列印    關閉視窗 

一、GDPR核心精神:使用者有權控制個人資料

 

《經濟學人》在2017年,曾將資料比擬做數位世界的原油,是數位經濟的驅動器。而筆者亦在先前發表文章[1]中一再強調,目前幾家眾人耳熟能詳的科技巨擘,就是這些數位原油的壟斷大戶。但即使數位經濟的資料價值,並非什麼了不起的新發現,在GDPR出現之前,世上並沒有一個足夠力量的市場實體,企圖對現行數位經濟的資料運用邏輯,進行全面的改造。

 

因此,GDPR之所以甫一上場就如此轟動,除了它就個人資料保護的規定內容全面而且詳盡,歐盟市場夠大、歐盟管制實力夠強,也是極為重要的原因。在GDPR之前,並非沒有國家試圖透過修法、立法,改變現有數位經濟的遊戲規則。只是,以往科技巨擘們只要提出「退出市場」,市場實力不夠強大的國家,也只能默默選擇接受現況。換句話說,既然是世界數一數二的大經濟體歐盟推出了GDPR,數位經濟的大戶們,無法以「退出市場」做為籌碼,而只能忍痛遵守。

 

由個資保護的意義觀察,歐盟的GDPR固然為全球設立了隱私保護的高標準,但就數位經濟的意義而言,GDPR更改變了現有數位經濟的遊戲規則,並將個人資料的價值法制化。不過,GDPR究竟如何透過法律規定,達到上述的效果?有鑑於GDPR規定千頭萬緒,筆者在此擬介紹一個重要的GDPR概念:被遺忘權 (資料更正與刪除權),來說明GDPR的核心精神:使用者的個人資料,使用者有權控制。

 

二、GDPR的重要概念:被遺忘權的起源

 

被遺忘權的背景,乃因數位科技的進步,一方面人們可以輕易透過上網搜尋到各式各樣的資料,二方面許多個人資料或個人有關的內容也大量數位化,加總之後的結果,即是人們許多個人資料或與個人資料相關的內容數位化之後、走過必有數位痕跡、且數位痕跡難以抹滅,故產生「被遺忘」的需求,並衍生出法律上人們是否有「被遺忘的權利」之討論[2]

 

但人們有「被遺忘」的需求,大眾也有知的權利,法律上應如何平衡而建構此一權利的內涵? 上述問題遂成為「被遺忘權」的核心。做為一個有法律依據的法律權利,歐盟在1995年通過了《資料保護指令》(Data Protection Directive),在指令的12條中規定,當資料處理過程不符合指令規定或是資料不正確、不完整時,資料主體可要求刪除。該條條文中雖然沒有使用「遺忘」的字眼,但內容即有「被遺忘權」的基本概念,讓使用者於符合法定事由時,得主動要求刪除相關資料,讓相關資料「被遺忘」。

 

但法律規定是一回事,如何落實又是另一回事。尤其,1995年的《資料保護指令》,遇上2000年後爆炸式成長的網路個人資料,又將如何適用?

 

三、網路世界被遺忘權的案例

 

2010年,一名西班牙男子Mario Costeja González針對Google公司、西班牙Google公司以及一家西班牙媒體提起訴訟:原因是這名西班牙男子,過去曾因陷入財務危機而遭強制拍賣不動產的消息刊載於西班牙報紙上,但時過多年,只要在Google搜尋引擎上輸入當事人姓名的關鍵字,就可在Google搜尋引擎搜尋到這篇報導內容。這名西班牙男子認為拍賣已經是很多年前的事,債務也已經還清,該則報導不但有損他的名聲,也無關公益,因此要求該刊載的西班牙媒體移除該報導或相關資訊,並且要求西班牙Google公司及Google總公司移除有關於他的搜尋結果與網頁連結。

 

西班牙資料保護組織以新聞自由駁回該名西班牙男子對西班牙報紙的要求,但卻判決Google敗訴。Google不服上訴到西班牙高等法院,西班牙高等法院將此案移交給歐盟法院審理,並要求歐盟法院應就以下幾點爭點進行釐清:

 

  1. 1995年12月所通過的歐盟《資料保護指令》是否適用於Google等搜尋引擎?
  2. 有鑑於Google搜尋引擎系統服務提供係在美國總公司,歐盟《資料保護指令》的效力是否適用於西班牙Google公司?
  3. 個人是否有權利可要求將搜尋引擎可搜尋到的有關自己的個人資料進行刪除?(即被遺忘的權利)

歐盟法院則在2014年5月裁定Google敗訴,判決摘要如下:

 

  1. 關於歐盟規則的適用地:法院認為即使公司處理資訊的服務引擎系統是位於歐盟以外的地區,但只要該公司在歐盟成員國裡設有分支機構或子公司裡的搜尋引擎服務中有提供廣告服務,就應適用歐盟規則。
  2. 關於歐盟資料保護指令對搜尋引擎的適用性:法院認為搜尋引擎是個人資料的控制者。依據歐盟資料保護指令中資料主體得向資料控制者主張被遺忘的權利,亦適用於Google。
  3. 法院判決書中指出,個人應該有「被遺忘的權利」,如果以某人姓名進行搜尋,搜尋結果出現連向包含某人相關資訊的網頁,若其認為搜尋結果中的資料「不完整、不相干或已過時」,則資料主體(個人)可向企業要求刪除搜尋結果的連結。若搜尋引擎公司拒絕,他們可請求法院或資料保護當局介入處理。同時,法院也明確指出,「被遺忘的權利」不是絕對的,而是需要與言論自由、媒體自由等其他基本權利相平衡。必須考慮到有關資訊的類型、其對個人私人生活的敏感度以及公眾對獲取該資訊的興趣,這些都需要依個案評估。另外,請求刪除個人資料的人在公共生活中所發揮的作用,也可能需要納入考量。

 

歐盟此項判決,肯定了網路世界中、持有或運用個人資料的網路服務業者,應該負起保護個人資料的責任,也讓「被遺忘權」名聲大噪。

 

四、GDPR中的被遺忘權規定

 

如今GDPR,則進一步深化了上述「被遺忘權「的內涵:GDPR第17條主題即為被遺忘權(Right to be forgotten),又名刪除權(Right to erasure)。該條第1項明確規定各種資料主體得要求資料控制者刪除資料的情況:例如資料已經無關緊要、資料處理已經缺少合法性、資料處理過程不合法、資料依法應刪除等。與1995年的指令相比,GDPR對被遺忘權的事由規範更廣泛、更為細膩。

 

析而言之,GDPR第17條規定,內容分為三項:

 

第17條第1項規定為:資料主體有權要求資料控制者在無不當延誤地刪除有關其的個人資料,並且在下列理由之一的情況下,控制者有義務無不當延誤地刪除個人資料:

 

(a)就收集或以其他方式處理個人資料的目的而言,該個人資料不再是必要的;

(b)資料主體依第6條第1款(a)項或第9條第2款(a)項規定撤回同意,且在無其他有關資料處理的法律依據的情況下;

(c)資料主體依第21條第1款對資料處理提出反對,並且無有關資料處理的可超越的合法依據,或者資料主體依第21條第2款對資料處理提出反對;

(d)個人資料被違法處理;

(e)資料控制者為遵守歐盟或其成員國法律規定的法定義務,其個人資料必須被刪除者;

(f)個人資料是依第8條第1款所提及的資訊社會服務的提供而收集的。

 

第17條第2項規定為

 

如果資料控制者已將個人資料公開,並且依本條第1項有刪除這些個人資料的義務,資料控制者在考慮現有科技技術及實施成本後,應當採取合理步驟,包括技術措施、通知其他正在處理個人資料的資料控制者,資料主體已經要求這些資料控制者刪除有關該個人資料的任何連結、副本或複製件。

 

第17條第3項規定為:

 

當資料處理基於以下情形是必要時,第1項和第2項不應被適用之:

 

(a)為了行使言論和資訊自由的權利;

(b)為了遵守需要由歐盟或其成員國法律處理的法定義務,或為了公共利益或執行官方所授予資料控制者的職務權限者;

(c)依第9條第2款(h)、(i)項以及第9條第3款,為了公共衛生領域的公共利益者;

(d)根據第89條第1款,為了公共利益的存檔目的、科學或歷史研究目的或統計目的,第1項所述的權利可能導致以上目標為無法達成或很可能嚴重損害該處理目標的實現。

(e)為了設立、行使或捍衛合法權利。

 

五、小結:GDPR引起全球效應 台灣無法自外於其中

 

在上述2014年歐盟關於「被遺忘權」的判決出現之後,即便遠在亞洲的中國、日本、台灣,都有當事人援引「被遺忘權」的名詞,在法庭上主張自己在網路上的個人資料,基於種種原因,搜索引擎應該協助刪除。當然,上述國家並未如歐盟指令,有明確的「被遺忘權」法律依據。不過由此可見,「被遺忘權」的觀念與案例雖出現在歐盟,但這種「個人資料、個人掌控」的意識,對其他區域的人們,仍然產生了影響。

 

GDPR的出現,則將歐盟的個資保護概念對全球的影響,從意識層面擴及到法律層面。因為,GDPR不再以「歐盟境內」做為法律規範的效力界限,而只要是「涉及歐盟人民的個人資料」均為規範效力所及。易言之,GDPR已將法律對歐盟人民的保護,擴及到歐盟外的國家。

 

誠然,歐盟以外國家的人民,尚無法享受同樣的保障。但如同筆者在「被遺忘權」案例中所觀察到的,歐盟設下了標準,其他國家勢必將受到影響。畢竟,早在GDPR之前,許多國家也早注意到了數位經濟中資料不平等、或是本土產業受到擠壓的現象,希望透過法律改善;許多網民也苦於自己在數位世界「一旦走過,就無法抹滅痕跡」,希望能透過法律協助。

 

美國加州向來以科技新創的基地著稱,台灣也有許多科技、新創團體,絡繹不絕的前往矽谷取經。正在2018年6月底,GDPR生效後一個月,美國加州通過了跟GDPR極類似的「2018 加州消費者隱私法」(California Consumer Privacy Act, CCPA),論者皆謂是受了GDPR的影響。筆者認為,GDPR版的隱私法,出現在科技新創基地的加州,與其說是跌破大家眼鏡的偶然,不如說是對這些年來、人們對科技業者反彈的必然。

 

大勢所趨,在法律面上,台灣受GDPR影響的產業,或許沒那麼多,但GDPR的全球效應,台灣絕無法自外於其中。

 

作者江雅綺為台北科技大學智財所副教授/國發會GDPR諮詢委員

 


[1]江雅綺(2018),《GDPR:歐盟改變數位經濟的遊戲規則》,上報,https://www.upmedia.mg/news_info.php?SerialNo=420542018/6/30

[2]有關被遺忘權再進一步的探討,可參閱:江雅綺(2018),「BIG DATA時代:被遺忘的權利」,匯流、治理、通傳會論文集,彭芸與葉志良主編,頁197-216,風雲論壇出版,2018/8

最近更新: 2018-10-05