GDPR (General Data Protection Regulation,一般資料保護規範),究竟這項由歐盟提出法規為什麼會讓不少人對此關注,同時又讓許多服務內容面臨改變?
以GDPR縮寫為稱的歐盟一般資料保護規範法令,最早是在2016年4月27日通過,提供兩年緩衝期讓各類牽涉用戶個人隱私的服務內容有充裕時間做調整,並且在2018年5月25日全面執行運作,未來取代1995年同樣由歐盟提出的數據保護法。
相比數據保護法,GDPR本身是針對所有歐盟居民設計適用規範,並非屬於在地執行法令,同時也無須由各國政府另外立法授權,而是可直接套用在所有歐盟居民身上,並且伴隨以公司全球市場營收4%,或是以2000萬歐元 (以金額較高者為基準)作為罰款的嚴格違法處置,因此被稱為歐盟有史以來最嚴格隱私法令,使得許多取得用戶隱私營運的網路服務、App或遊戲內容廠商,在很早之前便開始關注此項法令。
GDPR要求歐盟居民在任何存取個人用戶隱私運作的服務內容中,必須能獲得最高個人隱私資料控制權,同時也規範嚴謹的個人隱私被忘卻權利,亦即服務內容在取用任何用戶隱私資料時,必需要能讓使用者更容易明白會有什麼樣的影響,同時除非獲得使用者同意,否則不能將用戶隱私資料永久或長時間存放在網路伺服器,一旦使用者不希望個人隱私留存在網路服務時,提供服務廠商必須提供全面清除用戶隱私的選項。
例如在蘋果稍早更新的用戶隱私政策中,除了將使歐洲地區使用者能刪除,並且下載過往曾經被蘋果服務使用資料內容如帳號與裝置資訊,甚至是同步到iCloud備份的數據,以及在Apple Music、App Store操作記錄,另外就連AppleCare與Apple Store線上購物時的紀錄也能一併被打包下載,未來也將擴及讓全球用戶能方便地從蘋果服務移除個人資訊。
一旦使用者向蘋果提出要求刪除且下載個人隱私內容,蘋果將會以1週左右工作時間進行處理,同時若使用者原先備份在iCloud檔案內容過多的話,將可透過分批下載方式逐一取回。而當使用者提出刪除個人帳號請求後,蘋果將會在兩週時間內將資料從伺服器中完全移除。
在其他情況中,則包含未在使用者同意情況下,將無法長時間保存使用者任何行為記錄、存放內容,因此對於過往利用使用者瀏覽行為推送廣告,或是提供合適內容的服務,將會明顯面臨影響。另一方面,不少藉由用戶行為數據進行深度學習的人工智慧技術,也可能因為新隱私政策規定而受影響。
對於服務內容而言 (尤其服務內容擴及全球地區的情況),將必須格外小心處理用戶隱私權,否則將面臨鉅額罰款,因此近期應該會有不少App內容、網站服務均陸續說明因應GDPR上線所作的隱私政策調整,同時也會要求使用者重新檢視個人使用情況,並且確認是否同意服務內容取用個人資訊。
而對於一般使用者而言,直接受到影響的情況可能不明顯,可能必須重新確認是否同意讓服務內容取用個人資訊,另外或許面臨部分服務因無法長時間記錄用戶隱私,變成必須重複輸入個人帳號、密碼,或是原本可以透過線上服務暫存的資訊內容,反而變成無法隨時透過網路存取,造成使用上的「困擾」。
雖然勢必造成一些使用個人數據運作的服務、技術發展受到影響,但既然歐盟已經通過此項規範,所有網路服務也必然要配合調整,而從結果來看的話,對於使用者個人隱私也有一定保障。
如果你擁有Apple、Google或Yahoo帳號或是用戶,最近登入帳號多半都會收到新版的隱私條款聲明,並進一步被要求按下同意,有些人可能會以為是因應Facebook的「劍橋分析」風暴,各家業者祭出的對策,但其實可能不只是如此。
GDPR的起源:「被遺忘權」
首宗關於「被遺忘權」的訴訟源於西班牙,一名西班牙男子於2011年向法院要求當地報章刪除一篇有關他16年前因陷入財政危機、無法繳稅而被迫拍賣物業的報導。雖然他早已還清債務,但多年後仍可以Google上搜尋相關內容,該名男子認為相關搜尋結果影響到他的名譽。
歐盟法院最終於2014年5月裁定Google敗訴,確立歐洲公民享有「被遺忘權」。判決出爐後,Google亦隨即推出新服務,容許用戶向Google提出移除涉及個人資料及私隱的超連結,但僅限於歐洲用戶。(目前已經推展到澳洲)
一年內約有近30萬人向Google要求移除資料,約有41%的資料在申請後成功移除。至今Google總計收到了至少240萬條連結的刪除要求,但企業可因「公共利益」拒絕該項要求。
什麼是「GDPR」?
歐盟為了提升個人資料保護規範,並建立歐盟境內一體適用的規則,2016年通過「一般資料保護規則」(General Data Protection Regulation, GDPR)來取代歐盟1995年個人資料保護指令(Data Protection Directive),經過了兩年的緩衝期後,將於2018年5月25日生效並全面施行。
也就是說,5/25開始,歐盟公民將開始享有其個人資料從網路上全面消失的的權利,又被稱為「被遺忘權」。因為GDPR是個規範,它不需要各國政府立法授權,並且直接適用。例如:使用者必須逐條同意其資料所應用項目,不像以往勾選一個空格便代表同意所有的使用條款。
除了姓名、身份證或護照等證件號碼、住址、電話號碼外,能直接或間接識別個人「敏感性」資訊的資料,若未取得當事人授權,企業不得使用或處理。(「敏感性」指的是任何得以揭露種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、基因資料或生物統計資料等因子等。)
年滿16歲才能同意公司使用其資料。
若是公司業務涉及敏感資料收集,公司內必須有設立全職的資料保護長(data protection officer)。
若被駭,公司必須在72小時內發出警訊,若違反規定,罰款最高可處2000萬歐元(約新台幣7.2億),或是年度全球營業總額4%,兩者取其高者為罰款。(台灣現行《個人資料保護法》對違法企業,最高按次處以新台幣5萬元以上、50 萬元以下罰鍰。)
若是以臉書與劍橋分析(Cambridge Analytica)的用戶資料外洩事件為例,臉書在去年創造了逾400億美元的營收,在GDPR規範下,臉書可能得支付16億美元的罰款。
在GDPR整份文件,光是前言就有173點,內文更長達11章共99條法規,詳細規範了什麼才是合法、公平與透明的數據蒐集、處理、利用。此外,本次GDPR亦規定對第三國個資保護水平是否達到GDPR標準的適足性認定制度,取得此一認定資格的國家,即可自由與歐盟間進行個資跨境傳輸。
微軟、蘋果和臉書如何因應?
向來強調用戶隱私的蘋果(Apple),則推出一個新的資料隱私網站,網站上用戶可以獲得蘋果所掌握資料的副本,包含App Store、iTunes Store、Apple Music使用紀錄、Apple實體商店的消費記錄,以及iCloud上的日曆、聯絡人、照片、文件等檔案,也可以藉此知道,蘋果到底擁有哪些關於自己隱私的資料。
另外,用戶也可以選擇讓自己的Apple ID失效,來禁止蘋果繼續使用自己的資料。目前,蘋果的新隱私網站現在已經在歐盟地區上線,也會在不久未來推給全世界用戶。
微軟則宣佈將權利擴大到全球所有消費者用戶,並於5月更新了隱私聲明,變更的地方包括加入GDPR要求的文字(如用戶權利及法源),並說明微軟蒐集的用戶資料種類(語音、使用的內容及上網紀錄)、用途(如用於改善產品、提供服務或功能更新,以及廣告)並舉例。
微軟也表示,所有消費者用戶都享有GDPR定義的「資料主體權利」(Data Subject Rights),包括了解微軟蒐集用戶哪些資訊、及修改、刪除與將資訊轉移到其他地方的權利。
而臉書(Facebook)為了減輕歐盟GDPR個資法可能帶來的衝擊,選擇將在5月把原本隸屬於愛爾蘭國際總部管轄的15億名用戶移出歐盟管轄區,下個月起這些用戶的服務條款將改用美國版,而非歐盟版。
臉書在全球設有兩個總部,一個是負責美國與加拿大市場的美國總部,管理2.39億名用戶,另一個則是在2008年成立於愛爾蘭的國際總部,管理3.7億名歐洲用戶以及15.2億名來自其它市場的用戶。也就是說,GDPR將只能保障3.7億名歐洲用戶,約佔臉書全球用戶數的17.4%。
另外,也有小公司索性退出歐盟市場。像是共享租借平台StreetLend.com就宣布關閉了營運5年的網站服務,該平台創辦人認為,GDPR個資法傷害了小型以及新創公司,造成網站服務產生無法確定的風險,存在被處以高額罰金的可能性,並指出GDPR反而有助於鞏固像是Facebook、Google和Twitter的市場地位。
電子郵件訂閱管理平台Unroll.me也於5月23日停止支援歐盟用戶,並將在隔天移除所有的歐盟用戶資料。Unroll.me還說明,很遺憾該公司原本是為了服務美國用戶,並未針對GDRP而設計,未來可能無法服務歐盟用戶。
留言列表