回首頁
「服務他人是你住地球應該付出的租金。」– 穆罕默德‧阿里 (拳擊手)
"Service to others is the rent you pay for your room here on earth." -- Muhammad Ali, Boxer
文章搜尋
最新消息
「療癒商機」策略佈局
劇迷必背單字包!
單字是用想的,不是背的
【一張圖搞懂 - Mobile上的13堂英文課】募資計畫正式上線!
英語島是什麼樣的雜誌?
英語島Newsletter
天天閱讀英語島,在這裡感知世界,汲取英文的養分。
訂閱電子報
閱讀前期電子報
 

個資法的兩難與趨勢

 

大數據分析(Big Data)是目前科技發展的顯學之一,誰能夠掌握數據就能夠掌握趨勢與商機,因此資料蒐集成為企業競相追逐的目標,政府機構因擁有巨量資料也在這股潮流下面臨開放資料的要求,希望讓民間企業及學術單位可以對政府資料做更多的研究與加值利用。

告知同意不代表個資保護

然而相對於資料的開放與運用,消費者對於隱私權的保護也越來越重視,尤其科技進步對個資保護增添各項挑戰與風險。例如透過演算法與運算速度的提升,即便資料去識別化,仍有可能被破解;另外數據分析與運用可能是在當事人未察覺的情況下進行,可能會有侵犯個資的風險;最後大數據分析往往無法在一開始就確定個資蒐集目的,僅藉由傳統「告知、同意」為基礎的個資保護體系恐不足以保護當事人的個資自主權,因此如何在開放資料與個資保護之間取得平衡,便成為每個國家發展數位科技的重要課題。

歐盟40年前開始研發個資保護法

以歐盟為例,早在2003年歐盟執委會(European Commission)就認知到開放政府資料的重要性,並且訂定「公共部門資料再利用的政策指令」(Directive on the re-use of public sector information, PSI Directive),希望藉由數據的分析與利用達到五大目標,包括促進經濟成長與鼓勵創新、協助解決社會重大議題如醫療與交通等、增進政府決策效能、促進人工智慧技術的發展、鼓勵民眾政治與社會參與並提升政府透明度。根據估算,歐盟PSI Directive所創造的經濟價值,將從2018年的520億元成長至2030年的1,940億歐元。

相對地,歐盟也相當重視消費者的個資保護,從最早的1980年開始,經濟合作暨發展組織(OECD)即對隱私保護與跨境資料傳輸訂定了7大原則,包括:

1. Notice (告知)
資料蒐集時應讓當事人知悉。

2. Purpose (目的)
資料蒐集應僅限於所陳述的用途,不可作為其他用途。

3. Consent (同意)
資料未經當事人同意不得公開。

4. Security (安全)
資料儲存應確保安全,並免於遭到濫用。

5. Disclosure (揭露)
資料蒐集者應讓當事人知道誰在蒐集資料。

6. Access (管道)
當事人應有管道查詢其資料,並做適切的更正。

7. Accountability (可課責性)
若資料蒐集者未遵循上述原則處理資料,當事人應有方法向其課責。

但因為OECD這7大原則並不具有強制性,歐盟為了統一各個成員國的個資保護法規以及強化法規遵循,在1995年發布「個人資料保護指令」(Data Protection Directive),之後為了因應個資跨境流通大幅成長、以及科技發展與全球化發展等新趨勢,在2016年4月14日發布「一般資料保護規則」(General Data Protection Regulation, GDPR),號稱是史上最嚴格的個資保護法,並且在2018年5月25日全面實施。

跟歐盟來往的5大GDPR原則

跟前一版本相比,新版的GDPR擴大法規的適用範圍,不只是歐盟境內的資料處理者要受到規範,即便是在歐盟境外,只要有對歐盟境內消費者提供商品或服務也受到本法的規範。

  1. 擴大個資定義
    另外對個資的定義也予以擴大,涵蓋範圍包括一般個資及特種個資。
  2. 提高罰則
    其次是罰則的提高,違法者最高可處以2,000萬歐元或全球營收的4%取其高。
  3. 強化同意權
    第三則是強化當事人的同意權,資料處理項目有多重目的者,應就全部目的取得當事人同意,且需是明確同意,資料蒐集者不能以當事人單純沉默、不為表示、或預設選項為同意,具以認為當事人同意,而且當事人決定撤回其同意時,應與給予同意一樣容易。
  4. 加重企業責任
    第四是加重企業責任,企業除了應建立個資保護機制以及影響評估、與文件紀綠之外,涉及大規模資料處理者並應指定個資保護長。
  5. 禁止跨境傳輸
    第五在資料跨境傳輸方面,採取原則禁止、例外許可,企業所在國家或地區必須取得歐盟適足性認定(Adequacy decision),並且自主採行符合規範的適當個資保護措施如標準個資保護契約條款、拘束性企業規則、內部行為守則以及取得認證等,才能從事跨境傳輸資料的行為。如果發生違規事情,企業必須在72小時通報主管機關,並在最快時間內通知消費者。

我有權利行使「遺忘權」

但對消費者而言,最重要的是對資料的權利擴大了。新增加的權利包括:

  • Restriction (拒絕權)
    即當事人應有權拒絕對於自動化決策或以任何形式評估個人特徵之建檔行為。
  • Rectification (更正權)
    當事人有權使資料控管者更正其不正確之個資,且有權補充其個資。
  • Right to be erasure / forgotten (刪除權或被遺忘權)
    個資蒐集、處理目的消失或遭違法處理,當事人得請求刪除其個資或連結,例如民眾過去曾經陷入財務危機,導致無法繳稅而被迫拍賣物業,但之後清償債務,可要求媒體或網路搜尋引擎如谷歌等,應移除過去相關報導或連結,以避免對其名譽的傷害。
  • Portability (可攜帶權)
    當事人有權要求資料控管者以通用格式與機器可讀取形式,將資料傳輸予其他資料控管者,例如醫院病患可要求醫院將其病歷轉至另一家醫院,或消費者可要求銀行將其信用資料傳輸至其他金融業者。

展望未來,開放資料的趨勢將更為明顯,面臨企業運用AI與大數據分析的優勢,消費者一方面將享受更好的產品與服務,但另一方面也可能面臨個資洩露的風險,其處於相對弱勢,因此政府機構應更嚴格執行個資保護,並教育民眾其個資權利,才能讓未來數位經濟趨勢走得更穩更遠。(2019.1.16)

 

 文/ 鄭貞茂 台灣亞太產業分析專業協進會院士

本文收錄於英語島English Island 2019年2月號
訂閱雜誌

加入Line好友