府機構、非營利組織以及其他組織。與其他國家隱私權法律不同之處在於:「GDPR」適用的不僅是大公司,更旁及不同規模及各種產業組織。

歐盟一向為處理國際隱私權問題的學習典範,「GDPR」為保護個人隱私權以及資料的安全性,樹立一套全新的標準[5],不僅適用於每一個政府機構、非營利組織以及公私營企業,更為世界人權的發展,奠下嶄新的里程碑。

利用個資操弄政治版圖

歐盟一向為世界人權與法律的典範。全球最大搜尋引擎Google,因涉及壟斷市場,2017年6月27日遭歐洲委員會開罰24億歐元(826億新台幣)鉅額罰款[6],判決一出,舉世震驚。

自判決以後,以美國為首的跨國大企業,開始對歐盟法規小心翼翼,深恐不慎就踩到地雷。沒想到,還不滿一年,就爆發了臉書個資外洩事件。

2014年起,競選數據分析公司「劍橋分析」(Cambridge Analytica - CA)與劍橋大學美籍俄裔心理學家科甘合作,透過後者設計的心理測驗FB應用程式「thisisyourdigitallife」 ,誘使用戶進行性格及心理測驗,共有27萬用戶下載並使用此App,科甘藉此取得他們的住所及「按讚」等資訊內容,同時利用臉書系統的漏洞,在測試者不知情下,取得他們朋友的資訊,5千萬名臉書用戶的資料因此進入科甘及「劍橋分析」的資料庫。

獲得這批個資以後,「劍橋分析」及科甘再利用特意研發的程式,針對5千萬筆臉書用戶發送政治宣傳廣告,製造及散播投其所好的假新聞,使這些用戶在不知不覺間被左右投票意向。為此,川普競選陣營於2016年6月支付「劍橋分析」超過620萬美元的酬勞。

面對歐盟新法企業調整心態

2018年4月底,歐盟委員會發言人,宣布歐洲有高達270萬歐洲用戶的個人資料,可能被提供給英國「劍橋分析」做「不恰當地」使用。而根據臉書的估計,全球已有高達8,700萬用戶受影響。

在一波波批評聲浪中,臉書創辦人兼執行長馬克‧祖克柏(Mark Zuckerberg)上CNN等媒體澄清,又赴美國國會進行聽證,以說服臉書用戶與其政府,他的公司「已經意識到」身為企業應有的責任。

馬克‧祖克柏宣布將推行一系列措施,以回應歐盟即將於2018年5月25日在歐盟生效的新法──「GDPR」[7]。特別是,這個新法要求──所有企業向第三方傳送個人信息,或者希望將其個人信息用於最初使用的目的之外,都必須獲得客戶「明確同意」。

歐盟委員會更予以詳細說明:「使用這些數據的人,有責任在72小時內,迅速通知消費者可能違反保密協定。」萬一違反規定?「數據保護當局將予以懲處」歐盟委員會補充說,「懲戒可能達到該公司國際營業額的的4%。」

濫用個資導致意識形態之爭

雖然「一般資料保護規定」新法採取小心謹慎,從嚴保護個人資料的措施,但人們也必須意識到,在網路社交媒體中,沒有任何公開的個人資料,可享有百分之百真正的私密性,並且認識到,在絕大多數的生活領域,不管你有或沒有社交網路,總有人試圖向你推銷某些東西或影響你的行為。掌握個人資料,就可以透過個資,分析你的行為與思考模式,進而操弄你的思想與抉擇,對政治、種族及宗教的意識形態,消費行為以及社會行動,均會產生影響,有鑑於此嚴重性,歐盟特別擬訂「一般資料保護規定」以避免社會動盪以及因意識形態衝突所形成的各種爭端。然而,無論如何,個人想要保有某種程度的思想自由及行為自主,唯有與這個世界保持一定的距離,並且,保持頭腦清醒。

【註解】

[1] 個人資料,簡稱個資,個人資料保護法第二條定義「個人資料」:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。根據違反個資法第四十一條第一項規定:違反第二十條第一項規定,未經他人同意公佈個資,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。

[2] 歐盟的隱私權法規有多嚴厲?可從住宅區內,非全體住戶同意,不得安裝任何監視器,否則視為侵犯個人隱私,由此可見一般。

[3] 「GDPR」是歐盟的新隱私法規。這項法規讓個人更能控制自己的個人資料,確保資料目的的透明度,並且要求資料的安全性和控制以保護個人資料。

[4] GDPR於2016年4月已成為歐盟的法律,但鑑於部分組織必須進行大幅變更才能符合規定,因此訂定為期兩年的過渡期。

[5] 根據 GDPR規定,個人有權知道組織是否正在處理其個人資料,而且有權了解處理的目的。此外,個人有權刪除或更正其資料、要求不再處理資料、反對直接行銷,以及針對其資料的特定目的撤銷同意。資料可攜性的權利讓個人有權將其資料移至他處並就此取得相關協助。

GDPR要求組織必須依照敏感度保護個人資料。如果發生資料外洩的事件,資料控制者通常必須在72小時內通知適當的主管機關。此外,如果外洩情形可能會導致個人的權利和自由面臨高度風險,組織也必須通知受影響的個人,不得無故拖延。

個人資料的處理必須於法有據。任何同意處理個人資料的行為都必須是「出於自由意願、具體明確、充分知情且清楚明白」。為了保護孩童,GDPR 還有一些獨特的同意要求。

組織必須執行資料保護影響評估,以預測專案的隱私權影響,並且視需要採取緩和措施。處理活動、處理資料的同意書以及符合GDPR規範的記錄都必須妥善保存。

GDPR的落實並非一次性活動,而是持續進行的程序。不符合 GDPR 規範可能面臨鉅額罰款。為了確保符合GDPR規範,建議組織奉行隱私權文化以保護個人資料的個人利益。

[6] 歐盟指控Google在搜尋結果中,太過偏袒自家的網購服務──Google Shopping,對TripAdvisor 和Expedia 等其他比價服務造成傷害。歐盟委員會競爭事務執委馬格利特‧維斯塔哲(Margrethe Vestager)表示:「Google做為全球最受歡迎的搜尋引擎,卻『濫用市場主宰地位』,讓自家購物服務──Google Shopping享有非法的優勢。」馬格利特‧維斯塔哲並指出:「根據歐盟的『反托拉斯法規』,Google所為乃非法!它不允許其他公司利用其優點從事公平的競爭以及創新的機會。最重要的是,它不讓歐洲客戶擁有各項服務的真正選擇,以及享受創新帶來的完整利益。」

[7] GDPR的歐盟用語RGPD(Règlement général sur la protection des données personnelles)。