【撰文:翁書婷 】
2013年,前美國國家安全局外包技術員史諾登(Edward Snowden)將美國國家安全局的「稜鏡計畫」監聽專案秘密文件披露給媒體,引發全球震驚。原來美國政府從2007年起就監控民眾的郵件、社交活動、通訊內容,這個事件也點燃歐美社會開始更重視個人資料的隱私性。
今年5月25日,被冠上史上最嚴格的《一般資料保護規範》(General Data Protection Regulation,以下簡稱GDPR)正式上路,歐盟以重法展現保護歐盟居民「人權」的決心。
GDPR法規的存在目的,除了排除歐盟會員國之間的個資流通障礙外,也提供個資當事人權利與強化個資專責機關權限,但GDPR法規並非憑空而出,最初源自於1995年的《個人資料保護指令》,不過此次GDPR法規則更加重「企業責任」,並且強化「當事人權利」。
加重企業責任是什麼意思?舉例來說,若有企業或組織違反該法,最重可被處以全球營業額的4%或是2千萬歐元(約合7.2億元新台幣)的驚人罰款;若有個資洩漏事件,該企業不僅要在72小時內回報當地個資保護主管機關,大型企業還必須設有個資保護長一職專責處理相關事宜。另外GDPR不僅罰款驚人,適用範疇涵蓋也極廣。
五大類企業,首當其衝
KPMG安侯法律事務所執行顧問翁士傑指出,以下三大類型公司都在GDPR的適用範疇:首先是在歐盟有營運據點的境外公司,其次是沒有據點但有提供產品或服務給歐盟境內居民的企業,第三是提供服務給歐盟會員國公民的業者。
「B2C(企業對消費者)型態的業者,因為直接接觸第一線消費者,影響最深;而地域性強、只在台灣或是亞洲地區服務的傳統產業業者,則影響較小,」達文西個資暨高科技法律事務所所長葉奇鑫分析。
台灣的航空、金融、科技、電信與旅遊業等五大類業者因為符合上述的三大類型特徵,營運首當其衝,這些業者也都積極迎戰GDPR。那麼強化當事人權利的意思為何?翁士傑指出,在GDPR眾多權利中,有三種權利最為特別:一、被遺忘權(Right to be forgotten),二、資料可攜權(Right to data portability),三、個資自動化決策(Automated decision-making)反對權(Right to object)。
個人面——我的資料,我做主
人權與隱私權之間的關係是什麼?民眾常對新聞中的個資外洩議題冷感,關注程度遠不及銀行ATM被駭客盜領事件;而在科技圈被熱烈討論的「臉書劍橋分析(Cambridge Analytica)事件」,出了科技圈,一般民眾所知甚少,更遑論知曉因為該事件讓臉書8,700萬筆個資遭盜用分析,竟然左右了美國2016年的總統大選結果。
社會雖對個資外洩冷感,但隨著科技發展,民眾仍逐漸感受到監控無所不在。在人臉辨識技術興起的年代,隱私監控已經突破線上的網路IP與Cookie追蹤,延伸到線下。筆者參加今年5月一場國際大數據論壇時,該論壇主辦單位以便利與安全為由,在大型活動現場裝置人臉辨識儀器,監控入場民眾身分與數量,人人無所遁形。
近日也有學校以提升教育品質為名,在教室裝設人臉辨識系統,管理學生遲到早退,而這樣的產品未來是否也會走進辦公場景,監控員工上班是否足夠認真?在對岸的中國甚至出現一個悖論:「在大數據時代,若想要便利又安全,就必須要讓渡隱私,這是沒辦法的事。」
的確,監控系統讓生活更便利安全了,但仍必須思考這是人類想要的生活嗎?不交出資料,生活就會不安全、不便利?有必要退讓隱私權界線嗎?難道不該追求一個在數據時代,生活安全便利又能保有隱私的世界?若沒有GDPR或個資法等規範出現,久而久之,消費者可能就被科技公司給「馴化」,被規訓成科技巨頭想要的樣子。
在此之前,已經有很多隱私權鬥士捍衛隱私權利,從史諾登到劍橋分析共同創辦人懷利(Christopher Wylie),GDPR法規下的新時代也可看成一種隱私權啟蒙的開端,喚醒大眾重視對於自身數據帶來的人權議題。
GDPR保障消費者擁有拒絕權、更正權、資料可攜權與被遺忘權。「數據就是石油」的說法已經耳熟能詳,但GDPR法規對於數據的重視,不僅僅如石油而已,更近乎於資本主義運作下的金錢,當我們直接用金錢理解數據的重要性,就更容易理解這個法規背後的意義。
若把數據看成白花花的鈔票,我們將更有警覺性,積極自主的希望擁有更多自主權,不再漠視廠商所有不透明的黑箱行為。
