上報/評論 2018.06.03
https://www.upmedia.mg/news_info.php?SerialNo=42054
把個人資料還給個人,聽來似乎天經地義,但其深層意義除了維護人權,未來更將改變數位經濟的遊戲規則。因為資料(data)既是數位經濟的重要原料,能夠輕易取得數位世界的各項資料、自由跨境傳輸,更是數位平台在全球壯大的關鍵。
向來,數位經濟的玩家們,早已習慣趁使用者不知不覺之間,收割、買賣使用者在網路世界的數位足跡:從瀏覽哪些頁面、搜索哪些關鍵字; 到PO哪些內容、分享給哪些朋友…所有網路免費服務的後面,都有一隻隻蠶食鯨吞的資料巨獸。
以三大科技巨擘為例:
Google,擅長以雙邊不對稱市場,藉由免費提供使用者便利的搜索服務,免費取得個人在Google搜索歷程中所留下的資料,進而運用這些資料販賣數位廣告。
Amazon,它基於使用者的購物歷程資料、優化商品推薦與動態價格,與其說是使用者在網海中找到自己想下單的商品,更不如說是Amazon 撒下海網,讓使用者絕不會錯過Amazon認為「他/她會下單購買的商品」。
Facebook,透過對使用者資料與社交網絡的全面掌握,Facebook不但可以販賣更精準的數位廣告、甚至在近來的劍橋分析醜聞中,大家還發現它也具有操縱政治選舉的黑暗功能。
雖然看似一切免費的商業服務,其實是因為使用者早就被徹頭徹尾的賣光換取而來。但人們卻也只能任憑宰割,對這些席捲全球的數位經濟巨擘,莫可奈何。如今,卻平空出現一項叫做GDPR的法律,要求大家再也不能在人們不知不覺之間,任意採集個人資料; 甚且,合法採集之後,這些資料仍然屬於個人掌控,個人可以要求刪除、可以要求更正、還可以在特定情況之下,要求「被遺忘」。讓人們重新掌握資料的自主權,這是GDPR的第一項重要意義。
此外,傳統法律的規範效力,習慣以地域為界,遇上可以橫跨各國時空的網路,往往就無能為力。就此而言,GDPR更展現另一項重要意義,提出一項網路規範的新原則:不再以「歐盟境內」做為法律規範的效力界限,而只要是「涉及歐盟人民的個人資料」均為規範效力所及。易言之,就算是一家從未進入歐盟境內的台灣公司,只要有一位歐盟會員國的客戶,當處理這位客戶的資料時,就必須符合GDPR的高規格。
假設這家台灣公司沒有達到標準,歐盟各會員國均有個資專責處理機構,並有專人負責監督GDPR的落實,這位歐盟客戶可以向專責機構提出陳情,而歐盟則可處高達兩千萬歐元(約7億台幣)或4%全球總營收(視何者為高)的罰款。
換言之,GDPR實施之後,數位經濟的原料成本將大幅提高,早已習慣任意採集、利用、跨境傳輸個人資料以投放廣告或運轉商業模式的企業,由奢入儉難,勢必得經過一段辛苦的陣痛期,嘗試在不能任意濫採個資的限制之下,建置符合GDPR的架構,或想出一些可避開GDPR、更有創意的商業模式。但對使用者而言,則可在法律保障之下、取得對個資的掌控權。長期而言,筆者認為,GDPR可以建立使用者對網路世界的信任、讓網路產業發展出更健康的遊戲規則。