本文刊登於經貿透視544期,2020年6月
歐盟「一般資料保護規則」(General Data Protection Regulation, GDPR)在2018年5月25日正式施行,其適用範圍除在歐盟境內設立據點的企業外,還包括對歐盟境內人民提供產品、服務或監測歐盟境內民眾網路行為的境外企業,將歐盟立法的影響力向全球幅射,可謂開啟以個人資料保護為主軸的「數據經濟」新時代。
GDPR施行滿二週年,除了網站上不斷跳出提醒要求使用者同意隱私權政策、cookies使用的同意、要求聲明並非位於歐盟境內或不具歐盟國民身分的視窗或各類的個資同意的文件之外,對於一般民眾及企業帶來什麼影響呢?以下即分享筆者這二年來的觀察:
一、GDPR促使各國建立或調整個資保護法制
2018年5月31日,GDPR甫施行即發布日本個人情報保護委員會與歐盟執委會,對於取得之個人資料跨境傳輸相互承認達成實質合意,2019年1月取得適足性認定。韓國則在2020年1月通過參考GDPR修正的個人資料保護法,預期將於2020年7月通過適足性認定[1]。對於爭取GDPR適足性認定的台灣,也起了相當大鼓舞的作用,目前由國發會接手個人資料保護法法規的主管機關,負責與歐盟進行GDPR適足性認定的協商,並著手進行個人資料保護法修法的事宜。
2018年美國加州在GDPR施行的壓力下,通過「加州消費者隱私法」(California Consumer Privacy Act 2018, CCPA)(2020年1月1日施行),因為Google、Apple、Facebook等網路巨頭都位於加州,CCPA成為美國對於消費者個人資料保護的標竿,2019年11月更進一步提出The California Privacy Rights and Enforcement Act of 2020(加州隱私權及執行法案,亦被稱為CCPA 2.0)[2],擬設立加州隱私權保護機構(California Privacy Protection Agency)負責CCPA執行,預期將於2020年11月審議通過,真正落實CCPA消費者隱私權的保護。
GDPR在國際間的影響力不僅如此,中國於2020年5月發布新聞,說明自2018年開始討論的個人信息保護法草案稿已形成,將依預定工作排程在今年提交全國人大常委會審議[3];2019年12月印度內閣也同樣將自2018年開始立法討論的個人資料保護法案(Personal Data Protection Bill, 2019)[4]提交國會審議。各國因應歐盟強勢推動GDPR的風潮,引發民眾數位隱私權意識的覺醒,對於個人資料保護的期待及對於巨量資料及人工知智慧未來的憂慮,個人資料保護顯然將是企業未來十年內最重要的經營法遵議題。
二、個人資料保護與數據經濟的「調合」
然而,除關注GDPR提高個人資料保護強度的面向外,吾人也不能忘記GDPR的立法背景是來自於歐盟對於推動「數據經濟」的規劃,GDPR同時也隱含著歐盟推動數據經濟的想像。2020年2月歐盟執委會提出《歐盟資料策略(A European strategy for data)》[5],希望能建立一個吸引人的政策環境,創造單一的歐盟資料空間,一個真正的單一資料市場,包含世界上所有個資、非個資甚或敏感商業資訊等資料,讓企業得容易近用(access)資料進而創造價值的願景。如何達到前述願景?其最重要的手段即是確保在歐盟資料空間中歐盟法律(尤其是GDPR、消費者保護、競爭法等)能有效執行,且所有資料驅動(data driven)的商品與服務皆須遵循歐盟單一市場的相關法規。透過建構接近及使用資料公平、可操作且明確的法規,讓企業能夠清楚且信賴資料監管政策而推動資料經濟。
簡言之,如果個人資料的保護是數據經濟時代無法迴避的議題,那就讓歐盟來引領這個潮流,取得法規標準制定的主導權,讓全世界的個人資料保護的法規,向歐盟標準看齊。舉例來說,GDPR賦予民眾「資料可攜權」,這對於幾近壟斷使用者資料的網路巨頭們來說,等於是提供給市場新進業者一個以較低成本爭取使用者的機會,透過GDPR的規定降低「資料經濟」中最重要的資料接近(Access)的競爭門檻。同樣的,愈大型握有愈多個人資料的企業,在GDPR的遵循方面固然有較大資源可以投入,但在同樣嚴格個人資料保護法制下,大量、複難、難以控制流向的個資使用,亦將造成大型企業面對更嚴格的檢視與高額的罰款,像是日前Google在美國遭控Chrome無痕模式瀏覽,網站還是可能透過Google Analytics、Google Ad Manager及其他應用程式或外掛程式(包括智慧型手機應用程式)秘密蒐集用戶資料,這也突顯出大型企業在產品開發時所面臨的複雜度以及與既有產品或服務間的利益衝突。中小企業顯然擁有在個資蒐集與利用上較具彈性的靈活度。
[1] See, International: PIPC releases EU-South Korea joint committee report on adequacy decision, https://www.dataguidance.com/news/international-pipc-releases-eu-south-korea-joint-committee-report-adequacy-decision, 2020/6/1 visited.
[2] 全文可於下述網址取得:https://oag.ca.gov/system/files/initiatives/pdfs/19-0021A1%20%28Consumer%20Privacy%20-%20Version%203%29_1.pdf, 2020/6/1 visited.
[3] 請參,新華網,全国人大常委会法工委:个人信息保护法正在研究起草中,http://www.xinhuanet.com/legal/2020-05/14/c_1125986394.htm, 2020/6/1 visited.
[4]全文可於下述網址取得:https://www.prsindia.org/billtrack/personal-data-protection-bill-2019, 2020/6/1 visited.
[5] 全文可於下述網址取得:https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf, 2020/6/1 visited.
