無遠弗屆的網路世代與全球化發展下,跨境資訊傳輸已十分普遍,尤其在跨國企業與網路科技巨頭之間。但資訊傳輸時,要如何確保資訊是被妥善保護的?個資當事者又能執行什麼權利呢?全世界中歐盟以重視人權與隱私權保障為名,歐盟針對隱私權與跨境傳輸制定了《通用資料保護規則GDPR》,被稱作是全球最嚴格的個資法。而美國跟歐盟身為兩大經濟體,雙方之間要如何跨境傳輸呢?美國又能否通過對於隱私權嚴格把關的歐盟的考驗呢?
跨境傳輸的概念
跨境傳輸指資料流通以數位、網路的方式傳輸在國家之間,大多是商務資料的傳遞。全球化時代下,跨國公司通常在世界各地都有據點,但為了節省處理用戶資料的成本,會將伺服器集中設在單一國家,公司的用戶資料因此透過網路傳送到「境外」。
然而公司將個人資料跨境傳遞時,常會因為各地對隱私資訊的法令不同面臨阻礙,影響商務活動進行也讓人對隱私保障無法放心。在各國與歐盟的努力下,目前跨境傳輸最被遵循的法條即是接下來要介紹的GDPR─通用資料保護規則。
史上最嚴格個資法:GDPR
(一)GDPR的起源跟規範內容
在GDPR 之前重視人權的歐盟於1995年訂資料保護指令(Date Protection Directive),但因應網路時代,在2016年通過GDPR 並給予兩年緩衝期執行。
GDPR(General Data Protection Regulation)的中文是「通用資料保護規則」,類似臺灣的個資法,建立在遺忘權的概念,簡單來說即是「歐盟公民享有資料存取、刪除、更改、轉移、拒絕的權利,且企業須保護用戶個資」。個資種類非常多元,從電話、指紋、相片、電子郵件內容、問卷等,到Cookie、IP位址、ID、社群網站活動紀錄都包含其中。規定於2016年通過,在2018年5月25日在全球正式上路。
GDPR 加重「控管者」與「管理者」的責任,控管者決定資料蒐集的目的與方式,並委託管理者執行。GDPR 同時規範兩者,若管理者違反規定,控管者也需要繳交鉅額罰款,因此雙方都必須謹慎並證明合規取得對方信任。
對於個資當事者的權利包含:
1、存取權
個資當事者有權向資訊控管者要求所有被存取的個人資料。如Google 使用者可在 takeout.google.com 存取曾被google 蒐集的所有資料。
2、更改權
當事者有權要資訊控管者更正不正確的個人資訊,且有權利補充。
3、刪除權、被遺忘權
當個資蒐集的目的消失或被違法處理,當事者有權請求刪除個資。
4、拒絕權
當事者有權利拒絕被蒐集或個人行為的建檔。
5、移轉權
個人資料要移轉至第三國或國際組織時,只能移轉到有符合GDPR 規範的控管者跟處理者之間。
(二)在什麼情況下會違反GDPR?
1、保護不周
企業沒有保護好民眾個資,發生被竊取、外洩等事件即是。另外就算個資沒有被外洩,只要「個資保護不周」成立即算違反。
2、脫離約定目的、缺乏正當性
把某活動蒐集的個資用於無關的活動或機構使用。
3、未給予當事人應有權利
GDPR 的法規建立在「被遺忘權」,使用者擁有「刪除」、「更改」、「轉移」等權利。舉例來說可以要求 Google、Apple 等科技公司完全刪除資料,或把資料轉移到其他服務上。
若不慎資料外洩或違反GDPR 規範,需要72小時內通報主管機關。若企業沒有做好個資保護風險評估,沒有保護機制或是違法向第三國提供用戶資訊等,可罰2000萬歐元(台幣7億元)或全球營業額的4% 罰鍰。
(三)誰需要遵守GDPR
只要公司客戶中有歐盟公民、雇用歐盟國家的員工、與歐盟供應商合作即要遵守,且不只企業,非營利組織與政府都適用規範。因此與組織的來往人員或網站中有歐盟的用戶、分公司等商業往來,控管者與處理者即要符合GDPR。這也是為何Google、Facebook、Dropbox、Airbnb 等網站當時都發布「符合GDPR規定」的通知。
GDPR 的規定不只侷限於網路,不同產業只要握有歐盟客戶的任何資料─姓名、電話、信用卡資料等,就必須受到GDPR 的規範。歐盟的隱私人權保障首屈一指,因此GDPR 也逐漸適用於不同國家的各個產業中,成為隱私權保障的指標。
(四)GDPR v.s. 監視資本主義
監視資本主義(surveillance capitalism)是學者 Shoshana Zuboff 提出的概念,指網路業主蒐集行為數據來自所有使用者在網路上的痕跡,並以機器智慧將資料製成「預測產品」,預測使用者的當下與未來。這影響的不只是企業獲利而已,而是在未來行為市場,掌握越多數據與資訊的人將會成為新的資本主義高層,而其他的使用者(一般用戶),則會被動的被操弄(manipulate)。從社群網站介面預測並顯示使用者可能購買的商品(並以「個人化」的名頭合理化監控),到手遊《Pokemon Go》驅使玩家到特定地點,還有英國脫歐跟總統大選(Facebook嚴重醜聞─劍橋分析事件),皆可顯示監視資本主義明示暗示的預測並干涉人們的行為舉動,牽涉權力掌握與對民主的侵蝕。
(延伸閱讀資料:專訪前「劍橋分析」業務總監:只要臉書的生意繼續,民主就有危機 - 報導者 The Reporter)
Zuboff 認為監視資本主義的擴張過程類似殖民,當擴張到當全世界對資源有更成熟的理解時的這個階段,即會產生一個互相約束的機制。歐盟推出的GDPR ,正是對數位經濟監管的首要大型嘗試。雖然以數位化的滲透與用戶數據處理不透明的現況仍明顯乏力,但這是個好開始,以馴服資本主義失衡的危險。
歐盟與美國歷年的跨境傳輸協定
(一)2000~2015年 《安全港隱私準則》
2000年雙方推出《安全港隱私準則》(Safe Harbour Privacy Principles),但2011年一位奧地利人士Schrems 向愛爾蘭的資料保護局指控臉書無法保障他的隱私,2013年美國國安局也被爆料稜鏡計畫監控美國9 大科技公司的通訊。雖然上述在愛爾蘭的訴訟案皆失敗,卻讓愛爾蘭法院將準則問題轉給歐盟法院,歐盟法院判定是《安全港隱私準則》讓稜鏡監控計畫實現,因此在2015年廢除該準則。
(二)2016-2020年 《隱私盾》
美國與歐盟在2016年提出《隱私盾》,但2018年 Schrems 再度控告臉書侵犯隱私,並宣稱《隱私盾》無法保護歐盟公民的隱私權。除了Facebook,Google、亞馬遜等跨國企業,接連有隱私保護不當的醜聞,讓歐盟無法放心,認為美國法令對於公家機關存取歐洲民眾資料的保護有限,不符合歐盟要求移轉資料的第三方需要具備歐盟GDPR 同等級保護的規定,無法做到相同標準保護用戶的隱私。歐盟法院認定《隱私盾》無效,於2020年7月廢除。
值得一提的是Schrems II 案廢除《隱私盾》協議,放行另一個歐盟與任何第三方國家之間有關個資傳輸的〈標準契約條款〉(standard contractual clauses, SCC)。雖然SCC 持續保持效力,但法院加諸資料傳輸方有確保接收方能提供跟歐盟同樣隱私權保障的責任。若傳輸方發現接收方的國家失格時,要立刻停止資料傳輸。
廢除後依靠隱私盾協議、將歐盟各資傳輸的美國企業首當其衝面臨巨大影響,超過5000家公司僅靠隱私盾協議跨境傳輸,此時他們都面臨違法風險。而有些即使還有SCC契約存在,但在懷疑美國法令保護不足的背景下,還是會因為無法充分保護個資不得不停止資料傳輸。為避免GDPR 的高額罰金,使用SCC的公司必須確認:接收方(美國公司)是否有能力遵守SCC。能應急的方式以美國企業為例,兩地公司約定好,美國公司一旦收到政府調查通知要告知歐盟公司,讓身為傳輸方的歐盟公司可以採取必要行動。而長期來看,則是逐步調整自身公司隱私權的規範標準,在新的跨境傳輸協定制定之前,簽訂SCC契約,盡量符合GDPR 的規範。
(三)隱私盾 v.s. 標準契約條款 v.s. GDPR
《隱私盾》是美國跟歐盟之間跨境資料傳輸的協議,讓美國公司以自我認證的方式,成為符合歐盟資料傳輸標準的企業。〈標準契約條款〉是歐盟境內的資料傳輸方和境外的接收方簽下的契約範本,規範符合GDPR 資料傳輸與處理,被各大企業所使用(微軟、Google 皆是)。GDPR 是歐盟對歐盟公民資料的保障與約束,確保歐盟公民的個人資料只使用在跟歐盟同隱私規格的地區,只要「處理」歐盟公民相關資料的公司跟網站都必須符合GDPR 的標準。
跨大西洋資料隱私框架協議內容
美國與歐盟在今年(2022年)3月宣布簽訂新的跨境傳輸協定─《跨大西洋資料隱私框架協議》(Trans-Atlantic Data Privacy Framework),美國承諾加強保護歐盟使用者的個資。
在廢除《隱私盾》對美國個資保護不信任的背景下,為解決歐盟的擔憂,《跨大西洋資料隱私框架協議》主要解決美國法令中的兩大問題:一是美國國家安全監控活動的範圍及比例原則,二是美國情報機構不當蒐集及使用歐洲民眾個人資料的補救機制。
美國承諾監控資料蒐集的前提只發生在合法促進國家安全目標,並另外設立獨立的資料保護審查法院,當歐盟公民受到不當監控時有可裁決賠償跟執行補救措施的單位。
歐盟的下一步計畫:DSA 與 DMA
在今年(2022年)7月,歐盟議會以壓倒性票數通過《數位服務法》(Digital Services Act, DSA)與《數位市場法》(Digital Market Act, DMA),預計明後年執行,將會成為既GDPR 之後影響最大的數位法規。
DSA 管理所有線上中介服務商,可想成GDPR 對企業個人資料的蒐集與規範;DMA 則針對其中科技巨頭,期望建立公平有另的數位環境市場,可想成經濟上的反托拉斯法,禁止資訊壟斷與失衡。
目前兩部法條都還在規劃中,但已預期勢必會對數位環境市場造成不小衝擊。雖然不便,但在網路世代假消息、劍橋分析事件、廣告投放等問題層出不窮,也逐漸讓大眾反思網路對於個人行為與延伸在社會、政治、經濟、民主的影響。在網路平台掌握強大話語權的同時,也導致規範的誕生,不同產業夾雜其中適應的同時,也需要檢視自身在可能利益與隱私保障的選擇。
臺灣跟GDPR的關係
(一)臺灣大型公司與金融機構的因應措施
臺灣身為海島型國家,倚賴國際貿易,自然無法置身事外。產業來說網路零售、金融、航空運輸業最可能受到影響。網路零售包含跨境電商、連鎖商店、旅遊餐飲等服務,只要涉及歐盟顧客,掌握信用卡、住址等基本個資,都屬於規範內。
金融同樣掌握許多個人資訊,尤其資產相關帳戶與權限,以下三類業者影響最大,包含外商銀行在臺灣的子機構;在歐盟國家設有分支機構的我國銀行,臺灣以設立銀行個資長與與德境外傳輸認證因應;以及存有歐盟居民個資的我國銀行,皆都要尋求專家因應符合GDPR 標準。
(二)數位發展部
數位發展部於八月正式掛牌,未來的資訊傳遞跟跨境傳輸勢必也會成為討論跟關注的方向。數位發展部被視作數位發展的「馬達」,但跟臺灣鄰國相比,臺灣在隱私守護的供機關卻缺乏守門員,沒有足夠能量跟獨立性的專責監理機關替隱私權把關。雖然設有資通安全署,但個資外洩、未授權登入等「系統安全」問題跟個資被如何使用的「個資保護」問題,是不同面向的事情。
又如同疫情期間留下的實聯制資料,後續的保護跟刪除是否有如期執行?若企業遇到隱私問題,又能找哪個專責機關處理?與民眾日常息息相關的資料蒐集,到金融與數位的強力發展,如何在資料流通跟個資保護之間取得平衡,是臺灣民眾與監理單位需要放在心上的事。
延伸閱讀:數位發展部介紹