歐盟GDPR 對台商的衝擊分析

Abstract

數位經濟的發展，顛覆傳統「使用者付費」的市場規則，從收發email、搜索資料、社群或部落格發文與通訊，免費的界面與系統，具有壓倒性的市占率。但，沒有付費，這些提供服務的業者，又從哪裡得到利潤呢？

數位經濟從使用者付費到一切免費

久而久之，使用者才漸漸發現：免費，並非沒有付出代價。因為數位經濟裡最大的幾家提供免費服務的公司，總是趁使用者不知不覺之間，收割、買賣使用者在網路世界的數位足跡：從瀏覽哪些頁面、搜索哪些關鍵字; 到PO 哪些內容、分享給哪些朋友，所有網路免費服務的後面，都有一隻隻蠶食鯨吞的資料巨獸。

以三大科技巨擘為例：Google，擅長以雙邊不對稱市場，藉由免費提供使用者便利的搜索服務，免費取得個人在Google 搜索歷程中所留下的資料，進而運用這些資料販賣數位廣告。Amazon，基於使用者的購物歷程資料、優化商品推薦與動態價格，與其說是使用者在網海中找到自己想下單的商品，不如說是Amazon 撒下海網，讓使用者絕不會錯過Amazon 認為「他/ 她會下單購買的商品」。Facebook，透過對使用者資料與社交網絡的全面掌握，不但可以販賣更精準的數位廣告，甚至在近來的劍橋分析醜聞中，發現它也具有操縱政治選舉的黑暗功能。

雖然網友也逐漸明白，表面上一切免費的數位服務，其實是因為使用者的資料早就被徹頭徹尾的賣光換取而來，但簽了網頁上密密麻麻的使用者條款，人們也莫可奈何。

GDPR 的特色

不過，2018年5月開始，歐盟《一般個人資料保護規則》（GDPR）的法律生效，改變了數位經濟的遊戲規則。它具有下列幾項特色：

● 個人資料的定義寬大

依GDPR 第四條規定，任何直接、間接可識別個人的資訊，都屬於個人資料。包括個人的姓名、身份字號、所在位置、以及網路上的IP 位址，從實體到虛擬空間，只要在合理範圍內認定由該項資訊可識別出特定個人者，皆可謂個人資料。

●個人資料保護的跨域效力

傳統法律的規範效力，習慣以地域為界，遇上可以橫跨各國時空的網路，往往就無能為力。就此而言，GDPR 更展現另一項重要意義，提出一項網路規範的新原則：不再以「歐盟境內」做為法律規範的效力界限。依據GDPR 第三條的規範，資料的處理者或控制者，不論有無在歐盟境內設立辦公室，只要它的服務或商品是提供給「歐盟人民」，或其所監控的個資主體行為發生在「歐盟境內」，均為規範效力所及。易言之，就算是一家從未進入歐盟境內的台灣公司，只要有一位歐盟會員國的客戶、或是通過cookie 記錄、監控使用者在歐盟境內的網路活動，就必須符合GDPR的高規格。

●強化個資主體對個資的掌控權

此項特色， 可謂GDPR 的核心：GDPR 從事前蒐集、到事後更正刪除，強化個資主體對個資處理的決定權、也加強個資處理及控制機構的法律義務。例如，從前網友對密密麻麻的使用者條款，通常是看也不看、直接勾選「同意」。但GDPR所謂的「同意」，並非使用者有勾選「同意」就算。它必須是在資料主體被充分明確的告知下，所為之具體、自由的同意。

因此，很多情況下的「同意」，並不合乎GDPR 的規定。例如，GDPR 第七條中就提到：如僅是單純沉默、或預設選項為同意或不為表示等，都不能算是GDPR 下的「同意」。所謂具體的同意，包含各種目的下的個資處理都要取得同意，倘處理個資具有多重目的，則全部目的均應取得同意，而非含糊的一個「同意」。所謂受有充分告知的同意，如個人資料處理係基於資料主體之同意者，處理個資者除應舉證證明資料主體之同意，並應確保資料主體知悉同意之事實及範圍。

GDPR 尤其注重此同意是資料主體未受強迫、「自由給予」的同意。因此，若資料主體並非出於真意、或無從自由選擇；無法於不損及其權益之情況下得隨時撤銷其同意；更重要的是，若另一方以將契約之履行與否、服務之提供與否，繫於使用者超出契約履行目的的「同意」與否，這樣就會被推定為「不自由的同意」了。最後，「撤回同意」和「給予同意」的程序，應該一樣容易（而非更加複雜），這些資料處理或控制者，需進行隱私評估，同時於個資外洩時有通知義務; 其所蒐集、利用、保存之個資需合乎法定目的、且不應超過所需要之範圍，於前述目的消失或資料已過時之情況，個資主體可要求修正或刪除。

●加重企業相關責任

GDPR 第八十三條規定，資料數理或控制機構，未採取合理的措施避免或降低個資受損害時，最高可處以1千萬歐元或全球營業額的2%（視何者較高）； 同時，若違反GDPR 規定的個資蒐集、利用和保存規範，最高可處於2 千萬歐元或全球營業額的4%（視何者為高）。以上所提的數額，僅僅是對該企業的懲罰，對於個資受侵害的使用者而言，仍可另行提起法律訴訟要求損害賠償。

GDPR 對台商的衝擊分析

總的來說，GDPR 對個資保護的規範嚴格，勢將提高企業蒐集或處理數位資料的成本，在「資料即原油」的時代，規模較小的公司或新創公司，將因法遵成本大增，受到更大的生存考驗。事實說明：直至今年8 月，美國研究人員仍然指出，至今仍然有超過1 千個新聞網站因為無力符合GDPR 的高標，只好封鎖歐盟用戶造訪網站。與此同時，依據哈佛大學尼曼基金會（Nieman Foundation）的尼曼新聞學實驗室8 月的公開資料，美國前一百大新聞網站中，目前仍有三分之一苦於無法達到GDPR 的標準，只好封鎖歐盟讀者。

此外，在區域發展上，值得注意的是，中國大陸也在GDPR 生效前，在2018 年5 月1 日正式實施《信息安全技術個人信息安全規範》（簡稱《規範》），其重點主要是針對數位經濟產業中常見的同意「過量個資蒐集」與「濫用個資」的行為進行規範。根據該《規範》，收集個資時，應在個資主體被充分告知的基礎上，取得個資主體自願、具體、明確的同意。其次，蒐集個資的範圍應合乎個資蒐集的目的，以「最小化」為原則，不可過量。最後，對個資的處理、共享或轉讓，除要取得個資主體的同意外，尚需進行個人資料安全影響評估。

雖然在形式上，此《規範》僅為「推薦性的國家標準」，並非具有強制力的法律規範。但它提高個資保護的標準，強化對企業的監管力道，其內容的邏輯與架構與GDPR 相近，甚至連生效的時間也與GDPR 相差不到1 個月。因此該《規範》一出，即搭上GDPR 的全球風潮，廣受注意，讓FT 中文網亦稱中國大陸為「亞洲資料保護的先驅」。

由此可見，中國大陸政府雖然廣用數位監控科技，擁有大量個人資料，但同時也不斷強化對企業蒐集個資的監管力道，此亦為趨勢。未來台商若要進入需要大量蒐集、處理或利用個資的數位產業，門檻都會愈來愈高、愈來愈不容易，應審慎因應。