你是否擁有「被遺忘權」?
歐盟的《一般資料保護規範》保護了什麼?
最近幾個月以來,你應該經常會在連線到部分APP或者網站時被告知要求重新授權,並且不厭其煩地提醒使用者:你(妳)正處於「被收集個人資料」的環境中,甚至不按下「同意」就無法繼續使用。這是因應歐盟在2018年5月25日生效的《一般資料保護規則》(General Data Protection Regulation,簡稱GDPR)所產生的企業回應措施。
顯然,歐盟認為1995年通過的《資料保護管理法》( Data Protection Directive)還不夠。現在,歐盟公民將享有其個人資料從網路上全面消失的的權利。
一種「被遺忘的權利」(The right to be forgotten)。
只要稍微回顧一下歐洲近代史,就能理解:由於濫用個人資料進行迫害與壓制的組織力量實在過於駭人,納粹蓋世太保、東德秘密警察史塔西(Stasi)的劣行、以及死而未僵的馬克思主義激進份子的罪行罄竹難書,無數善良人民因而受害,這也難怪在歐盟議會中強力推動這項立法過關的正是德國政黨(主要是立場中間偏左的綠黨成員)。
經過長達四年的辯論與準備後,GDPR終於定調。根據歐盟議會決議,這次公布的GDPR目標是為了要:
協調整個歐洲的資料隱私法令、保護所有歐盟公民的資料隱私、重整企業組織在歐盟境內收集資料隱私的方式。
短短一句話就重複三次「資料隱私」(data privacy),這顯示歐盟境內的公民人權在此得到完整彰顯。這項規定,對於個人隱私的關切,已經強烈到一個有點微妙的境界。
根據GDPR第4條第一項定義:
「個人資料」意指與一特定的或可識別的自然人(資料主體)相關的任何資訊;所謂可識別的自然人,意指「可以直接或間接,特別是透過一個參考標的諸如:姓名、身份證字號、居住資料、線上識別資料,或者是特定的身體、生理、遺傳、心理、經濟、文化或社會的辨識物而可識別的自然人。」
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person
簡單地說個人資料保護的範圍包山包海,你能想像的都包括在內,但這和舊法並無多大差異。
GDPR規範的主體主要是企業與組織團體,新法的立法精神並不在於限制企業蒐集個人隱私資料,而是要求企業組織應該善盡告知、管理、保護、報告的責任。
儘管如此,由於罰款最高上看2000萬歐元(或4%年營業額,取其價高者罰之)的罰款讓全球企業膽戰心驚,GDPR新法上路,搞得一路雞飛狗跳,全球各大企業人仰馬翻。很多住在歐盟境內的民眾一早起床,發現自己沒辦法用手機看海外的新聞網站,因為太多新聞媒體APP來不及對應GDPR,經營者擔心天價罰款,只好先切斷服務。
GDPR的適用範圍?
那麼,對攝影專業人士與業餘愛好者而言,GDPR對我們個人有任何約束力嗎?到底GDPR的管轄範圍是什麼?歐盟執行委員會(European Commission)官網上針對GDPR有一系列簡單詳盡的問與答:
歐盟法規2016/679的《一般資料保護規定》(General Data Protection Regulation, GDPR),是針對歐盟境內處理個人資料的個人、企業或團體組織的規制。
本法並不適用於處理已故者或法人團體的個人資料。
本法亦不適用於個人因單純個人原因或在自宅家中進行的活動而處理的資料,前提是此舉與商業或專業性的活動無關。例如,當個人為了社會文化或經濟活動,在個人領域外使用個人資料時,必須遵守資料保護法。
有背書也有但書。個人領域之外的專業或商業活動,當然要遵守GDPR。
如果你是一位「國際級攝影師」(無論是自我臉上貼金或有真才實料的業績),有歐盟客戶涉及歐盟境內的商業攝影活動的話,就要留意了。這些客戶的個人資料必須要得到最高等級的保護,先別寄一堆什麼同意信要客戶按同意按鈕,最好先找專業法律人士諮詢配套方案(雖然專業法律人自己可能也非常頭大)。
業餘攝影玩家的惡夢
有歐盟執行委員會拍胸脯保證,業餘玩家拍攝個人記錄,問題本來就不大。不過業餘玩家到歐洲去玩拍旅遊寫真、觀光風景、街頭攝影有意無意之間拍到當地居民或路人,該怎麼處置?
隔岸觀火的人大致上分成兩派:一派大驚小怪,如喪考妣,四處轉貼天價罰款新聞,警告朋友不要亂拍路人免得賠到脫褲;另一派樂天鐵齒、不見棺材不掉淚。難得一趟歐洲觀光,怎能放棄不拍?詢問當事人同意總可以了吧?總之非拍它個千兒八百張紀念照不可。
實際情況會怎樣?新法上路三個月,歐洲應該是一團混亂,所有人都還在適應當中。就像鐘擺一樣,或許會在兩個極端當中擺盪。最後的平衡點,可能還是要透過歐洲各國法院的判例,甚至憲法法庭的裁決來完成。
也就是說,現在還不是街頭攝影的末日,但街頭攝影的空間日益縮小,可能是無法迴避的世界潮流。不止歐盟,全球各地包括台灣在內,都是一樣重視個人隱私。唯一例外大概就是中國了。老大哥正在看著你。
上個月剛剛結束的荷蘭哈倫美食祭(Haarlem Culinair),主辦單位就為此大傷腦筋。該怎樣在社群媒體上處理每年八萬名美食饕客的個人隱私問題?
今年的解決辦法似乎有點腦殘:主辦單位的遊客須知上寫著:如果你不希望自己出現在照片或影片當中,請在自己的前額貼上一張紅點。前額貼上紅點貼紙的人,主辦單位會用軟體方式將臉部打上無法辨識的馬賽克。
這項措施引起媒體一陣譁然,紛紛找上門來要求瞭解運作是否順利。但這樣又引來抗議的聲音:前額貼紅點(bindi)是印度教的習俗,有些人可能不願意露臉,卻也不想貼紅點。
沒關係,主辦單位也提供了白點貼紙供你選擇。
據當地媒體《Editie NL》報導,實際上整個美食祭活動來訪的七萬多名入場者,真的乖乖照做的,只有三人。
絕大多數人即使想保有隱私,遇上這種奇葩規定,自動放棄的比例就大幅上升。
儘管如此,這項行動應該為整個美食祭典活動炒熱了話題,可能也帶來了一些銷售業績。主辦單位表示,如果要改用逐一詢問的方式確認意願,大概要花上五週的時間才能處理,所以之後的活動,貼紙的隱私政策將會延續下去。
無論是紅點或白點都不是重點,重點在於這是歐洲當地的人民面對GDPR所做的行動與改變,他們會在持續的改變當中找到平衡。
如果你近期有遠赴歐盟國家的旅遊計畫,那麼GDPR是你應該要注意的,規定不因你是個外人觀光客而有改變。特別要說明的是:GDPR對於16歲以下的未成年兒童的個人隱私保護非常嚴格,未經家長或監護人同意,就逕行拍攝並上傳到網路社群APP,可能會帶來大麻煩。
無論你身在歐洲或在台灣,兒童的隱私問題都非常重要,不可大意。
當然,當你跟我一樣只拍雜草與石頭的話,就沒問題了。拍小貓小狗更是免煩惱。
參考資料:
- https://www.eugdpr.org/
- https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
- https://gdpr-info.eu/
- https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
- https://ec.europa.eu/info/law/law-topic/data-protection/reform_en
- https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en
- https://petapixel.com/2018/05/30/how-bad-is-gdpr-for-photographers/
- https://www.facebook.com/haarlem.culinair/
- https://www.facebook.com/haarlem.culinair/videos/1962011557431949/
