你所不知的GDPR效應:大平台毫髮無傷,小公司損失是平均值的兩倍

你所不知的GDPR效應:大平台毫髮無傷,小公司損失是平均值的兩倍
歐盟於2018年開始實施《個人資料保護規則》(GDPR),影響許多企業營運。圖片來源:Shutterstock
2022-05-17
文・李崇僖(台北醫學大學人文暨社會科學院副院長)
20029
歐盟在2016年制定、2018年五月開始施行的《個人資料保護規則》(General Data Protection Regulation,以下簡稱GDPR),是個備受國際關注的法規,在我國也經常有相關討論。

可惜多數國人討論此制度時,僅讀其法規條文而自行詮釋與引申,絕少將其置於整體歐盟發展戰略的角度來評析,遑論客觀檢討該法規對各國及歐盟帶來的利弊影響。

GDPR施行至本月正好滿四年,此時應可客觀檢討該法規的意義與影響;本文藉此向國人說明幾點在討論GDPR時,不應忽略的重要事實。

歐盟制定GDPR的三項背景因素

歐盟當初制定GDPR,主要有三項背景因素:

一,先前的個資保護指令,僅具協調各會員國立法原則的作用,各會員國的個資保護立法仍有不一致之處,導致各機構在歐盟境內面臨個資規範不一的狀況,不利於建立歐洲數位單一市場。透過有直接法律效力的GDPR,歐盟整體就成為同一套規則。

二,歐盟希望發揮「布魯塞爾效應」(Brussel Effect),亦即以其市場規模的影響力讓相關業者遵守最嚴格的規範,進而帶動歐盟以外國家也跟隨此規範。

布魯塞爾效應的原理,就是當大型業者為配合歐盟規範而改變運作方式後,基於企業內部營運管理之便,與其在不同地區採用不同運作,不如整個集團用同一套運作方式,並推動其他國家修改法律,採用歐盟標準,反而可擠壓其他國家的當地業者因無法適應規範而退出市場(在環保標準、動物實驗倫理、藥品製造等皆有顯著案例)。

數位經濟,就是典型的同一家公司不可能區隔市場、採用不同運作架構的產業;因此布魯塞爾效應可望發揮作用,使歐盟成為數位經濟的世界規則制定者。

事實上,GDPR比其他規範更直接。其中,規定其他國家的個資保護水準須通過歐盟的適足性認定,否則該國企業不得蒐集處理歐盟公民的個資,因此該規範直接產生所謂「域外效力」。

三,歐盟鑑於本身在數位經濟落後於美國與中國,因此希望加強個資保護,以限制數位大型平台的擴張,讓歐盟的中小型數位產業有機會發展。同時也與當時的「史諾登事件」顯示,美國情報機關長期竊聽歐洲政治領袖的爭議有關,此點使GDPR先天上就具有與美國在產業與政治上抗衡的意味。

台灣與歐盟需求不同,該修法求認定嗎?

以上三點,是歐盟制定GDPR的緣由。而我國政府在面對GDPR時,應先自問:我們沒有歐盟內部法規整合需求,也尚未理清個資保護與數位經濟發展策略的複雜關係,或如何在美歐對抗上選邊;似乎僅有第二點原因,使我國必須修法以尋求歐盟法規適足性認定。

但如果因此而制定的法律,對本國產業發展與社會福祉不利,這是否淪為一種法規殖民現象呢?亦即「法規是為他國政策而立,非為我國政策而存在」,這應是主管機關無從迴避的質疑。

以下,本文回到歐盟的角度,逐一檢視GDPR施行以來是否有助達到三項政策目標,更可藉此讓我國評估,是否值得把GDPR適足性認定看得如此重要。

兩難議題,各國可另外立法規定

首先,在「建立數位單一市場」方面,GDPR其實並不成功。主因是,GDPR在許多權衡個資保護與數位發展的兩難問題上,多半規定各會員國可另外立法做為特別規定,這也使許多議題存在各會員國不一致的現象。

值得一提的是,我國許多人在引述GDPR時,只引用其本文的規定,忽略相關條文有許多是保留給各會員國另行規定;這樣的引介,會造成對歐盟保護實況的誤解。例如GDPR第九條關於特種個資(例如醫療資料)的特別保護,第二項有多款都提及應參照各會員國之規定。

醫療個資一方面敏感性高,應特別嚴格保護,另方面又是維護公共衛生的必要資訊,也涉及病患醫療照護上的必要,因此保護權衡特別困難。GDPR不自訂明確規則而交給各會員國制定,完全失去法規整合一致的原本宗旨。

這種允許會員國另行立法的開放條款(opening clauses),在第84條之前就有20處相關規定,而在第85條至第91條,更是全部都針對個資的特定處理問題,給予各會員國可另行立法。

其中最典型的,就是第89條允許各會員國為科研、歷史研究或公益建檔等目的之必要範圍,可排除前面條文所賦予當事人的各項權利。這一點,在我國此次健保資料研究利用的憲法訴訟中,也成為焦點。

由此可見,GDPR立法時,迴避各種利益權衡的困難,標舉陳義甚高的個資權利保障,再將立法權衡問題交給各會員國自己解決。如此一來,怎可能達到歐盟整體個資保護法制一致化呢?

GDPR-條文-規定-EU-歐盟-個資保護法-個資-資安不少GDPR項目交由會員國另行立法,反而失去整合法規的宗旨。圖片來源:截自GDPR.EU網站

GDPR實行後,企業平均利潤少8%

再針對前述第三項目標來檢視。GDPR是否有效限制了大型數位平台的擴張,促使歐盟本身的數位產業有機會發展呢?實證資料顯示正好相反。

原因很簡單,GDPR架構下,最安全的個資合法蒐集處理方式,就是取得當事人同意。什麼業者較容易獲得當事人同意呢?當然是大型數位平台業者。因為消費者已對該平台有使用依賴;為了獲得服務,自然會給予無限制的各種同意。

反之,中小型數位業者並無此優勢,只能搭著大型平台的管道間接取得當事人同意或資料,導致小型業者在產業結構上更依賴大型平台;而大型平台在取得當事人同意上暢行無阻,藉由龐大資料量在數位創新上佔盡優勢。

歐盟發現無法透過個資法規改變數位市場的生態,只能另外設計出《數位服務法》(Digital Service Act)與《數位市場法》(Digital Market Act),試圖再次介入。

GDPR-影響-衝擊-企業-科技企業-歐盟-個資保護法-資安經研究指出,大型科技企業受GDPR衝擊遠小於小型企業。圖片來源:截自〈Privacy Regulation and Firm Performance: Estimating the GDPR Effect Globally〉報告

全球許多採用GDPR原則個資保護立法的國家,也面臨同樣情況。

近期一份牛津大學研究指出(註1),經過對61國、34種產業進行實證研究,發現GDPR及類似的個資法施行,使企業平均利潤減少8%,營收減少2%;但大型科技業者基本上不受影響,受衝擊最大的反而是小型企業,是所有企業平均值的兩倍。

因此,無論在邏輯上或實證數據上都顯示,GDPR的嚴格個資保護,不僅無法打破科技業大者恆大特性,反而助長了這個傾向。此對於我國數位產業政策而言,極具警示意義。(延伸閱讀|當你的個資變成他的商機⋯⋯Facebook、Google、Amazon、Apple,誰管得住科技四巨頭?

英國脫歐,入美國主導的新隱私保護架構

GDPR制定的另一項背景,是「布魯塞爾效應」。表面上,很多國家都為了因應GDPR,制定或修訂了該國的個資保護法規,然而其中的衝突與困境,也不容忽略。

首先是美國——這個世界最大市場與數位經濟強國,向來就不採取歐盟的個資保護架構,為此不惜與歐盟正面衝突。更大的衝擊則是英國脫歐政策,其宗旨就是尋求政治與立法的自由度。

英國數位文化部在2021年九月發布一份個資立法政策諮詢報告,名為「數據:一個新方向」(Data : A new direction),顧名思義就是要修訂原本配合GDPR所制定的國內法,轉向新的保護架構。

該報告細數GDPR立法之數項不妥,並在前言強調,所謂適足性認定,並不意味各國立法必須完全按照GDPR條文,而是客觀上個資保護水準是否足夠。該報告甚至聲明,英國為了發揮其數位競爭力,評估後認為,即使無法獲得適足性認定,其可能造成的損失,相較於新立法政策可帶來的經濟效益,仍是值得採取的策略。

英國-數位文化部-Oliver Dowden-Data : A new direction-GDPR-個資保護-法律-英國數位文化部部長奧利佛・道登(Oliver Dowden)發布報告,欲改變國內個資法規。圖片來源:GOV.UK網站

眾所皆知,GDPR是德國主導形成的立法;德國是製造業強國,加強個資保護對於其主要產業的影響有限。英國則以金融服務及創意產業為主,嚴格的個資保護將扼殺其數位競爭力;英國會得出這樣的效益評估其來有自,甚至可說是英國要脫歐的主因。

英國不僅「脫歐」,更積極「入亞」,不僅表態要加入CPTPP這個以太平洋週邊國家為主的經貿合作,更可能加入從APEC衍生的「跨境隱私保護規則」(Cross Border Privacy Rule,簡稱CBPR)。這個與GDPR不同、甚至對立的架構,不過度強調個資權利保護,而重視隱私與資安保護,對於數位經濟的資料跨境傳輸更有利,背後的主導者當然是美國。

CBPR今年四月21日由美國商務部主導,台灣也參與其中的宣言,正式開啟CBPR將以全球論壇形式,從亞洲走向全球合作架構的路線。未來,美國與歐盟將在各國隱私保護與資料跨境傳輸的開放或限制問題,全面角力。(延伸閱讀|罰10億!歐盟《人工智慧管理法草案》八類高風險技術,台灣業者別踩雷|李崇僖專欄

台灣腳踏歐美,須注意兩個新趨勢

台灣一方面尋求歐盟的適足性認定,另方面又參與美國的CBPR全球論壇宣言,自然必須高度關注,美歐在個資與隱私保護的衝突架構該如何調和。

對此,有兩項值得注意的發展趨勢:

第一,三月25日,美國與歐盟在經過整年協商後,終於簽訂了跨境資料傳輸協議,讓企業可將歐洲使用者個資傳送到美國境內,解除了大型網路公司的心頭大患。雖然細節規範還會繼續協商,但簽訂此協議相當於給予資料傳輸的通行證,是歐盟的一大讓步。

第二,更重要的是,二月24日俄羅斯對烏克蘭發動的侵略戰爭,大幅改變了歐盟的戰略思維。

美國-拜登-歐盟-主席-Ursula von der Leyen-合作-協議-烏俄戰爭今年三月,美國總統拜登與歐盟執委會主席烏蘇拉・馮德萊恩(Ursula von der Leyen)共同發表,美歐將啟動多項合作。圖片來源:截自European Commission臉書

在此之前,歐盟乃是作為與美國分庭抗禮之目的而存在,因為北約(NATO)是冷戰結構下的美歐同盟,蘇聯瓦解後,歐洲開始降低北約重要性,另組歐盟以期制衡美國的獨霸地位。可以說,歐盟的誕生,天生就具有與美國持續衝突的基因;例如在WTO為了貿易障礙問題纏訟不斷,現在數位經濟規則衝突也基於同樣背景。

然而,當俄羅斯展露侵略野心,歐盟開始警覺自身軍事實力不足,仍須與美國結盟才足以對抗俄羅斯(與中國結盟)的擴張,勢必帶動整體戰略轉向。一個月後,美歐的跨境資料傳輸協議就順利簽訂;後續在國際隱私保護架構上,歐盟能有多強勢的談判地位,實在耐人尋味。(延伸閱讀|政府該掌握個人的哪些資訊?新疆教育營與臉書的啟示:科技進步有利中央集權

註1:〈Privacy Regulation and Firm Performance: Estimating the GDPR Effect Globally.〉牛津大學馬丁學院學者群Chinchih Chen等人所合著,2022年一月完成之報告。

其他人也在看

你可能有興趣

影音推薦

#廣編企劃|【2023 天下城市高峰論壇 #9】新竹市交通處長 倪茂榮:改善交通,必須先做出優良示範道路|天下雜誌✕未來城市

已成功複製連結