◎賴文智、王文君
資料治理(Data Governance)是對資料資產管理行使權力和控制的活動集合(規劃、監控和執行)。資料治理職能指導其他資料管理職能如何執行。在此定義下,企業資料治理是指組織在其經營過程中對資料的管理與控制,以確保資料的品質、可用性、安全性及法規遵循。企業資料治理的目的是使企業能有效地管理其資料資源,增強決策過程,提升業務運營效率,而由法律端來觀察,則資料由前端蒐集到後端利用或分享,如何在為企業服務,又能避免資料違法蒐集、處理、利用,以及如何避免之誤用、誤判、洩漏或其他法規遵循風險。
「資料是21世紀的石油」,但資料與石油在本質上卻有相當大的不同。首先,石油是有限天然資源,必然是愈開採愈少;資料則在技術上愈來愈容易取得、生成與保存,且量只會愈來愈大。其次,石油是一次性的消耗型資源,使用完畢其價值即耗盡;資料則可重複利用,甚至同時提供多人利用。三者,石油因其稀缺或開採困難而有價,但資料則是需要聚積愈多的量,結合不同領域的資料,可能愈容易產生新的商業價值。同樣的,因為資料並不像石油一樣是天然資源,而是由人類賦予其意義,法律也順理成章作為資料權利化的根源,這也使得資料作為新時代生產要素,不但是企業的重要資產,也是相當大的風險來源。以下即由幾個資料在法律領域的特殊性,說明為何企業正在面臨前所未有的法律風險:
一、資料、資料庫到巨量資料
歷史是一種進程,「資料」在人類社會扮演的角色,隨著資料處理技術的進步,從單筆資料、多筆資料的紀錄,從紀錄中剝絲抽繭出所需的資訊,到有意義蒐集、整理、匯聚成資料庫,以結構化的方式提昇人們對這個世界的理解。當技術的進度使得所可紀錄的資料數量、頻率、單位、種類等與過去完全不同量級,進入人類目前難以真正掌握的巨量資料(Big Data)年代,過去人們眼中不具蒐集意義或價值的資料,透過各種大量累積搭配資料探勘、人工智慧、高速運算等,可以挖掘出人類所未能充分掌握其脈絡的有價資訊,勢必將成為「資料經濟」重要的資源。
舉一個日前在社群平台上廣泛流傳、源於中國電商從業人員的發文為例,「在我們電商行業,找女朋友有一條不為人知的鐵律。不能找淘寶好評率低於98%,滴滴低於4.8,搜索核心詞連衣裙,客單低於128的…以上三條同時滿足的人,難伺候。」這段發言引起許多迴響,姑不論其背後隱含僵化的性別意識,但表面上看似無關的資訊,最後可能被當作人工智慧或工人智慧決策的重要判斷因素,與過去資料庫比對的爭議性質已有不同。巨量資料與AI的發展,過往可能認知上彼此不相關的資訊,可能因資料的範圍「廣」、數量「大」到一定程度,而產生所有人沒有預期到的有意義的資訊。從Data到Database再到Big Data,並不只是量的差異,而可能已產生出質的變化。
這樣的變化固然產生新的商業可能性,但也產生難以預期的風險,各國政府也同樣在因應因此所帶來的各項議題,而透過強化企業的法律責任來取得民眾的信任,正是最便捷的方式。法律的議題也同樣面臨相似的變化,無論是政府立法或企業因應巨量資料,都無法以傳統的資料或資料庫的觀念看待,否則,即難以因應巨量資料所可能帶來的巨大風險與機會。
二、國際化與在地化
1.國際化
資料作為一種無實體的東西,與著作、商標、專利、營業秘密等智慧財產權類似,在法律的制度設計時,同時具有國際化與在地化的特殊性。這由歐盟一般資料保護規則(GDPR)的制定對其他國家及大型企業的影響可見一般。過去智慧財產權相關法制的國際化,源於智慧財產權保護普遍為各國所接受,是來自於國際條約的努力,像是保護產業財產權的巴黎公約、保護著作權的伯恩公約等。各國因為舉辦世界博覽會的跨國交流需求,或是跨境貿易的交易需求,透過百餘年來的努力,由已開發國家擴散至幾乎全世界所有國家。筆者認為資料的相關法制,同樣也會隨著資料經濟時代的來臨,在資料具有跨國流通需求的情形下,因為各國法制彼此競爭的關係,而逐步趨於一致。
2018年5月31日GDPR甫施行,日本個人情報保護委員會與歐盟執委會對於取得之個人資料跨境傳輸相互承認達成實質合意,2019年1月日本取得適足性認定。韓國在2020年1月通過參考GDPR修正的個人資料保護法,並於2021年3月30日通過歐盟適足性認定。2018年美國加州在GDPR施行的壓力下通過「加州消費者隱私法」(California Consumer Privacy Act 2018, CCPA)(2020年1月1日施行),因為Google、Apple、Facebook等網路巨頭都位於加州,CCPA成為美國對於消費者個人資料保護的標竿。2020年11月3日加州於其大選中以公投方式批准通過第24號提案(Proposition 24)加州於其大選中以公投方式批准通過第24號提案(Proposition 24),頒布California Privacy Rights Act(加州隱私權法),設置「加州隱私保護局」(California Privacy Protection Agency)具有CPRA之調查、執行和法規制定權,並於2023年1月1日起實施。中國的個人信息保護法則於2021年8月20日通過全國人大常務委員會。各國紛紛新制定或修正個人資料相關法制,並將保護標準逐步拉高,雖然並不是透過國際性的條約達成此一目標,但在網網相連的網路世界,實際國家彼此面臨法制競爭的壓力下,個人資料的保護標準將漸趨一致。
此外,以GDPR實施的經驗,許多跨國企業因為必須遵守GDPR,對於原先並不需要遵守GDPR的供應商或合作夥伴,也會透過契約要求供應商或合作夥伴「自願地」遵守GDPR的規範,若未遵守GDPR將涉及違約的責任。就如同其他企業社會責任、防貪腐或反洗錢的規範,基於國際貿易或網路跨境服務,即令當地國並沒有相關的規範,仍會透過契約延伸相關法制的影響力,這也是資料相關法制可能具有國際化效應的原因,企業進行資料治理時,應考慮的因素不僅是當地國法律,也還要考慮來自合作夥伴的契約規範。
2.在地化
智慧財產權與資料相關法制在國際化的同時,也同樣具有在地化的特殊性。智慧財產權主要是因為像商標權、專利權等權利的賦予,並非如有體物由「自然權利」的角度,無論在哪一個國家,通常都是由生產或製造者「自然」享有其所有權。舉例來說,舊石器時代的人類先祖拾起一塊燧石,經過一陣敲打之後綁上木棍成為一把武器,沒有法律這個武器還是會有歸屬,只是可能無法受到法律的保護,要透過自身的強壯及時時的占有,避免被他人奪去。然而,無體財產,無論是智慧財產權或資料相關權利則非如此,是透過人類賦予其意義,而其權利則通常來自於人類的政治組織透過一定的程序形成,這就是國家高權行為的展現,即一般所認知的「國家主權」的一環。通常各國不會輕易放棄,針對無形資產領域因為需要各國法制予以承認及制定相關的保護機制,就會具有強烈在地化的特性。
因此,如果涉及無形資產「權利化」的領域,像是著作權、商標權、專利權或個人資料權利,在法制上必須逐一向各國申請並依當地國法律取得權利(基本上是沒有世界專利或世界商標的概念),或像著作或個人資料遭侵害,須依當地國法律主張權利。此外,各國或多或少也會在法制上因應國家經濟發展或文化的特殊性,即令賦予無形資產法律上保護的權利,也可能不同國家會有所不同。
筆者認為資料相關法制的領域,除了個人資料比較特別是源於資訊隱私權,來自於「人格權」延伸的保護,目前多數因應資料經濟所制定的法律,並不是國家高權賦予特定人民權利,而是來自行政的控管。因為這些資料多來自於各國企業、人民,尤其是與人民活動相關的資料,更被認為是數位主權的重要組成,而出現資料主權(Data Sovereignty)的概念。自然也同樣會被認定是屬於國家高權的範疇,即必須遵守當地的法律。尤其是各國對於「經濟」、「市場」看法的不同,也將影響各國在「資料經濟」時代對「資料」所採取的立法模式與管制密度。在各國法制存在一定差異的情形下,就更突顯跨國企業或企業有跨國業務需求時,本身資料治理是否完善的重要性。
三、權利碎片化
資料庫相較於巨量資料(Big Data)很重要一個差異,就是資料庫通常為逐筆蒐集資料,因此,大抵上每一筆資料都會有清楚的來源,每一筆資料被調閱或使用在何處也比較能夠追蹤比對出來。對於企業而言,將資料庫對外提供服務前,必然會將資料庫的權利釐清,否則,即可能迎來權利人的訴訟。然而,在巨量資料領域因為資料蒐集主要考慮技術的可行性,過往因為蒐集資料成本過高而被過度簡化的資訊,都可能被蒐集、儲存及進行各種分析、利用。
以便利商店的顧客資訊為例,早期街邊的柑仔店依靠的是老闆(娘)過人的記憶力,媽媽忙著煮飯請你去買醬油,你站在各式各樣的醬油瓶面前,還在抱怨媽媽怎麼沒有說清楚要買哪一種時,老闆(娘)已經認出你是誰家的小孩,平常都買哪一種醬油。沒有法律會去管老闆(娘)透過身體感知所能蒐集到的個人資料,因為人的記憶有限,而且終將消亡,沒有必要用法律來控管。但現代的便利商店開始利用收銀機,快速地蒐集每一筆客戶交易的資訊,每一家便利商店可能都還會利用數位設備的按鍵,額外蒐集客戶的「樣貌」,像是男女老少、是否帶著小孩、簡易的情緒分類等,讓資料分析師能夠更精確地描繪交易的情境。原先為了監控目的裝置的攝影機,長期大量錄製的店內視訊畫面,大概除了調閱偷盜、性騷擾案件的資料作為證據等,似乎對於便利商店的經營沒什麼其他作用。但在巨量資料相關的技術與人工智慧結合後,不但是「交易」的顧客,舉凡走進便利商店的顧客,都可能被描繪、分析。需要由資料分析的人員先入為主地簡化蒐集的資料欄位嗎?或是直接以人工智慧解構錄影資料,轉化成結構化、可分析的資料即可?在人力短缺的情形下,可以預見最後必然會走向後者。
這樣無差別的資料蒐集,是過去數千年人類歷史從未出現的狀況,針對法律面也同樣如此。過往法律通常是針對值得保護的「資料」,以不同形態的方式獨立出來賦予權利。像是智慧財產權領域的著作、營業秘密,其實也是以資料的形式存在,人格權中的姓名、肖像、隱私等,也可以用資料的形式呈現,而資訊隱私權更是已經具體化為對於個人資料的保護。但在數位設備可以無差別地蒐集各種資訊的情形下,對於人類可能是沒有價格的資料或資訊,在Big Data及AI相關技術的發展下,現在已經變成有價值的資料或資訊。但可能也僅有在足夠完整、巨量的情形下才能發揮其價值。
這時候就會出現一個很難規避的問題,巨量資料的蒐集與利用很難像資料庫一樣逐一釐清來源並取得授權,主要在於過去可能沒有這樣的授權市場,或者為了巨量資料的完整性、多元性,無法捨棄部分明知可能有問題的資料。這種在巨量資料蒐集或利用的過程中,只有部分是需要取得授權的資料顯然是常態,因為大部分的資料在過去是無價值的,也未進入法律保護的範圍。但光是要把這些資料找出來可能就需要耗費非常高的時間與資源。這些或有或無、或大或小、財產權、債權或人格權等,錯落在巨量資料的不明位置,等著這些巨量資料商業價格夠高時,就會成為潛在的法律風險。這種權利碎片化的現象,除了透過立法解決之外,企業也必須採取適當的手段,如資料清洗、合理使用的規劃、去識別化等機制,降低其風險,才能真正享受「資料經濟」所帶來的好處。
四、資料的合法性是作為營運資產的基礎
資料如同營業秘密,對於企業而言,可能是影響企業營運的整體,而非單一的產品或服務,一旦資料合法性出問題,也很難立即將涉及違法的資料剝離企業的營運。以個人資料相關的法律規範為例,在法律通過之前違法蒐集來的個人資料,依法須於過渡期間屆至前刪除。像是早期部分電話行銷公司,可能資料都是由不同來源買來的,在個人資料保護法施行後,即會面臨必須重新以合法的方式取得足夠多的資料作為營運之用,否則,即可能面臨無數的個資爭訟案件。若是像歐盟GDPR對於大型公司採取按營業額一定百分比計罰的立法模式,因為違反GDPR的行為很難立即停止或改善,幾乎只能面對高額的裁罰。2025年初更傳出位於奧地利的隱私權運動組織noyb(https://noyb.eu/)對TikTok、全球速賣通(AliExpress)、Shein、Temu、微信(WeChat)和小米這6家中國網路和科技公司,在奧地利、比利時、希臘、義大利和荷蘭五國提起訴訟[1],這都不是以傳統的生產要素營運的企業所能預想的法律風險。
人稱為the Data Doc(資料博士)的Data Quality Solutions總裁Thomas C. Redman說過,「Where there is data smoke, there is business fire.(當資料冒煙時,業務必然著火。)」由此可見資料作為企業重要的營運資產,就如同古時候堆放在屋內的柴薪,沒有事先的規劃與徹底落實管理,是生活的燃料,還是火災的源頭尚未可知。若「資料經濟」是不可避免的趨勢,則「資料治理」即應為企業對股東及社會應盡之責任。
[1] https://www.cna.com.tw/news/aopl/202501170369.aspx
