APEC在1999年設立電子商務指導小組(Electronic Commerce Steering Group, ECSG)。ECSG 於2003年成立個人資料隱私權保護分組(Data Privacy Sub-Group),研擬制訂《APEC隱私權保護原則》 (APEC Privacy Pri1nciples),以供亞太區域內之企業、消費大眾、法律協會以及保護隱私權的專家參考。APEC隱私權保護原則於2004年獲得APEC部長會議認可,成為APEC有關個人資料保護之最高指導綱領。
《APEC隱私權保護原則》主要規範個人資料蒐集、利用、儲存和移轉時應遵循的原則,與OECD之原則差異不大。但APEC隱私權保護原則的法律框架不具效力與可操作性,為了更加落實保護隱私權,APEC於於2005年通過《APEC隱私保護架構》(APEC Privacy Framework 2005),強調在現今資訊趨動 (information-driven) 經濟下,電子商務依賴跨境資訊流通,而消費者信心亦是重要因素。
歐盟於1995年頒佈《個人資料保護指令》(EU Directive 95/46/EC: the Data Protection Directive)作為歐盟各國提供個資保護立法的指導方針。歐盟各國對於國內個資法的訂定,仍然有較高的自主權,也因此歐盟會員國之間,對於個人資料保護相關法律多年來缺乏一致性。近年來由於雲端運算、行動互聯網、大數據等科技進步迅速,歐盟執委會於2012年1月提出資料保護改革法案。2015年歐盟執委會發佈歐洲「數位單一市場」(Digital Single Market)意圖整合歐盟數位經濟市場,並為未來的數位經濟發展奠定良好的法規基礎。2016年4月27日通過《個人資料保護規則》(the EU General Data Protection Regulation, GDPR),當年5月24日起生效,取代1995年的個人資料保護指令。保留兩年適應期,讓歐盟會員國有足夠時間完成國內立法工作,2018年5月25日全面實施。
APEC CBPR,以及歐盟的GDPR所要保障的個體隱私權(the right to personal privacy),跟消費者權益有直接且緊密的關聯。雖然在定義上,個體隱私的範圍可能更為寬廣。GDPR將個人資料區分為「一般個人資料」與「特種個人資料」。一般個人資料是指「有關識別或可得識別個資當事人的任何資訊」,也就是得以直接或間接地識別該個資當事人的資訊,特別是參考諸如姓名、身分證統一編號、位置資料、網路識別碼或一個、多個該當事人的身體、生理、基因、心理、經濟、文化或社會地位等具體因素等,其中包含透過網路IP位址、瀏覽紀錄產生的數位軌跡,並得追蹤識別特定當事人身分等皆屬之。特種個人資料是指「揭露人種、血統、政治意見、宗教、哲學信仰、工會身分、基因、生物特徵、健康相關、性生活與性傾向等資料」。特種個人資料原則上禁止處理。當一位消費者在網路上作任何消費、採購活動,必定會留下屬於他/她個人的一項或多項「一般個人資料」給相關網站的資料控管者(data controller)與處理者(data processor)。如果這些相關網站又將這位消費者的「一般個人資料」傳遞給任何第三方,例如廣告業者。在沒有GDPR保護之前,這樣的作法已經對該消費者製造了潛在的風險,亦即,消費者在未被明確告知的情況下,承擔了質量與種類都未知的「成本」。
就整體經濟社會來說,這個未被明確化的成本,事實上指出了廠商可明確計算的利潤,已被高估。亦即這當中存在「產出不變,利潤卻降低」的生產「無效率」現象,導致整體經濟社會的福利下降。經濟學者建議的解決方案,是將消費者莫名承擔的成本,重新劃歸給相關廠商,將外部成本予以內部化。
這正是APEC之隱私保護原則及歐盟GDPR努力的方向。短期而言,廠商需要負擔一些法遵方面的調整成本,長期來看,這些措施很可能是未來資料經濟(Data Economy)時代法規基礎建置的根基。儘早從事調整適應的工作,對我國廠商的國際競爭力及消費者權益保障,預期都會有正面之助益。