史上最嚴格個人資料保護法：GDPR

Next Article

再見，清大水漫

全球第一起關於「被遺忘權」的訴訟源於西班牙，一名西班牙男子於 2011 年向法院提出聲請，要求刪除一篇有關他 16 年前因陷入財政危機被迫拍賣物業的報導，該名男子認為他早已還清債務，但仍可以在 Google 上搜尋相關內容，影響他的名譽，而提出刪除連結的請求。歐盟法院最後裁定 Google 敗訴。判決出爐後，Google 隨即推出移除涉及個人資料的超連結，目前此服務僅限歐洲與澳洲。

GDPR是什麼？

GDPR 全名為Generla Data Protection Regulation（《一般資料保護規定》，以下簡稱 GDPR），是歐盟通過並適用的法律，此法已於 2018 年 5 月 25 日正式上路，代表著歐盟公民享有將其個人資料從網路上全面消除的權利，又稱為「被遺忘權」。因為 GDPR 屬歐盟條例而非指令，所以不需要歐盟成員國政府立法轉換成法律，即可直接適用歐盟成員國，GDPR 的規範亦延伸至所有處理歐盟住民的境外公司，影響範圍十分龐大。

怎樣的行為會違反 GDPR？

GDPR 的適用範圍十分廣泛，只要公司或網站有來自歐盟的用戶、分公司，或是與歐盟公司有商業往來，就必須遵守 GDPR 的規範。在網路如此發達的世代，基本上任何國際網站都要遵守這項規定。除了網站外，航空與信用卡公司是受到最多影響的。總體來說，只要握有歐盟客戶的資料，就會受到 GDPR 條款的約束。

至於違反 GDPR 的行為大致可分為三類：首先是「個人資料保護不周」，企業只要防護不周，就算個資沒有外洩也算違反。第二種是「脫離約定目的的使用」，未經當事人同意就將收集的個資，用於不相關的活動或是給予另一個機構，都是違反 GDPR 的行為。第三種為「給予當事人應有權利」，此權利包含「刪除」、「變更」及「移轉」等，若企業為執行個資風險評估，沒有提供保護機制或違法提供用戶個資等，最高可罰 2000 萬歐元（約台幣 7 億元）或全球營業額的 4％ 罰鍰。

各公司如何面對 GDPR

除了 Google 公司提出刪除個人資料的服務外，向來強調用戶隱私的蘋果公司也推出了新的資料隱私網站。在這個網站中，用戶可以獲得蘋果公司所掌握的個人資料副本，除 App Store、iTunes、Apple 實體商店的消費紀錄外，聯絡人、照片、文件等檔案也能透過此網站查詢，且用戶也可以選擇讓自己的 Apple ID失效，藉此禁止蘋果公司存取個資，目前新隱私網站已在歐盟地區開放，未來也會推行給全世界的用戶使用。

在用戶資料使用上一直有很大爭議的 Facebook，則是為了減少 GDPR 個資法可能帶來的衝擊，將原本隸屬於愛爾蘭國際總部管轄的 15 億名用戶移入美國總部，改用美國版的服務條款，以盼能最大幅度地減輕 GDPR 帶來的影響。目前只有 3.7 億名歐洲用戶仍隸屬愛爾蘭總部管理，並受到 GDPR 的資料條款保障，約佔臉書全球用戶數的 17.4％。

許多小型新創公司則選擇退出歐盟市場，像是共享租借平台 StreetLend，就宣布暫停服務。其創辦人認為 GDPR 讓新創公司暴露於被處以高額罰金的風險中，且 GDPR 有助於鞏固大型公司的市場地位。

台灣首起「被遺忘權」的訴訟

台灣首起被遺忘權的訴訟源頭即 2008 年轟動一時的假球案，案件當事人認為目前在 Google 仍可以搜索到當事人與假球案的不實報導連結，令他不堪其擾，而向 Google 提出移除相關連結的要求。法院在二審判決認為「打假球事件」攸關公共利益，判決 Google 無需移除相關搜索連結。

對建構被遺忘權的贊同者來說，被遺忘權的存在目的，是促進特定個人回歸社會的制度工具，如更生人常常因為網路上的資料造成就業困難，難以重回公共社會生活，行使被遺忘權可以幫助這些「被過去資料定義的人」重返社會，但必須是陳年已久的資訊，才得以提出被遺忘的請求。

反對方則認為，當事人要求刪除的內容往往涉及大眾利益，如同香港獨立媒體籌辦人林藹雲所言，被遺忘權會對編輯新聞帶來不利，並可能損害言論及新聞自由。

台灣個資法是否跟進

新世代金融基金會董事長陳沖，邀請前法務部長羅瑩雪等專家學者，檢視我國現行的個資法，提出十項修法建議，其中提到，大數據的運用對於企業及人民都有利，但仍須保護個人資料，修法方向應要從中取得平衡。在被遺忘權的部分，應在公共利益及個人權利間尋求平衡，若單純只存在商業利益間的行為應加強保護範圍，反之若涉及公共利益時（如性侵案件等）應可適當限縮。