美國網媒 Politico 星期二發佈在白宮專訪總統川普的訪問 ,川普進一步抨擊歐洲,稱歐洲是一堆「腐爛」(decaying)國家,由一批「軟弱」(weak)領袖領導,他們未能控制移民湧入,亦無力結束俄烏戰爭。
事實上,就算沒有臉書目前面對的醜聞,大家在未來數週也將不斷聽到有關GDPR的消息,因為這條法規將在5月25日生效,而且雖然這是歐盟法規,但全球所有會與外國做生意、或與外國人有接觸的公司或組織都會或多或少需要遵守這條法規,因此各位有實際需要認識這條法規。
相信不少地方的政府已向商界宣傳這法規。以香港為例,貿易發展局今年2月發佈相關簡短研究文章,個人資料私隱專員公署在本月初發佈新聞稿,推出了企業如何適應GDPR的小冊子並供網絡下載。
GDPR是對歐盟1995年訂立的私隱法規作出的重大修訂,由於逾20年間,網絡使用興起,個人資料的形態起了很大變化,因此要修訂私隱法規,以跟上時代步伐,並大幅簡化及統一原本法規,把各種監管措施統一至GDPR。
GDPR最重要的改變是正式確立「域外適用」原則,除了控制或處理個人資料的組織身處歐盟而要接受監管外,在歐盟外的組織,只要符合以下3項條件的其中一項,都要遵守GDPR:
- 1、向歐盟公民提供貨品或服務;
- 2、監察歐盟公民的行為;
- 3、處理並持有居歐人士的個人資料。
簡單而言,至少所有跟歐盟國家做生意的企業都納入法規內。
GDPR把「個人資料」定義得很廣泛,任何可以直接或間接用作辨識一個人的資料都是「個人資料」,例如姓名、照片、電郵地址、社交網絡上的帖文、電腦IP地址等等。
GDPR有關個人對自己資料的權利也比大部份國家廣泛,包括:
- 1、同意:不少地方都會要求,組織使用其他人的個人資料時,要先徵得該人同意,但GDPR對徵求同意列出嚴格要求,包括徵求同意條款必須寫得淺白並容易取得,不能跟其他條款混在一起,組織亦要讓個人容易撤回個人資料使用的同意;
- 2、資料外洩強制通知:如果有個人資料外洩,資料處理者要在得悉事件後72小時內通知資料被外洩了的人士及資料控制者;
- 3、提高透明度:個人有取得個人資料的權利,有權要求相關組織確認,究竟他們是否在處理自己的個人資料,以及在哪裏和因什麼目的而處理,組織有責任免費向查詢的人士提供電子副本,講解其個人資料的被使用情況;
- 4、被遺忘權:有權在某些條件下,要求自己的個人資料被刪除及停止發放;
- 5、資料可攜權:可要求相關組織,以電腦可讀的形式,把自己在該組織的個人資料給予自己,並把這些資料轉移至另一組織。臉書在「劍橋分析」事件期間宣佈,用戶可匯出自己在臉書進行過什麼活動(例如讚好、發帖)的資料,其實更多是應付GDPR,有沒有「劍橋分析」事件,臉書都要作出這項修改;
- 6、預設私隱:要求組織推出任何東西時,都要預設保障私隱,例如一開始就盡量不收集不必要的個人資料,而非設計好後,再研究如何保障個人資料。
朱克伯格在國會最新的說法,跟他數天前仍稱把GDPR延伸至其他地區的用戶有保留,例如有些地區或者不能這樣做,明顯更進一步。不過,他的說法始終有點滑頭,他被議員質詢,很堅持說各地用戶(對自己個人資料)的「控制」都會一樣,亦即如何設定自己私隱的方法一樣,按什麼鈕、點擊什麼是一致,但他頗避免說對各地用戶(個人資料)的「保障」一致,明顯是避開了上述提到的權利,顯示臉書內部仍在研究如何或者能否讓全球用戶都獲GDPR式待遇。而且,就算是延伸至全球,朱克伯格沒說過時間表,沒說過其他地方的用戶都是5月25日就適用。
但無論如何,對於近年不少國際議題都是中國或美國(或是中美聯手)話事而自己靠邊站的歐洲來說,有一件事是全球都覺得是要學習的模範,擁有道德領先地位,而且是在美國過往最不屑、認為歐盟是在實行保護主義的科技範疇,也算是歐洲/歐盟一大勝仗。
資料參考:
GDPR的教育網站