為了取代 1995 年制訂,早已不堪使用的《數據保護指令》,歐盟於 2016 年通過,並於 2018 年 5 月 25 日正式生效的「歐盟一般資料保護規範」(General Data Protection Regulation,縮寫為 GDPR)。GDPR 條文多達 99 條,盡量全面地考慮到網路普及後大量出現的社會問題,加入以「被遺忘權」延伸的各種人權觀念,制訂出被稱為史上最嚴格的個資法。
2018 年 GDPR 施行首日,一個名為 NOYB 的組織就對 Google、Facebook、WhatsApp 及Instagram 提出巨額訴訟。NOYB 創辦人 Max Schrems 律師主張,這些大型跨國公司多已針對 GDPR 推出新的政策與服務,不過用戶最終只能選擇接受個資被「合理」使用,或乾脆放棄使用該平台/服務,違反 GDPR 原則。
小蝦米控告 Facebook 一戰成名
NOYB 創辦人是一名來自奧地利隱私權律師 Max Schrems,他在學生時期(2014 年)便在「安全港事件」中槓上 Facebook,以集體訴訟的方式禁止 Facebook 將歐洲用戶的資料傳送到美國,並要求 Facebook 賠償 2 萬 5 千位歐盟內的共同提告人各 500 歐元。(其實共有 5 萬 5 千人響應,最後按照原訂計畫讓前 2 萬 5 千位登記人參與訴訟)
最後歐洲法院裁定《安全港協議》無法充分保護歐盟公民個人資料,美國與歐盟在 2000 年簽訂的《安全港協定》應予撤銷。Max Schrems 因勝訴而在科技界出名,不過他強調,提出訴訟並不是為了賺錢,而是希望 Facebook 能夠重視用戶隱私,調整內部業務行為。
2017 年 Max Schrems 創辦非營利組織 NOYB – European Center for Digital Rights,並經營非營利法律網站 noyb.eu,持續捍衛普羅大眾的網路隱私權。組織名稱縮寫自 None of Your Business,不關你的事,或可以解釋成「用戶的隱私權不是你的賺錢工具」。
你的權利不是你的權利?
去年對 Google 與 Facebook 等社群軟體開出第一槍後,NOYB 今年瞄準 Amazon Prime、Apple Music、Netflix、Spotify、Youtube、Soundcloud、DAZN 及 Flimmit 提出控訴。這次 NOYB 代表的只有 10 位用戶。他們向奧地利資料保護署投訴這 8 間線上串流媒體/平台違反 GDPR 第 15 條保障的「資料主體之接近使用權」。
GDPR 第 15 條近用權(Right of access)保障所有歐洲公民取用公司所擁有的個人資料的權利,包括數據處理之目的、個人資料所涉及之類型、已揭露或將予揭露個資接收者或接收者類型、個資被儲存之預期期間、及更正或刪除等權利。
NOYB 與 10 位平台使用者合作,向不同的平台提出查詢閱覽個人資料的請求,遺憾地,沒有任何平台提供 GDPR 第 15 條規定的所有資訊。NOYB 整理,除了點播平台 Flimmit,沒有任和平台提供完整的原始檔案;Netflix 和 Flimmit 雖然回覆時間最常,卻提供了易懂的數據,和部分背景資訊,是 8 家企業中回覆最詳細的;運動賽事平台 DAZN 和線上音樂分享平臺 SoundCloud 則根本沒有回覆。
科技大佬只做半套
Max Schrems 在一份聲明中表示,目前許多企業都已經設置自動化系統,回應用戶對於查詢個資的要求,但是這些系統自動回覆,或主動顯示的往往只有最原始的數據,比如 Instagram 會告訴你每天掛在 Instagram 上的時間,卻不會告訴你有多少公司知道你的貼文頻率或喜歡哪種類型的貼文。「這導致用戶的權益受到結構性的侵犯,因為這些系統的設置是為了隱瞞相關訊息。」Max Schrems 指控。
遭到天后 Taylor Swift 與許多音樂人抵制的 Spotify 喊冤,認為自己「非常重視數據隱私和我們對用戶的義務。我們致力於遵守所有相關的國家和國際法律法規,包括我們認為我們完全遵守 GDPR 義務。」然而在 NOYB 隨堂測驗中只拿到一個 Okay。
Amazon 也做出差不多的回應, 還推出新的「隱私幫助」頁面,向用戶展示該如何在平台上控制訊息隱私。
誰會坐上國會聽證會的椅子
根據 GDPR 規定,若以上控告屬實,這 8 間公司將面對 2 千萬歐元(折合台幣 7 億)或全年營收 4% 的罰款。(詳見表格)
為何總部不屬於歐盟會員國的 Apple 和 Amazon 也在指控名單內呢?那是因為 GDPR 的強制力不僅限於歐盟會員國,只要擁有歐盟公民的個資,不論是企業、非營利組織甚至是政府機構或,都成為 GDPR 規範對象。簡單說若你還想和歐盟國家做生意(或募款),恪守 GDPR 便是義務。
Facebook、Twitter和 Google 在 2018 年都因為隱私保護問題被要求出席美國聽證會,若以上被點名的公司/平台仍無法符合 GDPR 規範,除了巨額罰款,公司高層都得做好準備出席國會聽證會,Facebook 創辦人馬克‧祖克柏去年因為「劍橋分析事件」坐上美國聽證會的那張不甚舒適的椅子,他還特別加了張坐墊。或許,歐盟的椅子會比美國好坐一點?