關於 GDPR 的討論

討論一點關於資料保護與 Facebook / Cambridge Analytica 事件的想法

Apr 1, 2018 · 6 min read
“Bright lights in large city at night” by Peter John Maridable on Unsplash

去年底用一些時間去了解 General Data Protection Regulation (簡稱GDPR),因為本身不是法學背景,所以只能提供一點自己的心得。

之前文章所提到的,GDPR 定義了許多關於「個人資料」的定義,同時也提供資料主體十一種權利 (重複再貼到這裡):

  1. Right to access (Article 15) 檢視資料的權利
  2. Right to rectification (Article 16) 修改資料的權利
  3. Right to erasure (Article 17)要求被抹除的權利 (就是之前曾談過的被遺忘權 RTBF)
  4. Right to restriction of processing (Article 18)限制處理的權利
  5. Right to data portability (Article 20)資料可攜的權利
  6. Right to object (Article 21) 反對的權利
  7. Right not to be subjected to automated individual decision-making (Article 22) 不被自動決策的權利
  8. Right to lodge a complaint with a supervisory authority (Article 77) 向監管機構投訴的權利
  9. Right to an effective judicial remedy against a decision of a supervisory authority and against a controller or processor (Article 78)對監督機構和控制人或處理人的決定採取有效的司法救濟的權利
  10. Right to be represented by organisations and others (Article 80) 可以被其他組織或他人代表的權利
  11. Right to compensation (Article 82) 要求賠償的權利

透過這些被賦予的權利,相當於拉抬個人使用者的位階與服務提供者 (業者)至同等的位置,也是讓使用者與服務提供者 (業者)的關係更近似於合作夥伴。

這種感覺有點像區塊鏈最原始公私有鏈的概念。在先前收集的案例裡,MedRec 利用 Ethereum 的技術記錄病歷資料,透過機制讓病患擁自己病歷資料的控制權,而醫學研究人員在公有鏈上的工作記錄,則提供加密貨幣回饋,而病歷資料的存取也會對資料讀取者進行身份的確認,病患也知道自己的病歷被用於哪些研究。相對於最近十分熱門的 Facebook / Cambridge Analytica 事件,最主要的差異在於資料提供者並不知道自己和朋友的資料是透過「心理測驗」的方式被收集同時被用於廣告投放、行銷操作,甚至是選情、國家情勢的影響。

今年 TWNIC 舉辦的研討會裡,與顧問公司的朋友聊到台灣企業面對GDPR的態度。顧問公司的觀察是,那些跨國企業或是有涉及相關風險的早就準備好因應這些事了,而國內不會有歐洲人個資的企業就會覺得事不關己,更何況如果他們的產品和服務市場是「亞洲」同時自認「亞洲的歐洲人」不會繳交個資給他們的話,根本也不用擔心 GDPR 。

在研討會後的茶會裡,與 TWNIC 的黃執行長和卓董事長、曾律師也有討論到GDPR 裡有些要求實在是太誇張,不止是罰則,還包括了「要派一個人在歐洲,出了問題、有爭議時,就要被歐盟調去詢問」台灣的中小型企業或是個人新創團隊,要去面對 GDPR 是十分困難的。

以上的結論是先準備好,等到第一個案例出現時,大家就知道要怎麼去處理。而這個第一槍應該是開向:Google、Facebook、LinkedIn、Microsoft 等大型跨國企業。從三月初開始,我則每天收到相關平台的隱私保護相關條款的變更通知,如果有人收到,就表示對方在詢求使用你的個資權限,也請大家仔細的去閱讀及了解,千萬不要事不關己。

在會後的聊天裡也有人認為,台灣最早會遭殃的會是哪些團隊?大型企業?中小型企業?傳產?難以想像是,最有可能被處罰的是台灣的加密貨幣交易所。當然有不少新創團隊已經有聘請專業人士在處理法遵的事情,但有一些交易所可能沒有這樣的認知,而這可能就會成為最大的目標,且交易所的交易金額相當的龐大,絕對罰得起。

另外,由於 GDPR 將會在今年五月二十五日開始實施,從其條文裡,是限制對未取得共識的資料做自動決策、剖析的,這或許會影響機械學習 (Machine Learning) 的發展,也應該要想想相關的對策。相對於台灣現行的個人資料保護法,我們也應該想想要如何透過個資法來保障「人」的權利,提升人民對於「人」的尊重,而不是著重於罰則或便宜企業行事。


“An phone with the Facebook app open next to Scrabble pieces arranged in the words “social media”” by William Iven on Unsplash

關於 Facebook 這次的事件

相較於有些企業刪除了帳號或品牌的粉絲頁面,我覺得這都是個人選擇或企業形象的操作。我自己不認同刪除 Facebook 帳號是必要的,如果沒有資料保護和隱私保護的相關意識,不管在哪個國家的任何公開、甚至宣稱免費服務的平台,都可能會再度發生同樣的事。

我著重於建立消費者 (使用者) 本身就有要保護自己資料與隱私的責任與意識,不能把所有的責任皆由企業承擔,也不能認同資安服務的業者把資訊 (料)安全、資料保護、網路安全都混為一談,這我會在另一篇文章裡討論。所以我會建議任何網路使用者在使用服務時,多想一下:

  1. 在這樣的服務裡如何保護自己和朋友、家人的資料?
  2. 如何建立每個人對於「資料保護」與「隱私權保護」的意識?
  3. 我使用的服務或平台和哪些公司合作?提供哪些資料給哪些公司?他們收集了哪些資料?
  4. 如果我不想被某些公司使用資料要怎麼處理?申訴途徑是什麼?
  5. 如何取回我的資料?

當然我也會建議企業自己要有將合作對象、資料使用方式公開揭示,方便自己的客戶了解,也能取得客戶的信任,當無法答成共識時,也能避免增加日後可能的法律糾紛。

另外也建議可參考以下由 Bitmark 所提供的文章:

YingChu Chen

Written by

詩人們總說,當我們回到童年時代生活過的一幢房子,一座花園,剎那間就會找回從前的我們。~追憶似水年華。

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade