臉書允全球適用ＧＤＰＲ 歐盟私隱法勝一仗

過去兩天，全球其中一個熱門話題是臉書老闆朱克伯格（Mark Zuckerberg）前往美國國會出席聽證會，就８７００萬用戶的個人資料可能被數據分析公司「劍橋分析」（Cambridge Analytica）非法使用一事接受議員質詢。其中一個討論焦點是歐盟的《總資料保護法規》（General Data Protection Regulation，簡稱ＧＤＰＲ），不少美國議員似乎都認為引入類似ＧＤＰＲ法例是加強個人數據保障的好方法，其中眾議員Gene Green提問時，朱克伯格首度提出會把ＧＤＰＲ適用範圍擴至全球用戶（上面截圖來自Gene Green推特上的影片）。臉書近日的醜聞及聽證會，令ＧＤＰＲ的全球知名度大大提高，連負責推出並執行此法規的歐盟司法、消費者及性別平等專員尤露娃（Vera Jourova）也說要感謝朱克伯格幫手宣傳。



事實上，就算沒有臉書目前面對的醜聞，大家在未來數週也將不斷聽到有關ＧＤＰＲ的消息，因為這條法規將在５月２５日生效，而且雖然這是歐盟法規，但全球所有會與外國做生意、或與外國人有接觸的公司或組織都會或多或少需要遵守這條法規，因此各位有實際需要認識這條法規。
相信不少地方的政府已向商界宣傳這法規。以香港為例，貿易發展局今年２月發佈相關簡短研究文章，個人資料私隱專員公署在本月初發佈新聞稿，推出了企業如何適應ＧＤＰＲ的小冊子並供網絡下載。

ＧＤＰＲ是對歐盟１９９５年訂立的私隱法規作出的重大修訂，由於逾２０年間，網絡使用興起，個人資料的形態起了很大變化，因此要修訂私隱法規，以跟上時代步伐，並大幅簡化及統一原本法規，把各種監管措施統一至ＧＤＰＲ。

ＧＤＰＲ最重要的改變是正式確立「域外適用」原則，除了控制或處理個人資料的組織身處歐盟而要接受監管外，在歐盟外的組織，只要符合以下３項條件的其中一項，都要遵守ＧＤＰＲ：

• １、向歐盟公民提供貨品或服務；
• ２、監察歐盟公民的行為；
• ３、處理並持有居歐人士的個人資料。

簡單而言，至少所有跟歐盟國家做生意的企業都納入法規內。

ＧＤＰＲ把「個人資料」定義得很廣泛，任何可以直接或間接用作辨識一個人的資料都是「個人資料」，例如姓名、照片、電郵地址、社交網絡上的帖文、電腦ＩＰ地址等等。

ＧＤＰＲ有關個人對自己資料的權利也比大部份國家廣泛，包括：

• １、同意：不少地方都會要求，組織使用其他人的個人資料時，要先徵得該人同意，但ＧＤＰＲ對徵求同意列出嚴格要求，包括徵求同意條款必須寫得淺白並容易取得，不能跟其他條款混在一起，組織亦要讓個人容易撤回個人資料使用的同意；
• ２、資料外洩強制通知：如果有個人資料外洩，資料處理者要在得悉事件後７２小時內通知資料被外洩了的人士及資料控制者；
• ３、提高透明度：個人有取得個人資料的權利，有權要求相關組織確認，究竟他們是否在處理自己的個人資料，以及在哪裏和因什麼目的而處理，組織有責任免費向查詢的人士提供電子副本，講解其個人資料的被使用情況；
• ４、被遺忘權：有權在某些條件下，要求自己的個人資料被刪除及停止發放；
• ５、資料可攜權：可要求相關組織，以電腦可讀的形式，把自己在該組織的個人資料給予自己，並把這些資料轉移至另一組織。臉書在「劍橋分析」事件期間宣佈，用戶可匯出自己在臉書進行過什麼活動（例如讚好、發帖）的資料，其實更多是應付ＧＤＰＲ，有沒有「劍橋分析」事件，臉書都要作出這項修改；
• ６、預設私隱：要求組織推出任何東西時，都要預設保障私隱，例如一開始就盡量不收集不必要的個人資料，而非設計好後，再研究如何保障個人資料。

朱克伯格在國會最新的說法，跟他數天前仍稱把ＧＤＰＲ延伸至其他地區的用戶有保留，例如有些地區或者不能這樣做，明顯更進一步。不過，他的說法始終有點滑頭，他被議員質詢，很堅持說各地用戶（對自己個人資料）的「控制」都會一樣，亦即如何設定自己私隱的方法一樣，按什麼鈕、點擊什麼是一致，但他頗避免說對各地用戶（個人資料）的「保障」一致，明顯是避開了上述提到的權利，顯示臉書內部仍在研究如何或者能否讓全球用戶都獲ＧＤＰＲ式待遇。而且，就算是延伸至全球，朱克伯格沒說過時間表，沒說過其他地方的用戶都是５月２５日就適用。

但無論如何，對於近年不少國際議題都是中國或美國（或是中美聯手）話事而自己靠邊站的歐洲來說，有一件事是全球都覺得是要學習的模範，擁有道德領先地位，而且是在美國過往最不屑、認為歐盟是在實行保護主義的科技範疇，也算是歐洲／歐盟一大勝仗。

資料參考：
ＧＤＰＲ的教育網站