欧盟廿年磨一剑 私隐新法GDPR展开个人资料争夺战
踏入5月,很多人收到社交媒体、银行等寄来的电邮,通知他们新的使用条款。
电邮背后,推动大小企业更新条款的欧盟私隐新法GDPR,被形容为保障个人私隐的世界警察。那么5月25日,世界会否真的从此不一样?
随日子临近5月25日,即《通用资料保护规例》(GDPR)生效之日,由企业到欧洲监管机构都忙于张罗。例如有英国猎头公司向传媒表示,他们要重新询问所有客户,是否容许公司保留他们的个人资料。会计师行安永(EY)调查指出,《财富》500强企业平均要花1600万美元,确保公司符合欧盟私隐新法例,包括增聘专责人手。
因为这道法例,英国《金融时报》形容欧盟将要成为世界警察,保卫全球民众的个人资料。那么它到底有何厉害之处?
由指引到条例 欧盟统管私隐
首先,值得留意的是GDPR前身是1995年的资料保护指引(directive),今次由指引升级为条例(regulation),本来已经是一项重大突破。分别在于指引的规范比较宽阔,给欧盟成员国保留更大的自主权,决定如何应用和落实私隐保障。但条例却是在欧盟层面统一规管,GDPR在各成员国直接有执法效力。
另一方面,正如香港个人资料私隐专员黄继儿接受《香港01》访问时指出,GDPR可以说是1995年指引的“2.0版本”,经过20年的社会演变后,欧盟将以前旧有原则写得详细而清晰,适切最新的科技发展和经济活动。
GDPR部份重点:
| 1、境外生效 | 企业在欧盟设立或目标受众是欧盟公民,都受法例规管 |
| 2、外泄通报 | 若有资料外泄,尽可能于72小时内通知欧洲资料保护机构;若涉敏感资料,更须通知当事人 |
| 3、明确同意 | 清晰地询问当事人,是否同意提供某些具体的个人资料;个人资料不能自动分拆给其他单位 |
| 4、被遗忘权 | 当事人即使交出个人资料,亦有权要求将它们删除 |
| 5、反对立档 | 当事人可以反对公司以收集得来的个人资料,为他们建立个人档案 |
| 6、资料转移 | 当事人可以下载所有个人资料,并转移到另一个平台使用 |
| 7、罚则高昂 | 最高罚款额是企业全球营业额的4%或2000万欧元,价高者为准 |
由争夺土地到个人资料
20年过去,世界最大的转变在于广告模式。美国联邦通讯委员会前主席惠勒(Tom Wheeler)在谈及GDPR的时候,就曾经不留情面的直斥,当今互联网及广告经营之道好比21世纪封建主义。不同的是,从前的封建主义是地主圈地,令平民无立锥之处;现在商人抢占的是个人资料。
正如facebook行政总裁朱克伯格在美国听证会时,亦给议员点出他们的免费服务,必须倚靠卖广告位来维持经营;而为了让广告效果最理想,个人资料就成为了关键所在,让他们透过profiling来分析网民的特质,然后针对特定对象来登广告。惠勒指出,商户和广告商近年收集的个人资料已经几何级数增加,欧盟GDPR的大原则好比还私隐于民。
同样称许GDPR的,还有facebook营运总监桑德伯格(Sheryl Sandberg),她曾形容欧盟在个人资料保障方面走在世界前头。对此,私隐专员黄继儿向我们解释,因为欧洲在战后非常重视基本人权,而他们视个人私隐为其中之一;相比之下,美国则比较强调私隐与大众利益或国家安全之间的平衡。所以比较之下,欧盟的确在私隐上做得比较多。
主战场:何为“必要”?
理念既好,还要执行配合。欧盟成员国的监管机构,自此责任重大。例如英国资讯专员公署(ICO)指出,他们在2020年或之前会增聘三份一人手,配合执行GDPR;爱尔兰数据保护专员则增聘四成员工,包括招揽刑事律师和调查专家,特别要深入研究到底商业机构收集的资料,是否他们提供服务的必要条件。
正如私隐关注组织IAPP指出,当前主流的广告模式是分析网民行为,到底GDPR所指定的“必要”如何界定,相信会成为法例生效后的主要战场。一方面,社交媒体和科技企业会说,收集个人资料是维持经营的必要做法;另一方面,他们亦可以个人化服务为由,要了解用户特定资料。
Facebook私隐副总裁戴德曼(Stephen Deadman)就明确为收集个人资料辩护,说:“有些服务核心,用户不能完全弃用。你买车,也不能说不要车胎。你可以选择不同车胎,但你一定要有车胎。”由此看来,科技企业很可能“马照跑、舞照跳”,只不过在GDPR规范下撰写一份更清晰的收集声明。
曾在欧盟工作的黄继儿亦向我们指出,28个国家各有不同司法背景和文化,他认识的欧洲律师朋友明言,条例写得再好,欧盟之内也会争论。所以GDPR会实际如何操作,“还要一段时间观察”。
但相信错不了的是,在不改变商业模式的大前提下,facebook等大企业由草拟使用条款到法律诉讼都已经准备好应战。若果借用惠勒的封建主义比喻,GDPR没有一下子改变世界,却给予民众一道利剑与商业机构争夺个人资料。成效如何,还看战场上的双方角力。