General Data Protection Regulation Facebook 劍橋分析事件 總統大選 GDPR 臉書

臉書映出企業個資危機 現況不改必遭GDPR重罰

2018-05-15
臉書丟臉了!今(2018)年3月間媒體驚爆劍橋分析事件:臉書5千萬筆用戶個資外洩,甚至被濫用於不當影響2016年的美國總統大選。臉書執行長馬克 ‧ 祖克伯不僅接受媒體專訪表達歉意,更親自出席美國國會聽證會作證,接受議員們兩天馬拉松式的拷問。臉書除了對舊事件道歉改進外,也需因應新法規,因為今年5月25日將施行歐盟新版個資法(GDPR)。
臉書丟臉了!今(2018)年3月間媒體驚爆劍橋分析事件:臉書5千萬筆用戶個資外洩,甚至被濫用於不當影響2016年的美國總統大選。消息傳出後,臉書股價應聲下跌,許多名人紛紛公開表態刪除臉書帳號。臉書執行長馬克 ‧ 祖克伯不僅接受媒體專訪表達歉意,更於報紙刊登全版廣告鄭重道歉並表示:「我們有責任保護您們的資料。若我們無法做到,就不值得您們信任」,他甚至於4月間親自出席美國國會聽證會作證,接受議員們兩天馬拉松式的拷問,可見此一事件影響重大,執行長必須出來面對,以求儘速平息砲火與怒火。

臉書除了對舊事件道歉改進外,也需因應新法規,因為今年5月25日將施行歐盟新版個資法(GDPR)。該法是歐洲議會於2016年4月27日通過,更強化個資保護,以因應科技不斷進步及資訊過度氾濫對個資隱私的衝擊。GDPR歷經約2年的緩衝期,其受到全世界重視的原因除了更周延的個資保護外,主要有二:1.不論在歐盟是否設有據點,只要有蒐集、處理及利用歐盟居民個資,就會受到規範;2.違反者將可能受到鉅額罰鍰,最高可處以2千萬歐元或企業全球營業額的4%。

劍橋分析事件

本事件緣起於2014年間劍橋大學心理學家Aleksandr Kogan設計出一款心理測驗APP,名為「這是你的數位生活」(thisisyourdigitallife)。Kogan另與「劍橋分析」(Cambridge Analytica)這家數據分析兼政治顧問的公司進行合作,假心理測驗與學術研究之名,於臉書上推出這款APP,獲得約27萬名用戶的參與並取得其個資,更進而獲取他們朋友的資料,原本估計獲取5千萬名用戶個資,後來更新為高達8千7百萬名的用戶個資。

劍橋分析取得這些龐大的用戶個資涉嫌不當干涉2016年的美國總統大選及其他包括英國脫歐在內的許多政治活動,因這些資料經過大數據分析可評估選民投票意向,亦可藉由真假消息與廣告放送,影響社會輿論走向。

臉書辯稱用戶個資是經過用戶同意而提供給第三方,但當時之同意機制似嫌寬鬆。此外,當臉書於2015年間發現劍橋分析濫用用戶個資時,雖刪除該APP,並要求劍橋分析也應將蒐集的資料刪除,卻未取得確實證據以確認對方是否刪除,也未告知受影響的用戶。若以高標準的GDPR個資保護與通報機制來檢驗,臉書過往的運作模式如故態復萌應會遭受歐盟重罰。

企業應重視個資保護機制

關於個資的蒐集、處理及利用,原則上須先告知當事人關於個資法所定事項並獲其同意始可進行。GDPR更強化告知後同意的機制,規定「告知」必須讓人容易理解且以清楚淺白的語言為之,「同意」則必須確實且係基於自由決定,並容許當事人撤回同意。此外,GDPR增加個資當事人的權益如被遺忘權(要求業者刪除個資)、個資可攜權(要求將個資由原服務業者轉移至其他業者)等,亦要求在一定條件下應設置資料保護長。GDPR另規定於發現個資侵害事件,應於72小時通報用戶。像臉書這樣大的公司因劍橋分析事件被燒得焦頭爛額,也面臨遵循GDPR的壓力,我國企業亦不容輕忽用戶個資的保護議題。

進一步從劍橋分析事件來看,臉書用戶會同意心理測驗的APP取得其個資,應該是想說做個心理測驗也沒什麼大不了,畢竟想瞭解自己的心理素質,本來就需要提供一些自己的個資才能測得準,沒想到居然遭劍橋分析用於政治行銷用途。我們可以從幾個面向來探索用戶個資保護如何補強:

1. 直接蒐集個資者,例如臉書及APP(如用戶在前述心理測驗APP填寫個資)直接蒐集用戶個資的情形,固應取得用戶同意,但應先誠實告知蒐集個資之目的,且應僅限於該目的範圍內之利用。如須進行超過原先目的之利用,應再取得用戶同意。更重要的是,告知與同意機制應簡單清楚,不能模糊繁瑣。

2. 間接蒐集用戶個資者,例如臉書上的APP與廣告也會藉由臉書間接取得用戶個資,亦即透過保有其他已蒐集到用戶個資的第三方取得該個資的情形,本質上也是一種蒐集行為,也可能被認為還是應取得該用戶同意。縱認間接蒐集者依個案情形得無須同意而取得用戶個資,原則上亦應告知用戶其蒐集目的與利用方式等事項。

3. 直接蒐集個資者將用戶個資提供予合作廠商的行為,其實也是屬於個資利用的一種類型,亦應告知並取得用戶同意。

4. 當發生用戶個資外洩或不當利用事件,應儘速通報用戶,使其得以做適當防衛處理。

高度透明的個資保護提案

對於個資保護,光靠同意其實還不夠,因為同意可能會被業者巧妙架空。要將個資保護做到更好,可考慮賦予用戶更大的知情權,也就是對於蒐集者「實際上」如何利用個資之情形,用戶能定期收到相關資訊匯報,也能隨時主動查詢結果。如此一來,用戶因為知情而將更有警覺並審慎提供個資。

以臉書為例,除了讓用戶能瞭解自己在臉書使用活動的歷史記錄(包括貼文、PO照、按讚等)之外,也能夠知道臉書將用戶的資料提供給哪些第三方廣告商與APP業者以及如何被利用,甚至對於哪些人有看過用戶自己的臉書活動也能充分瞭解。這種作法就是要求臉書等業者提供極高的透明度,對於用戶個資之保護自然更為周全。因為不僅做到告知後同意,還進一步做到同意後繼續告知,但此舉對於企業平台之營運發展恐造成阻礙(例如當瀏覽他人臉書資訊會被他人知情時,可能會降低民眾使用臉書的意願),也會增加高額成本,似非新創事業所得負擔,短期內恐難獲得共識而落實,尚須持續研析適當對策。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!