大家的信箱裡最近可能常出現「提醒:服務條款和隱私權保護政策的重大更新」這類郵件。內容大致是告訴你,他們有多麼「重視隱私和透明,因此要讓你了解我們隱私政策的改變」。
這些做法其實和歐洲從星期五開始實施的「一般數據保護規範」(General Data Protection Regulation,簡稱GDPR)有關。這可以說是目前為止,全球最嚴格的線上數據規範。基於網路無國界的特性,這些規範的影響遠超過歐洲地區之外。
GDPR七大要點
- 境外生效:設於歐盟的企業或對像為歐盟公民的產品與服務,都受法例規範。
- 外洩通報:若有資料外洩,必須於72小時內通知歐洲數據保護機構;若涉敏感資料,須通知當事人。
- 明確同意:清楚詢問當事人是否同意提供某些具體個人資料;個人資料不可自動分拆給其他單位。
- 被遺忘權:當事人即使交出個人資料,亦有權要求將它們刪除。
- 反對建檔:當事人可以反對公司利用收集得來的資料,為他們建立個人檔案。
- 資料轉移:當事人可以下載所有個人資料,並轉移到其他平台使用。
- 天價罰則:最高罰款額為企業全球年度營業額的4%或2000萬歐元。
這是歐洲執委會在推特上對新法施行的宣告:
歐盟在推特上宣布:「今天數據保護的法令開始適用」,「歐洲人重新取回了對數據的掌控。歐洲宣告數位的宗主權,及數位時代的準備就緒。」
在美國矽谷,過去幾個月來谷歌、臉書和其他科技公司都忙著思考如何因應這些新規定,而在巴西、日本和南韓,則準備跟隨歐洲的腳步研擬類似的規定。歐洲也鼓勵各國仿效他們的做法,或將數據保護規定與一些貿易協定綁在一起,透過全球一致的行動來打破矽谷的大權獨攬。
歐洲正下定決心要扮演對抗科技巨頭的全球領導。除了「一般數據保護規範」之外,在歐盟總部,28個會員國的代表們針對矽谷的大公司,也正在制定更嚴格的「反托拉斯」規範以及更強硬的課稅方式。
相對歐洲的積極態度,美國過去對科技業可說是一直採取放任政策。近來為了對抗中國科技業來勢洶洶,川普政府更打算透過減稅這類保護主義的方式,強化美國科技業的競爭力。因此,歐盟在保護消費者隱私方面,立法明顯遠遠領先美國,而且更可能代表未來發展的趨勢。
目前,人們在瀏覽社群媒體、閱讀新聞、或是網上購物,必然會在網路留下大量個人的「資訊跡線」。按照GDPR這個新的隱私規範,以後個人將可以詢問企業持有了自己的哪些數據,並要求在一定時間內刪除。
公司在未來利用個人資料進行「目標行銷」(target marketing),如果不配合規範,可能面臨超過十億美元巨額的罰款。
歐洲政府主動鼓勵其他地區的國家也能跟進。歐盟官員在世界各地鼓吹更嚴格的立法。數據的保護也成了貿易談判的內容。其他國家如不跟進,可能會坐失歐洲五億人口的消費市場。主管消費者保護與隱私的歐盟執委朱洛瓦(Vera Jourova)未來幾週將赴日本和南韓商討數據保護。她形容科技的規範如今是「全球性的挑戰」。
去年日本通過了數據保護法,成了了新的獨立線上隱私委員會,而東京和布魯塞爾關於數據移轉的協議也在最後細節的討論階段。南韓正在研擬新的隱私法,以色列也訂定了資料外洩告知的新規定。巴西國會提出的個資保護法案幾乎和歐洲的新規範亦步亦趨,像是收集個資需事先徵得個人同意,以及對於政治立場、宗教信仰、性傾向、健康方面資訊保護的特殊規定。
為符合GDPR的規定,臉書和谷歌等公司動用大批團隊重新設計用戶的隱私設定。臉書說他們大約包括工程師、產品經理、律師等在內,大約有一千人投入設定的更新。
同時矽谷也正加強在歐盟遊說的力道。臉書創辦人祖克伯這星期來到了布魯塞爾,臉書今年在歐盟遊說費用是去年的兩倍,達到約250萬歐元。而谷歌和微軟更是排名前五名的歐盟遊說團體金主。
參考資料:CNN,New York Times