法國個人資料保護主管機關「國家資訊自由委員會」(CNIL)23日做出重大判決,以Google違反歐盟一般資料保護法(GDPR)為由重罰5,000萬歐元,相當於新台幣17.6億元。這不僅是去年GDPR上路後的第一起判決,更是數位信任的攻防戰,同時因為Google是數位企業領頭羊,未來勢必牽動全球數位經濟的發展。
事件起源於法國CNIL收到資訊隱私倡議團體None of Your Business(Noyb)和La Quadrature du Net(LQDN)兩個機構的投訴,表示 Google 沒有清楚說明個人資料的使用。CNIL在去年9月啟動調查後,發現Google有二項違法事實。首先,Google所提供關於個人資料的使用說明,包括資料處理用途、資料儲存期間或用於個人化廣告的情況,散佈在系統的多處。用戶不清楚如何取得,也不容易取得。而且這些授權文件對於個資的使用說明皆過於簡略、模糊,用戶無法全盤理解Google個資使用的運作。
其次,由於沒有清楚的說明,因此大多數用戶根本不知道按下「同意」等於授權將個資提供給「Google服務」、「Google的廣告合作夥伴網站和應用程式」使用。雖然Google強調可以透過「個人化廣告設定」選擇是否同意個資使用,但該項目亦沒有清楚說明,只要同意個資就會被用於Google搜尋、Youtube、Google Map、PlayStore及Google相片等20多種Google的服務。
值得注意的是,這可能是全球個資保護法的開端。去年GDPR上路後,Facebook也被提出違反GDPR的指控,同時Noyb於1月21日也控告Amazon、蘋果、Netflix、Youtube等8家串流媒體平台違反了GDPR的使用者資訊存取權。另外美國消費者保護團體也要求美國應該要跟進。日本也傳出將修訂《電氣通信事業法》,以監管跨國科技巨頭在隱私保護政策上必須符合日本的「通訊保密」規定,並要求在日本派駐代理商,不只包括美國的科技巨頭,騰訊、阿里巴巴等中國企業及其他國家企業也都在監管範圍內。
GDPR雖然才剛剛起步,但卻已在全球掀起巨浪,GDPR雖然是歐盟的法規,但因為數位經濟外部性、無國界等特性,這些數位經濟跨國企業,不可能跳過歐盟市場。換言之,未來GDPR有可能成為全球個人隱私規則。
此外從競爭的角度來看,有人認為GDPR是為了反美國高科技公司擴展的手段。GDPR雖以保護個人資料為出發點,而數位經濟的本質來自於數據(data)的應用,而個人資料正是最關鍵的部份,精準行銷、精準生產、平台經濟、人工智慧等都是因為有大量使用者、大量的數據才能形成的商業模式。為了要符合GDPR的要求,企業勢必要投入相當的成本因應, 雖不至於阻礙數位經濟發展,但的確是十分有效的管理機制,特別是限制來自國外的大企業,換言之,個資法恐怕將會是數位經濟下各國政府間競爭的工具。
回過頭來看台灣,在GDPR正式上路後, 國發會也成立「個人資料保護專案辦公室」,以加強跨部會因應GDPR事宜之協調整合,並負責統籌各部會向歐盟申請適足性認定事宜。政府已經意識到在數位時代下個人資料保護的重要性,但可惜的是,目前的作法著重整合因應GDPR相關事宜,及向歐盟申請適足性認定工作,關於個資法的修訂與時俱進仍沒有明確的時程,這點政府應該要加把勁。
對比美國、歐洲等先進國家都有專門的部門機關負責個人資料保護的推動,例如美國的聯邦貿易委員會(Federal Trade Commission,FTC)早在1914年就成立,是直屬聯邦政府的獨立機構,其主要任務是促進消費者保護及消除強迫性壟斷等反競爭性商業行為。國發會雖成立專案辦公室,但位階不高,個人資料保護在數位時代扮演的角色愈來愈吃重,美歐等先進國家都設立獨立機構負責相關事宜,台灣也應該跟進。
從GDPR修法過程到法國重罰Google都指出了個人資料保護的重要性,且這個浪潮恐怕很快就會從歐洲吹到全球。這是國際化不能回避的課題,也是所有數位化企業必須優先克服的關卡。台灣不只要思考怎麼做,更要趕快做,才能趨吉避凶。