歐盟個資法(GDPR)來勢洶洶,不僅國際大廠都強化隱私保護機制,台灣的公司也不得不跟上這波浪潮,以免被GDPR的域外效力波及,特別是金融業、航運業、旅遊業等涉及跨國資料移動者,更須重視法規遵循及資訊安全。
人的記憶會有遺忘的時候,但隨著手機及網通科技不斷進化發展,輔助記憶的工具變多了,連阿婆都會滑看LINE的歷史對話紀錄,追憶似水年華。往事其實不都如煙,卻可能不堪回首,因此當事人會選擇性遺忘,才能重新整裝再出發。
然而,在現今高科技社會,即時當事人遺忘,那些陳年往事還是可能被留在臉書、LINE等社群媒體,成為公共記憶,也可能被Google在網路上給搜尋到。因此,在記憶力增強的時代,為保護個資隱私,乃有倡議被遺忘權。此外,使用者在特定服務機構(如臉書)長久累積的記憶,也要可以打包帶走,才不會被業者綁架而無法選擇移民到其他對個資保護更好的地方。
手機裡的記憶拼圖
手機裡儲存了許多個人生活記憶,有的在手機記憶體裡,有的在App的雲端。
例如Google有關於「我的活動」、「你的時間軸」等功能,而臉書則有「你的資料」項目,好處是可強化個人的記憶,有助於回憶起過往的人事時地物。此外,該功能也提供刪除的選項,用戶另可取消追蹤定位,看來可充分保障個資隱私。但是由於很多人其實不知道這些功能的存在,容易疏於防護手機的資安,而蒙受被其他有心人士看光光的風險。
現代人對手機的焦慮除了擔心手機因離身、遺失或是遭竊被別人偷看之外,還擔心換機時,能否保留原來手機的歷史檔案。很多科技文盲不懂如何匯入原來手機紀錄,而需要電信公司人員協助。例如舊手機LINE的對話紀錄可透過備份在Google雲端硬碟或iCloud,然後再進行新手機的匯入復原;也有一些換機App可直接將舊手機資料匯入新手機。
俗諺:「一沙一世界」,日常生活裡則靠一支手機就可把一個人的過去、現在、未來摸透透,拼出一個具體圖像。熱門的英國電視影集「黑鏡」(Black Mirror)就是在探討包括手機等新科技對人類的影響,一旦關閉螢幕,就像黑色的鏡子一樣,使人感到恐慌,不知道黑鏡的另一面正如何多彩多姿地播放我們的人生。這就是你我所處在的社會,憶難忘∕失憶難,個資隱私也面臨挑戰。
GDPR的個資保護
今年(2018)5月25日生效的歐盟個資法(GDPR)來勢洶洶,不僅國際大廠如臉書、Google、蘋果等都強化隱私保護機制,台灣的公司也不得不跟上這波浪潮,以免被GDPR的域外效力給掃到,因為在歐盟域外所有因為提供歐盟居民商品或服務而涉及個資控制和處理的企業也受拘束,最重可被處罰全球營業額的4%或2千萬歐元。特別是金融業、航運業、旅遊業等涉及跨國資料移動者,更需重視遵法及資安。
GDPR有許多重要的規定,諸如:企業蒐集及利用個資前取得用戶同意的方式應以清楚明確、易懂及與其他項目可區辨的形式為之;對於個資外洩事件,企業應於知悉後72小時內通報主管機關;具一定規模與條件之企業應設置「個資保護長」(Data Protection Officer),以有效履行GDPR法定義務。此外,關於當事人的個資權利保護機制,除了資訊受告知權、查詢權、更正權、拒絕權等之外,還有兩項與記憶的遺忘與尋回有關的權利:
1.被遺忘權(Right to be Forgotten):個資當事人在一定條件下有權要求資料控制者刪除其個資。
2.個資可攜權(Right to Data Portability):個資當事人有權要求資料控制者移轉其個資至其他組織機構。
我國個資法第3條也有類似的規定(當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽;二、請求製給複製本;三、請求補充或更正;四、請求停止蒐集、處理或利用;五、請求刪除)。其中第五點刪除權得以被遺忘權的理念加以解釋運用,而第二點請求製給複製本的權利,解釋上也可包含個資可攜權,亦即要求資料控制者提供個資複本,並指示其移交到其他組織機構以完成交付。
告知後行使權利
個資法與其他法律都有類似的難題,那就是法律雖制訂相關的保護機制,卻沒有充分落實,這是「上有政策,下有對策」的扭曲現象。業者會將法律規定放入契約文件,要求客戶簽署同意,因此取得免死金牌。但是在實務運作上,許多權利文句卻是淹沒在一般人難以理解的文件中而流於形式,或是客戶想要享用服務,乃閉著眼睛一指按同意。
要改善實務作法的解藥,除了像GDPR賦予當事人權利及資料控制者義務,以及確實做到告知後同意之外,還可以助推(Nudge)的做法引導客戶重視個資隱私的控制維護,也就是「告知後行使權利」:
1.在操作頁面的顯著位置提供隱私儀表板的功能(如Google「我的活動」、臉書「你的時間軸」),讓客戶可以清楚知道個資利用情形。
2.在操作頁面的顯著位置提供權利選項讓客戶可以行使查詢、更正、拒絕、刪除、匯出等權利。
上面的重點是「顯著位置」,這也是落實隱私設計(Privacy by Design)的理念,因為現行實務操作手法是有其功能存在但卻淹沒於眾多選項之中,導致當事人空有權利,卻沒有被充分告知其個資的實際利用情形,而難以具體行使。
臉書執行長祖克柏因劍橋事件而出席美國國會聽證會時,某位參議員問到:「如果客戶不付費,臉書如何延續商業模式?」祖克柏回答:「我們賣廣告」。蘋果執行長庫克在某個場合說:「如果一款網路服務是免費的,那麼你並不是客戶,而是產品」。在現今時代,我們以為自己是消費者,但實際上卻是被消費者,被消費掉我們的個資隱私,而網通科技發展最具挑戰的任務就是在創新便利與隱私保護之間取得平衡。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>