便利與安全難以兩全其美,當今網路安全,特別是電子商務安全,包括完整性、不可否認性、身分辨識性、機密性、可取得性及隱私性等六個構面,前五項可透過技術設備等獲得確保,唯獨第六項隱私性,掌握在使用者自己手中。
你的隱私,是科技業者的金礦。聯合報願景工程喚起民眾對數位足跡的新人權保衛戰;資訊是新時代的新資源,搶奪數位資源如同原油能源般重要。
國內對敏感性個資保護不足,例如衛福部將全國民眾的健康、疾病、用藥等資料提供學術研究,但這些都屬於原本健保法蒐集個資的「目的外利用」,依日本及歐盟規定,不但應告知當事人、且要讓人民有選擇退出的權利,但目前連最基本的告知都沒做到。
有識之士提醒,應提升到國家層級,政府成立專門的隱私研究和保護單位,否則問題恐怕會愈來愈複雜和嚴重。
政府應師法歐盟規範,歐盟「一般資料保護規則」(GDPR)於去年五月上路,其中某些條款對資料隱私提出更高的要求,例如關於「個人圖像」(profiling)規定,以及「被遺忘權」,說明如下:「資料主體有權從控制者那裡獲得與他(她)有關的個人資料的刪除,沒有不當拖延,並且如果某種理由適用,控制人有義務刪除個人資料。譬如當資料不再需要用於其初始目的時…。」其他如撤回同意權,對資料控制器和處理器提出了很高要求,包括設計和默認資料保護、記錄所有處理活動。
總公司位於東京的生物識別服務公司Liquid,因提供經本人指紋認證即可進行消費結帳系統,即收到許多來自歐洲的郵件,要求刪除個人在日本旅行逗留期間所登錄的指紋數據,其主張便是依據GDPR的刪除權。也有手遊業者接到玩家要求公開如何處理取得的個資。
GDPR將個人資料定義為可用於識別個人的任何內容,包括如姓名、電子郵件、社會安全號碼、IP地址、電話、位置資料、出生日期及與遺傳、經濟、文化或社會認同相關的其他資訊。由於適用範圍及於歐盟境外,又加重企業相關責任,且禁止個資跨境傳送,IT風險已影響企業經營,一罰就是集團全球營收四%,各國都嚴陣以待。
一般來說,金融、航空及電子商務三大產業受影響最大。中國大陸和美國一些公司試圖遵守GDPR,例如華為任命資料保護長;YouTube則停止支持歐洲預訂購買的第三方廣告服務。但中國小米旗下的智能照明設備公司Yeelight,則選擇不再向歐洲用戶提供服務。
Facebook及其子公司WhatsApp和Instagram及谷歌在GDPR生效後幾個小時立即被「強迫同意」,亦即採取歐盟的「選擇加入」,在傳送資訊或促銷訊息給消費者前,先向消費者取得許可的策略。這些案例都反映了企業與歐盟的商業活動,不止受GDPR影響,其法遵也影響到產業競爭力。
對這些網路新應用或新服務,百姓無力對抗科技巨擘,非提升到國家層級不可,並積極以歐盟為師,捍衛新人權。
本文由聯合報系授權轉載