臉書映出企業個資危機　現況不改必遭GDPR重罰

臉書除了對舊事件道歉改進外，也需因應新法規，因為今年5月25日將施行歐盟新版個資法（GDPR）。該法是歐洲議會於2016年4月27日通過，更強化個資保護，以因應科技不斷進步及資訊過度氾濫對個資隱私的衝擊。GDPR歷經約2年的緩衝期，其受到全世界重視的原因除了更周延的個資保護外，主要有二：1.不論在歐盟是否設有據點，只要有蒐集、處理及利用歐盟居民個資，就會受到規範；2.違反者將可能受到鉅額罰鍰，最高可處以2千萬歐元或企業全球營業額的4%。

劍橋分析事件

本事件緣起於2014年間劍橋大學心理學家Aleksandr Kogan設計出一款心理測驗APP，名為「這是你的數位生活」（thisisyourdigitallife）。Kogan另與「劍橋分析」（Cambridge Analytica）這家數據分析兼政治顧問的公司進行合作，假心理測驗與學術研究之名，於臉書上推出這款APP，獲得約27萬名用戶的參與並取得其個資，更進而獲取他們朋友的資料，原本估計獲取5千萬名用戶個資，後來更新為高達8千7百萬名的用戶個資。

劍橋分析取得這些龐大的用戶個資涉嫌不當干涉2016年的美國總統大選及其他包括英國脫歐在內的許多政治活動，因這些資料經過大數據分析可評估選民投票意向，亦可藉由真假消息與廣告放送，影響社會輿論走向。

臉書辯稱用戶個資是經過用戶同意而提供給第三方，但當時之同意機制似嫌寬鬆。此外，當臉書於2015年間發現劍橋分析濫用用戶個資時，雖刪除該APP，並要求劍橋分析也應將蒐集的資料刪除，卻未取得確實證據以確認對方是否刪除，也未告知受影響的用戶。若以高標準的GDPR個資保護與通報機制來檢驗，臉書過往的運作模式如故態復萌應會遭受歐盟重罰。

企業應重視個資保護機制

關於個資的蒐集、處理及利用，原則上須先告知當事人關於個資法所定事項並獲其同意始可進行。GDPR更強化告知後同意的機制，規定「告知」必須讓人容易理解且以清楚淺白的語言為之，「同意」則必須確實且係基於自由決定，並容許當事人撤回同意。此外，GDPR增加個資當事人的權益如被遺忘權（要求業者刪除個資）、個資可攜權（要求將個資由原服務業者轉移至其他業者）等，亦要求在一定條件下應設置資料保護長。GDPR另規定於發現個資侵害事件，應於72小時通報用戶。像臉書這樣大的公司因劍橋分析事件被燒得焦頭爛額，也面臨遵循GDPR的壓力，我國企業亦不容輕忽用戶個資的保護議題。

進一步從劍橋分析事件來看，臉書用戶會同意心理測驗的APP取得其個資，應該是想說做個心理測驗也沒什麼大不了，畢竟想瞭解自己的心理素質，本來就需要提供一些自己的個資才能測得準，沒想到居然遭劍橋分析用於政治行銷用途。我們可以從幾個面向來探索用戶個資保護如何補強：

1. 直接蒐集個資者，例如臉書及APP（如用戶在前述心理測驗APP填寫個資）直接蒐集用戶個資的情形，固應取得用戶同意，但應先誠實告知蒐集個資之目的，且應僅限於該目的範圍內之利用。如須進行超過原先目的之利用，應再取得用戶同意。更重要的是，告知與同意機制應簡單清楚，不能模糊繁瑣。

2. 間接蒐集用戶個資者，例如臉書上的APP與廣告也會藉由臉書間接取得用戶個資，亦即透過保有其他已蒐集到用戶個資的第三方取得該個資的情形，本質上也是一種蒐集行為，也可能被認為還是應取得該用戶同意。縱認間接蒐集者依個案情形得無須同意而取得用戶個資，原則上亦應告知用戶其蒐集目的與利用方式等事項。

3. 直接蒐集個資者將用戶個資提供予合作廠商的行為，其實也是屬於個資利用的一種類型，亦應告知並取得用戶同意。

4. 當發生用戶個資外洩或不當利用事件，應儘速通報用戶，使其得以做適當防衛處理。

高度透明的個資保護提案

對於個資保護，光靠同意其實還不夠，因為同意可能會被業者巧妙架空。要將個資保護做到更好，可考慮賦予用戶更大的知情權，也就是對於蒐集者「實際上」如何利用個資之情形，用戶能定期收到相關資訊匯報，也能隨時主動查詢結果。如此一來，用戶因為知情而將更有警覺並審慎提供個資。

以臉書為例，除了讓用戶能瞭解自己在臉書使用活動的歷史記錄（包括貼文、PO照、按讚等）之外，也能夠知道臉書將用戶的資料提供給哪些第三方廣告商與APP業者以及如何被利用，甚至對於哪些人有看過用戶自己的臉書活動也能充分瞭解。這種作法就是要求臉書等業者提供極高的透明度，對於用戶個資之保護自然更為周全。因為不僅做到告知後同意，還進一步做到同意後繼續告知，但此舉對於企業平台之營運發展恐造成阻礙（例如當瀏覽他人臉書資訊會被他人知情時，可能會降低民眾使用臉書的意願），也會增加高額成本，似非新創事業所得負擔，短期內恐難獲得共識而落實，尚須持續研析適當對策。

＜本文作者：陳佑寰，目前為執業律師。國立台灣大學法學碩士，美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。＞