朱克伯格明讚歐洲新法 大數據年代GDPR如何救地球?
「你認為歐洲的做法合適嗎?」一名美國參議員問。
「我認為他們的做法合適。」Facebook行政總裁朱克伯格(Mark Zuckerberg)說。
在個人資料保障不力的嚴峻危機中,到底二人口中的歐洲私隱法有何厲害,可以挽救一切?
擅自將個人資料交給第三方,是現今不少企業會犯的毛病,香港的八達通事件亦曾經鬧得沸騰。上個月鬧出的「劍橋分析」風暴中,Facebook曾經容許應用程式和遊戲索取用戶資料,甚至是他們朋友的資料,令創辦人兼行政總裁朱克伯格不得不親赴美國國會,解釋公司的個人資料保障政策。
在周二(4月10日)的聽證會上,參議院議員格雷厄姆(Lindsey Graham)問朱克伯格是否歡迎政府規管……
朱克伯格:「如果是合適的規管,歡迎。」
格雷厄姆:「你認為歐洲的做法合適嗎?」
朱克伯格:「我認為他們的做法合適。」
朱克伯格他們提及的規管,是歐盟在2016年通過的《一般資料保護規例》。這個簡稱為GDPR的規例在今年5月25日即將生效,規管前所未有的嚴格,微軟、dropbox等科技公司已經密鑼緊鼓修訂做法,以免屆時觸犯法例。
GDPR的新法例最少有七大重點:
| 1、境外生效 | 企業在歐盟設立或目標受眾是歐盟公民,都受法例規管 |
| 2、外洩通報 | 若有資料外洩,盡可能於72小時內通知歐洲資料保護機構;若涉敏感資料,更須通知當事人 |
| 3、明確同意 | 清晰地詢問當事人,是否同意提供某些具體的個人資料;個人資料不能自動分拆給其他單位 |
| 4、被遺忘權 | 當事人即使交出個人資料,亦有權要求將它們刪除 |
| 5、反對立檔 | 當事人可以反對公司以收集得來的個人資料,為他們建立個人檔案 |
| 6、資料轉移 | 當事人可以下載所有個人資料,並轉移到另一個平台使用 |
| 7、罰則高昂 | 最高罰款額是企業全球營業額的4%或2000萬歐元,價高者為準 |
新法嚴格 外洩事件可望避免
GDPR仍有更多細節,但單看這七點,足見對企業做法會帶來重大改變。特別是只要有一點規模的企業,用戶或客戶都難免會包括歐盟公民在內,所以香港貿發局、個人資料私隱專員公署等在過去一兩年,都多次推廣和宣傳這個歐洲新法,提醒做生意的人要改變做法。
以facebook的劍橋分析事件來說,在歐洲新例下,劍橋分析應該不能夠(1)以冗長的使用協議來要求用戶同意,交出他們的個人資料;(2)間接取得他們朋友的資料;(3)用個人資料來建立個人檔案並推測他們的心理和性格;而facebook作為個人資料管理人,在事件後亦必須通知監管當局,甚至當事人。
所以在過去幾天,不少呼聲指出美國參議院其實管不了facebook,真正有用的法寶是歐盟的GDPR。
歐盟以外會淪為二等網民嗎?
Facebook營運總監桑德伯格(Sheryl Sandberg)日前接受《金融時報》訪問時,已經明言在個人資料保障方面,「歐盟走在前頭」。
固然在5月25日以後,facebook也必須按GDPR的嚴格準則來處理歐洲用戶的個人資料,但美國方面的聲音卻是:「那我們呢?」有人發公開信要求朱克伯格將GDPR的準則全球應用,《華盛頓郵報》的記者諾亞克(Rick Noack)亦以「給朱克伯格的一個重要問題:美國人會成為二等網民嗎?」為題,認為他要以同樣嚴格的準則來保障美國用戶。
在周二的聽證會上,朱克伯格則說:「不論我們是否套用完全一樣的規管,我估總會有些分別,因為我們在美國和其他國家的敏感度不一樣。」
的確,如何落實GDPR會對科技企業帶來一大問題。例如新法列明個人資料要可以轉移,那麼不但instagram要開放讓人下載自己的所有資料,facebook亦要想辦法讓他們的資料下載之餘,在技術上還可以用於其他平台或用途。
凡此種種,將會是朱克伯格等靠科技發大財的人現在必須解答的難題。