lego logo
Data privacy in the GDPR era: What will the Internet look like?
2018-06-01

互聯網剛興起的時候,有一句笑話十分流行:「在互聯網上,沒有人知道你是條狗」;20多年後,事實是這句話已徹底相反。今天互聯網公司比我們更了解自己的思想和行為。

斯諾登的影響

斯諾登2013年揭露美國NSA利用科技公司提供的後門監控整個互聯網,直接促使歐盟繼1995年的《個人資料保護指令》(Data Protection Directive)以來,推行最大規模的個人資料保護法規改革,成為互聯網時代私隱條例的新標準。近日電郵信箱都被電郵塞滿,網上服務紛紛更新私隱政策,要求用戶重新同意繼續接收通訊。

更為複雜、嚴謹的GDPR生效之後,對於「 用戶數據換便利」的互聯網經濟、跨境電子商貿、大數據、雲端運算服務、AI應用等會造成怎樣的影響?

2016年4月,歐盟發表了全球稱為最嚴的《通用資料保護規則》(General Data Protection Regulation, GDPR),於上周五(25日)開始生效。

GDPR擴大了個人資料保護範圍,包含IP地址、瀏覽紀錄cookie、位置資訊和生物特徵,並給予個人對個人資料使用的控制權、知情權、要求刪除的權利,亦要求機構須「合理使用」個人資料和事先獲得明確的同意。個人亦有權避免資料被自動分析、要求解釋和數據可轉移。

GDPR適用範圍包括全球,即使不在歐盟境內處理收集到的個人資料,任何企業只要向歐盟市場或用戶提供產品或服務,都會受到規管並須聘任「資料保障主任」。

除了資料當事人之外,蒐集、處理和利用個人資料的組織,包括目前在香港不受私隱條例明文規管的資料處理者,同樣須遵守法例的規定,包括保障資料安全和通報資料洩漏事件。

GDPR適用於各行各業,跨國公司兩年前已開始改變政策應付,中小企大部分仍未了解法規的複雜內容,在香港有歐洲業務的公司亦擔心受波及。

歐盟各國的私隱/資料規管部門有權對違規的企業徵收罰款,違規嚴重者最高可罰2000萬歐羅或全球年度銷售額4%。為免巨額罰款的風險,部分公司例如Pinterest旗下的Instapaper,決定暫時屏蔽歐盟地區用戶,更有公司甚至索性關閉歐洲業務。

法例生效短短幾天已經立竿見影,科技公司任意運用用戶數據、未經許可地進行數據分析和應用的時代似乎不再。

GDPR生效後數天,有奧地利倡議私隱權的民間團體分別向奧地利、比利時、法國和德國的監管部門投訴,指多家美國科企,如Facebook、Google、Instagram及WhatsApp等要求使用者必須接受強制的私隱規定,否則無法使用是違反GDPR規定。

大規模收集、處理和應用數據的大數據產業鏈在GDPR之下,面對更嚴格的規範。不少雲端服務供應商早已作出部署,提供可以直接使用並簡化合規的服務,例如賬號刪除、容許用戶下載個人數據等。

GDPR灰色地帶

人工智能牽涉不只是個人數據私隱,更是如何避免演算法歧視。未來更多決定不再由人類進行,而是依賴複雜的統計模型和演算法作自動處理,例如追蹤用戶的社交關係、消費和行為模式,幫助計算貸款、保險費用、分析求職申請,甚至處理福利申請。

其他發展迅速的科技應用亦須要考慮私隱問題。例如電子商貿平台蒐集用戶社交網絡發帖與購物紀錄分析、對監控錄像進行臉孔識別、分析程式用戶位置紀錄提供廣告,都屬於GDPR內的灰色地帶。

GDPR關於「自動化個人決策」的部分,列明對個人有法律或重大影響的決定,不得基於種族、政治立場、宗教與哲學信仰、商業關係等敏感個人資料,而個人亦有「要求解釋的權力」。怎樣解釋程式的邏輯和判斷結果是否正確?寫演算法的人可能日後須要解釋可預見的影響,令自動化判斷變得更易理解。

若企業開發有機會面向歐洲市場個人資料的物聯網、機器學習、人工智能和大數據分析項目,便須在設計過程融入Privacy By Design,及早研究會否違反GDPR的規定。要符合GDPR規定的難度不低,因為各國如何演繹條文和落實執法,仍有待觀察。

雖然香港仍未有計劃把私隱保障提高到GDPR的水平,政府在考慮提高演算法透明度、用戶對個人資料的控制和自主權時,亦須考慮如何在私隱保障和推動創新之間取得平衡。研究如何把私隱保障化為行業新機遇,不失為一個值得研究的方向。

Office Of Hon. Charles Mok, Legislative Councillor (IT)