歐盟一般資料保護規則(General Data Protection Regulation, GDPR)實施前後,對數位經濟市場已經產生了影響。台灣是小型開放經濟,要發展國際貿易,不能不了解這個重要趨勢。
例如,以前臉書(Facebook)對個體資料的運用,是依循利潤極大化的原則,而不是基於保護個體的隱私。當時臉書使用條款中對使用者的不友善,使得用戶在自身沒有「主動」設定隱私「不公開」的情況下,第三方能藉由應用程式使用合約,取得使用者的個人資料。
臉書的劍橋分析事件就是臉書允許劍橋分析公司(Cambridge Analytica)製作「這是你的數位生活 ( this is your digital life )」的心理測驗應用程式。透過這個心理測驗獲得的個體數據,包含使用者的好友名單的個資,大約5,000萬人受到波及。當劍橋分析公司依這個條款使用個體資料時,臉書已為用戶製造了外部性(externality),這類外部性是一般用戶無法直接察覺的成本,就像工廠排放廢氣、廢水一樣,對多數人造成了污染,但並非每一個人都能明確估算污染的成本。不過對企業而言,卻從中收獲了利潤。可以視為典型的「以鄰為壑」。
GDPR是由法律經濟學的觀點切入,要幫忙解決過去網站業者加諸於個體的外部成本,藉由明確化外部成本的所有權歸屬,將外部性予以內部化,同時修正了市場失靈,也因此,會提高網路交易及資料經濟的運作效率。短期內,或許增加了企業的法令遵循成本,卻是一個符合全球性趨勢的正確方向,長期而言,有助於推動數位經濟的成長。
GDPR引用「歐洲保障人權和基本自由公約」(Convention for the Protection of Human Rights and Fundamental Freedoms)第8條第1款,明確表示每個人的《私人及家庭生活、其家庭以及其通訊隱私》的權利與自由必須受到尊重。GDPR植基於人權,試圖將個人資料的使用權、控制權重新交回個體(individuals)手上,以保障個人資料的安全。因此,臉書用戶將個人資料留在Facebook的資料處理中心,依照GDPR的標準,Facebook就同時具備了資料控管者(controllers)及處理者(processors)的雙重身份,必須做好善良管理人的角色。
短期來看,某些國家可能將GDPR視為非關稅貿易障礙。例如法務部在比對我國個資法之後,認為GDPR之規範對於台灣電子商務產業、對外貿易之企業將大幅提升其法規遵行成本,甚至形成貿易障礙。美國也有類似的看法,Burri and Schar 在2016的文章就認為GDPR可能妨礙創新、提高美國企業法遵成本,不如遵從市場機制及科技力量,符合效率原則也有助企業永續運作。
因此,GDPR在短期可能提高企業的營運成本,相當於對企業課徵關稅。看起來似乎是對歐盟以外國家,設置了新的非關稅貿易障礙(Non Tariff Barrier),有違公平競爭原則。但長期而言,GDPR對資料管理得好,跨境流通才能穩當進行,對經濟發展才有促進的作用。最近學者Greenleaf為瞭解歐盟個資法的標準是否已有成為「全球標準」(global standard)的趨勢,選擇了全球GDP前20大國家,研究其國內個資法納入歐盟個資法的情形,研究結果顯示,20個國家採用了6/10的歐盟個資法新條款。台灣採用了七條,高於20國的平均值,跟加拿大一樣,但優於紐西蘭、澳洲、香港、日本與新加坡。顯示台灣個資法與歐盟GDPR新條款之間的整合度已很高。這是我國政府與民間努力的成果。
總之,歐盟為世界第二大市場,與歐盟有商業往來的企業遍布全球每個角落,加上數位經濟快速成長,數位資訊容易跨境傳輸的特性,與歐盟經濟連結性越高的國家,受GDPR的影響也就越大,我們要逃都逃不掉。雖然GDPR保障的是歐洲人的隱私權,但這是進步的法律,也值得我們遵循學習。