歐洲動態: 臉書允全球適用GDPR 歐盟私隱法勝一仗

過去兩天,全球其中一個熱門話題是臉書老闆朱克伯格(Mark Zuckerberg)前往美國國會出席聽證會,就8700萬用戶的個人資料可能被數據分析公司「劍橋分析」(Cambridge Analytica)非法使用一事接受議員質詢。其中一個討論焦點是歐盟的《總資料保護法規》(General Data Protection Regulation,簡稱GDPR),不少美國議員似乎都認為引入類似GDPR法例是加強個人數據保障的好方法,其中眾議員Gene Green提問時,朱克伯格首度提出會把GDPR適用範圍擴至全球用戶(上面截圖來自Gene Green推特上的影片)。臉書近日的醜聞及聽證會,令GDPR的全球知名度大大提高,連負責推出並執行此法規的歐盟司法、消費者及性別平等專員尤露娃(Vera Jourova)也說要感謝朱克伯格幫手宣傳。



事實上,就算沒有臉書目前面對的醜聞,大家在未來數週也將不斷聽到有關GDPR的消息,因為這條法規將在5月25日生效,而且雖然這是歐盟法規,但全球所有會與外國做生意、或與外國人有接觸的公司或組織都會或多或少需要遵守這條法規,因此各位有實際需要認識這條法規。
相信不少地方的政府已向商界宣傳這法規。以香港為例,貿易發展局今年2月發佈相關簡短研究文章個人資料私隱專員公署在本月初發佈新聞稿,推出了企業如何適應GDPR的小冊子並供網絡下載。

GDPR是對歐盟1995年訂立的私隱法規作出的重大修訂,由於逾20年間,網絡使用興起,個人資料的形態起了很大變化,因此要修訂私隱法規,以跟上時代步伐,並大幅簡化及統一原本法規,把各種監管措施統一至GDPR。

GDPR最重要的改變是正式確立「域外適用」原則,除了控制或處理個人資料的組織身處歐盟而要接受監管外,在歐盟外的組織,只要符合以下3項條件的其中一項,都要遵守GDPR:

  • 1、向歐盟公民提供貨品或服務;
  • 2、監察歐盟公民的行為;
  • 3、處理並持有居歐人士的個人資料。


簡單而言,至少所有跟歐盟國家做生意的企業都納入法規內。

GDPR把「個人資料」定義得很廣泛,任何可以直接或間接用作辨識一個人的資料都是「個人資料」,例如姓名、照片、電郵地址、社交網絡上的帖文、電腦IP地址等等。

GDPR有關個人對自己資料的權利也比大部份國家廣泛,包括:

  • 1、同意:不少地方都會要求,組織使用其他人的個人資料時,要先徵得該人同意,但GDPR對徵求同意列出嚴格要求,包括徵求同意條款必須寫得淺白並容易取得,不能跟其他條款混在一起,組織亦要讓個人容易撤回個人資料使用的同意;
  • 2、資料外洩強制通知:如果有個人資料外洩,資料處理者要在得悉事件後72小時內通知資料被外洩了的人士及資料控制者;
  • 3、提高透明度:個人有取得個人資料的權利,有權要求相關組織確認,究竟他們是否在處理自己的個人資料,以及在哪裏和因什麼目的而處理,組織有責任免費向查詢的人士提供電子副本,講解其個人資料的被使用情況;
  • 4、被遺忘權:有權在某些條件下,要求自己的個人資料被刪除及停止發放;
  • 5、資料可攜權:可要求相關組織,以電腦可讀的形式,把自己在該組織的個人資料給予自己,並把這些資料轉移至另一組織。臉書在「劍橋分析」事件期間宣佈,用戶可匯出自己在臉書進行過什麼活動(例如讚好、發帖)的資料,其實更多是應付GDPR,有沒有「劍橋分析」事件,臉書都要作出這項修改;
  • 6、預設私隱:要求組織推出任何東西時,都要預設保障私隱,例如一開始就盡量不收集不必要的個人資料,而非設計好後,再研究如何保障個人資料。


朱克伯格在國會最新的說法,跟他數天前仍稱把GDPR延伸至其他地區的用戶有保留,例如有些地區或者不能這樣做,明顯更進一步。不過,他的說法始終有點滑頭,他被議員質詢,很堅持說各地用戶(對自己個人資料)的「控制」都會一樣,亦即如何設定自己私隱的方法一樣,按什麼鈕、點擊什麼是一致,但他頗避免說對各地用戶(個人資料)的「保障」一致,明顯是避開了上述提到的權利,顯示臉書內部仍在研究如何或者能否讓全球用戶都獲GDPR式待遇。而且,就算是延伸至全球,朱克伯格沒說過時間表,沒說過其他地方的用戶都是5月25日就適用。

但無論如何,對於近年不少國際議題都是中國或美國(或是中美聯手)話事而自己靠邊站的歐洲來說,有一件事是全球都覺得是要學習的模範,擁有道德領先地位,而且是在美國過往最不屑、認為歐盟是在實行保護主義的科技範疇,也算是歐洲/歐盟一大勝仗。

資料參考:
GDPR的教育網站

http://europechinese.blogspot.com/2018/04/blog-post_12.html

廣告