歐盟廿年磨一劍 私隱新法GDPR展開個人資料爭奪戰
踏入5月,很多人收到社交媒體、銀行等寄來的電郵,通知他們新的使用條款。
電郵背後,推動大小企業更新條款的歐盟私隱新法GDPR,被形容為保障個人私隱的世界警察。那麼5月25日,世界會否真的從此不一樣?
隨日子臨近5月25日,即《通用資料保護規例》(GDPR)生效之日,由企業到歐洲監管機構都忙於張羅。例如有英國獵頭公司向傳媒表示,他們要重新詢問所有客戶,是否容許公司保留他們的個人資料。會計師行安永(EY)調查指出,《財富》500強企業平均要花1600萬美元,確保公司符合歐盟私隱新法例,包括增聘專責人手。
因為這道法例,英國《金融時報》形容歐盟將要成為世界警察,保衛全球民眾的個人資料。那麼它到底有何厲害之處?
由指引到條例 歐盟統管私隱
首先,值得留意的是GDPR前身是1995年的資料保護指引(directive),今次由指引升級為條例(regulation),本來已經是一項重大突破。分別在於指引的規範比較寬闊,給歐盟成員國保留更大的自主權,決定如何應用和落實私隱保障。但條例卻是在歐盟層面統一規管,GDPR在各成員國直接有執法效力。
另一方面,正如香港個人資料私隱專員黃繼兒接受《香港01》訪問時指出,GDPR可以說是1995年指引的「2.0版本」,經過20年的社會演變後,歐盟將以前舊有原則寫得詳細而清晰,適切最新的科技發展和經濟活動。
GDPR部份重點:
| 1、境外生效 | 企業在歐盟設立或目標受眾是歐盟公民,都受法例規管 |
| 2、外洩通報 | 若有資料外洩,盡可能於72小時內通知歐洲資料保護機構;若涉敏感資料,更須通知當事人 |
| 3、明確同意 | 清晰地詢問當事人,是否同意提供某些具體的個人資料;個人資料不能自動分拆給其他單位 |
| 4、被遺忘權 | 當事人即使交出個人資料,亦有權要求將它們刪除 |
| 5、反對立檔 | 當事人可以反對公司以收集得來的個人資料,為他們建立個人檔案 |
| 6、資料轉移 | 當事人可以下載所有個人資料,並轉移到另一個平台使用 |
| 7、罰則高昂 | 最高罰款額是企業全球營業額的4%或2000萬歐元,價高者為準 |
由爭奪土地到個人資料
20年過去,世界最大的轉變在於廣告模式。美國聯邦通訊委員會前主席惠勒(Tom Wheeler)在談及GDPR的時候,就曾經不留情面的直斥,當今互聯網及廣告經營之道好比21世紀封建主義。不同的是,從前的封建主義是地主圈地,令平民無立錐之處;現在商人搶佔的是個人資料。
正如facebook行政總裁朱克伯格在美國聽證會時,亦給議員點出他們的免費服務,必須倚靠賣廣告位來維持經營;而為了讓廣告效果最理想,個人資料就成為了關鍵所在,讓他們透過profiling來分析網民的特質,然後針對特定對象來登廣告。惠勒指出,商戶和廣告商近年收集的個人資料已經幾何級數增加,歐盟GDPR的大原則好比還私隱於民。
同樣稱許GDPR的,還有facebook營運總監桑德伯格(Sheryl Sandberg),她曾形容歐盟在個人資料保障方面走在世界前頭。對此,私隱專員黃繼兒向我們解釋,因為歐洲在戰後非常重視基本人權,而他們視個人私隱為其中之一;相比之下,美國則比較強調私隱與大眾利益或國家安全之間的平衡。所以比較之下,歐盟的確在私隱上做得比較多。
主戰場:何為「必要」?
理念既好,還要執行配合。歐盟成員國的監管機構,自此責任重大。例如英國資訊專員公署(ICO)指出,他們在2020年或之前會增聘三份一人手,配合執行GDPR;愛爾蘭數據保護專員則增聘四成員工,包括招攬刑事律師和調查專家,特別要深入研究到底商業機構收集的資料,是否他們提供服務的必要條件。
正如私隱關注組織IAPP指出,當前主流的廣告模式是分析網民行為,到底GDPR所指定的「必要」如何界定,相信會成為法例生效後的主要戰場。一方面,社交媒體和科技企業會說,收集個人資料是維持經營的必要做法;另一方面,他們亦可以個人化服務為由,要了解用戶特定資料。
Facebook私隱副總裁戴德曼(Stephen Deadman)就明確為收集個人資料辯護,說:「有些服務核心,用戶不能完全棄用。你買車,也不能說不要車胎。你可以選擇不同車胎,但你一定要有車胎。」由此看來,科技企業很可能「馬照跑、舞照跳」,只不過在GDPR規範下撰寫一份更清晰的收集聲明。
曾在歐盟工作的黃繼兒亦向我們指出,28個國家各有不同司法背景和文化,他認識的歐洲律師朋友明言,條例寫得再好,歐盟之內也會爭論。所以GDPR會實際如何操作,「還要一段時間觀察」。
但相信錯不了的是,在不改變商業模式的大前提下,facebook等大企業由草擬使用條款到法律訴訟都已經準備好應戰。若果借用惠勒的封建主義比喻,GDPR沒有一下子改變世界,卻給予民眾一道利劍與商業機構爭奪個人資料。成效如何,還看戰場上的雙方角力。