歐盟的 GDPR 跟我有關嗎？

2019 年 1 月 21 日 Google 因為違反 GDPR 遭法國主管機關 CNIL 開罰 5,000 萬歐元，成為因為 GDPR 遭罰的首例

什麼是 GDPR ？

「General Data Protection Regulation」簡稱 GDPR，中文譯作「一般資料保護規範」，是由歐盟在 2016 年 4 月 27 日通過，經過兩年的緩衝期後，在 2018 年 5 月 25 日法規正式上路，簡單來說，這部法案是在定義網路時代的新興人權 — 數據權。隨著網路的蓬勃發展，越來越多人將個人隱私資料儲存於網路上，許多大公司在一般人不知情的情況下利用了這些數據。像是 Google 透過分析使用者的數據，精準投放個人化廣告，藉此賺進了大把的鈔票。

GDPR 的主要目標是希望制定一套統一的數據人權規範，以取回目前幾乎完全被大型企業壟斷的個人資料控制權，保障的資料範圍是個人可識別資料 PII（Personally Identifiable Information），任何由個人所產生出的資料，幾乎完全都被涵蓋在 PII 當中，身份證號碼、地址…這種個人身份資料不用說，生物辨識特徵如指紋、臉部特徵…，甚至是在網路上的電子紀錄如 Cookie、IP、任何網站的瀏覽紀錄…都被視為 PII，而保障的權利重要的有以下四種：

1. 被遺忘權 (Right to be forgotten)：任何人都能夠要求控制資料的公司，將所有存儲於公司內部的 PII 資料以及其所有相關的副本刪除。
2. 取用權 (Right to Access)：任何人都可以要求控制資料的公司提供 PII 如何被取用、在哪被使用以及使用的目的為何。
3. 資料可攜權 (Right to data portability)：所有用戶都有權利可以要求控制資料的公司將原本的資料轉移至其他服務上。像是我希望從 Apple 轉而使用 Android 的手機，我們就可以要求 Apple 將我們原本的 PII 轉移至 Android。
4. 隱私始於設計 (Privacy by design)：在產品或服務的設計階段，就必須進行資料保護以及用戶隱私的考量，並提供不論是硬體裝置或是軟體服務嚴格的身份認證機制。

歐盟的規範跟我有關嗎？

歐盟訂定的法規跟身在台灣的我們有什麼關係？

由於 GDPR 規範了網路中數據的支配權，只要公司的客戶包含歐盟的人民或是數據的存取、傳輸經過歐盟地區、直接或間接地與歐盟相關，就必須遵守歐盟的 GDPR。一但違反了規範，最高可以求處 2 千萬歐元（約新台幣 7.2 億新台幣）或是全球總營業額的 4 %作為罰款。

因此相關企業只有兩種選擇，一是完全撤出歐盟，斷絕與歐盟所有的業務，二是想辦法讓企業所提供的服務與 GDPR 兼容，否則就必須面臨鉅額罰款的懲罰。

被遺忘權

GDPR 提出了一個嶄新的觀念，一般人第一次看到「被遺忘權」，應該都非常納悶，這是哪門子的權利？但身在網路的時代，如果仔細想想，就會知道「被遺忘權」的重要性，舉凡：手機號碼、住址、病歷資料、生物辨識特徵（臉部、指紋、虹膜）、照片、影片…，這些資料都儲存於服務商的數據庫當中，只要用戶想要刪除這一切具備與個人隱私相關或是可以被辨識成自然人條件的隱私資料，也就是剛剛提到的 PII，服務提供商必須提供刪除所有資料以及其副本功能。

如果不保障用戶的被遺忘權，等於在用戶將隱私資料存取於服務提供商的那一刻起，所有最私人的個人資料就永遠掌握在該公司手中。

當區塊鏈遇上 GDPR

圖片來源：https://www.mangoresearch.co/blockchain-immutability/

「去中心化」、「不可篡改」這兩個最廣為人知的區塊鏈原生特性，似乎從根本上就違反了 GDPR 的規範。首先，由於區塊鏈去中心化的特性，沒有人可以限制任何人使用，因此使用者很難排除歐盟的人民，也就是說只要涉及隱私資料上鏈的相關業務，都必須要遵守 GDPR 的規範；剛剛提到「被遺忘權」，再想想「 不可篡改」，這兩個名詞似乎從骨子裡就相互矛盾，既然「不可篡改」又該如何被遺忘呢？

因此我們可以得到一個肯定的結論，只要目前將資料上鏈儲存的業務中有涉及任何個人資料，便必定違反了 GDPR ，則需趕緊找到兼容 GDPR 的其他方案。

如此看來區塊鏈似乎因為 GDPR 而無用武之地。其實不然，剛剛提到的個人資料 PII，即便資料進行 Hash 後再寫上區塊鏈，它仍然會跟一個帳號產生關聯性，因此這類型的假名資料（Pseudonmisation）仍然屬於 PII， 必須遵守 GDPR。唯獨能做到完全匿名（Data Anonymisation）的資料上傳區塊鏈保存，才符合 GDPR 的規範。下一篇文章我們將會深入探討如何讓區塊鏈能夠兼容 GDPR 。

參考資料：

1. https://zh.wikipedia.org/zh-tw/%E6%AD%90%E7%9B%9F%E4%B8%80%E8%88%AC%E8%B3%87%E6%96%99%E4%BF%9D%E8%AD%B7%E8%A6%8F%E7%AF%84
2. https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu-
3. https://www.bnext.com.tw/article/49723/blockchain-gdpr-privacy
4. https://vocus.cc/@ofahsueh/5bdc6139fd89780001e16a46
5. https://www.ithome.com.tw/news/128391
6. https://gdpr-info.eu/