商業發展研究院研究員　傅中原

Facebook個資外洩事件應屬近期全球資訊安全上嚴重過失案件。該案件源起在於Facebook透過內部遊戲或心理測驗等工具，請求使用者提供相關個人資訊以順利完成遊戲或測驗之進行。但未經當事人同意之下，將其個資傳輸給「劍橋分析（Cambridge Analytica）」公司，而該公司將蒐集到的資訊，利用心理分析運算法等分析工具，進行客製化的廣告推播與行銷手段。直到最近，Facebook公布個資受到非法使用之消費者恐高達到8,700萬人。

資訊科技技術的進步促使跨國公司無時無刻進行消費者數據的蒐集，利用消費者回傳的數據並進行運算分析，進而提供消費者更貼心服務以及精準行銷策略。根據統計，到了2025年，全球預估將產生163萬億GB的數據，與2016年相比，將以10倍速的幅度增加，並且這些數據將主要集中在美中兩國的企業手上，如Google、阿里巴巴、Facebook以及Amazon等。另外，麥肯錫（McKinsey）也揭示未來商業經營模式將會以大數據作為分析基礎，代表誰能掌握數據就能取得消費者商機。

為了布局全球，跨國企業勢必將面臨消費者數據需跨境傳輸的需求。在此同時，各國政府也因應其國民個人資料恐遭有心利用，紛紛訂定跨境資訊傳輸保護相關法規以保護國民隱私不被非正當使用。

對於全球跨境資訊傳輸保護規則之建立，至今尚未有具體的合作框架與推動時程。不過已有些國際組織或國家訂有個人資料保護相關規則，如亞洲太平洋經濟合作會議（Asia-Pacific Economic Cooperation, APEC）、歐盟、新加坡、中國大陸、香港與澳洲等國，當中又以歐盟對於個人資料保護的機制較為健全。

歐盟於2016年通過「一般個人資料保護規則（the EU General Data Protection Regulation, GDPR）」，預計在2018年5月25日全面實施，且明文規定其會員國應遵循相關規定以提升境內個人資料與隱私權保護之強度。GDPR具體保護措施如提高隱私保護規定之法律位階、擴大原有資料保護適用範圍、企業應設置資料保護長等職位、個人資料蒐集與處理須取得當事人明確有效同意、強化個人資料可攜權、個人資料外洩應立即通報、建立資料保護設計制度、首創資料被遺忘權與反對權以保護使用者權利、對自動化分析之限制、要求企業進行資料保護影響評估、以及提高違反個人資料保護之罰金等措施，其立法目的是為了更全面地保護其國民之個人隱私並實踐對於人權保護之價值。

反觀我國，雖已制定《個人資料保護法》以保護我國國民個人資料，但從此次Facebook資料外洩事件亦凸顯我國在個人資料保護上仍有不足之處。例如我國對於個人資料保護適用範圍僅限於中華民國境內。但生效後的GDPR將保護適用範圍擴大於非設立於歐盟境內之資料管理者或受託者，代表Facebook有必要針對歐盟國民是否有個資外洩問題進行說明。倘若個資外洩事實存在，歐盟可依GDPR的規定向Facebook開罰。

我國政府也應從本次事件中思考如何兼顧促進數據傳輸與保護國民隱私之策略，以因應未來發生個人資料跨境使用而傷及消費者隱私的案件。

原文刊登：107/5/3-工商時報／A6政經八百