朱克伯格明赞欧洲新法 大数据年代GDPR如何救地球?
“你认为欧洲的做法合适吗?”一名美国参议员问。
“我认为他们的做法合适。”Facebook行政总裁朱克伯格(Mark Zuckerberg)说。
在个人资料保障不力的严峻危机中,到底二人口中的欧洲私隐法有何厉害,可以挽救一切?
擅自将个人资料交给第三方,是现今不少企业会犯的毛病,香港的八达通事件亦曾经闹得沸腾。上个月闹出的“剑桥分析”风暴中,Facebook曾经容许应用程式和游戏索取用户资料,甚至是他们朋友的资料,令创办人兼行政总裁朱克伯格不得不亲赴美国国会,解释公司的个人资料保障政策。
在周二(4月10日)的听证会上,参议院议员格雷厄姆(Lindsey Graham)问朱克伯格是否欢迎政府规管……
朱克伯格:“如果是合适的规管,欢迎。”
格雷厄姆:“你认为欧洲的做法合适吗?”
朱克伯格:“我认为他们的做法合适。”
朱克伯格他们提及的规管,是欧盟在2016年通过的《一般资料保护规例》。这个简称为GDPR的规例在今年5月25日即将生效,规管前所未有的严格,微软、dropbox等科技公司已经密锣紧鼓修订做法,以免届时触犯法例。
GDPR的新法例最少有七大重点:
| 1、境外生效 | 企业在欧盟设立或目标受众是欧盟公民,都受法例规管 |
| 2、外泄通报 | 若有资料外泄,尽可能于72小时内通知欧洲资料保护机构;若涉敏感资料,更须通知当事人 |
| 3、明确同意 | 清晰地询问当事人,是否同意提供某些具体的个人资料;个人资料不能自动分拆给其他单位 |
| 4、被遗忘权 | 当事人即使交出个人资料,亦有权要求将它们删除 |
| 5、反对立档 | 当事人可以反对公司以收集得来的个人资料,为他们建立个人档案 |
| 6、资料转移 | 当事人可以下载所有个人资料,并转移到另一个平台使用 |
| 7、罚则高昂 | 最高罚款额是企业全球营业额的4%或2000万欧元,价高者为准 |
新法严格 外泄事件可望避免
GDPR仍有更多细节,但单看这七点,足见对企业做法会带来重大改变。特别是只要有一点规模的企业,用户或客户都难免会包括欧盟公民在内,所以香港贸发局、个人资料私隐专员公署等在过去一两年,都多次推广和宣传这个欧洲新法,提醒做生意的人要改变做法。
以facebook的剑桥分析事件来说,在欧洲新例下,剑桥分析应该不能够(1)以冗长的使用协议来要求用户同意,交出他们的个人资料;(2)间接取得他们朋友的资料;(3)用个人资料来建立个人档案并推测他们的心理和性格;而facebook作为个人资料管理人,在事件后亦必须通知监管当局,甚至当事人。
所以在过去几天,不少呼声指出美国参议院其实管不了facebook,真正有用的法宝是欧盟的GDPR。
欧盟以外会沦为二等网民吗?
Facebook营运总监桑德伯格(Sheryl Sandberg)日前接受《金融时报》访问时,已经明言在个人资料保障方面,“欧盟走在前头”。
固然在5月25日以后,facebook也必须按GDPR的严格准则来处理欧洲用户的个人资料,但美国方面的声音却是:“那我们呢?”有人发公开信要求朱克伯格将GDPR的准则全球应用,《华盛顿邮报》的记者诺亚克(Rick Noack)亦以“给朱克伯格的一个重要问题:美国人会成为二等网民吗?”为题,认为他要以同样严格的准则来保障美国用户。
在周二的听证会上,朱克伯格则说:“不论我们是否套用完全一样的规管,我估总会有些分别,因为我们在美国和其他国家的敏感度不一样。”
的确,如何落实GDPR会对科技企业带来一大问题。例如新法列明个人资料要可以转移,那么不但instagram要开放让人下载自己的所有资料,facebook亦要想办法让他们的资料下载之余,在技术上还可以用于其他平台或用途。
凡此种种,将会是朱克伯格等靠科技发大财的人现在必须解答的难题。