-200x58.png)
連買個早餐都會被問「 要不要加入會員? 」的時代,我們的資料大概比我們本人還常在外面走跳。
從每天滑的社群、買東西留下的手機、甚至是瀏覽一個網站,背後都可能默默收集你的數位足跡。
因此,「 個資保護 」不再是法務部門的專屬名詞,而是人人都要擁有的基本技能。
什麼算是個人資料保護?
| 個資保護識別方式 | 資訊來源 | 包含 |
| 直接識別 | 單一資料 | 姓名、手機號碼 |
| 間接識別 | 結合其他資訊,有合理可能的鎖定特定人 | 手寫名冊、紙本病例、電腦資料 |
⚖️ 「 法律定義 」的個資保護
📌 定義:「 可以透過直接或間接的方式辨識該個人 」
直接識別:單一個資料就可以辨識特定人,例如:手機號碼( 因為具備高故專屬性 )、電子郵件信箱、Line ID、Facebook 臉書帳號。
間接識別:必須結合其他資訊才能辨識,但只要「 合理可能 」被用來鎖定特定人,就屬於個資,需納入在個資保護規劃中。
例如:
- 員工通訊錄列出「 林小姐 0911-000-123 」,及時沒寫全名,手機號碼也是個資。
- 社團貼出「 感謝本次活動志工:小吳( 身穿黑色上衣的那位 )」+ 活動照片 ,及時沒寫姓名,但是,從照片體態、服裝、背景結合社團名單ㄢ,就能直接或是( 合理可能 )的間接辨識,都是屬於個資,需納入個資保護管理。
- 醫院公布「 復健科 10 月 1 日 上午的第五位病患 」,若掛號系統能對應到本人,也是屬於個資,要以個資保護法去做規範。
- 論壇討論「 成功大學的電子科系教授的兒子在奇美醫院做復健治療 」,即使沒有姓名、但是從科系、學校名稱、職稱,能夠「 合理可能 」鎖定特定人,也是屬於個資洩漏,需納入個資保護的範圍。
重點整理:只要資料在現實中,「 有合理可能性 」被用來指向句底的人,就受到個資保護法的管轄中,不限於列舉項目,也不限於電腦處理、手寫名冊、紙本病歷、口頭轉述都是適用在個資保護。
🙅🏻 「 大眾誤解 」的個資保護
💡 不是只有名字才要做個資,才需要個資保護
大家最常誤解的是「 只有身分證字號、姓名、手機號碼才算是個資,其他都不算 」或是「 有打馬賽克,以代稱方式,只透露部分資料,就不算是洩漏個資 」。
個資保護誤解一:打馬賽克,就能去識別化
很多人以為照片打馬賽克、車牌模糊處理、姓名打O、手機打星號就安全。
實際上,如果綜合全部資訊,能夠被辨識,就要算是個資保護的範圍。
例如:Facebook 臉書常公審貼出,車禍照片,只打馬賽克,但是車型、顏色、事故地點、發生時間的公開,當警察能輕鬆釣出監視器比對車牌,仍屬於個資洩露,觸犯到了個資保護法。
個資保護誤解二:公開過個資料就不算是個資,不用列入個資保護
很多人以為名片上印的手機、公司網站公布的聯絡人、判決書已公凱的資料,就可以隨意轉傳。
但是,其實,依照個人資料個資保護法提到,非公務機關的公開資訊,即時資料已公開,仍需要符合「 原蒐集資料特定的目的 」、「 合理範圍才能利用 」。
所以,許多人把別人的名片電話拿去發廣告簡訊,都違反了個資保護法。
個資保護誤解三:一個暱稱、一個帳號、一個 IP,不屬於個資
社團論壇的興盛,許多人會因為社會事見,就開始公開肉搜,透過 LIne 暱稱、大頭貼、PTT ID、發文習慣、IP 位址、上網時間,結合交叉比對,就能鎖定對方身份,這已經是能夠透過間接識別來鎖定特定人物,已經構成違反個資保護。
個資保護誤解四:員工資料、客戶資料放在公司內部,不用列入個資保護法管理
很多老闆以為「 自己公司的員工或客戶的資料,要用在其他的用途,都是可以的 」,但其實,這已經違反了個資保護法,不恰當的利用,違反了「 原蒐集資料特定的目的 」、「 合理範圍才能利用 」個資保護。
為什麼個資保護比以往更重要?
原因一:個資蒐集無孔不入而且永不消滅
過去你去一趟超商買東西,頂多就是被店員認出來是常客,但是,你現在用刷卡、臉部辨識、用會員點數、手機定位、監視器、支付平台紀錄,超商的總部,就能透過這些特徵來預測你的生活輪廓。
延伸,你幾點起床、去哪裡上班、買什麼個人用品、是否有心心理疾病,再將這些資料轉賣給保險公司、銀行、藥局、廣告商。
原因二:網路犯罪產業化,個資保護易遭洩
每一項個資都有價碼,讓有心人士做收購。
例如
- 健保個資,一筆可能百元至千元不等
- 銀行帳戶、密碼,攔截一組可能上萬元起跳
- 社群帳號,登入權限,一組可能上千元至萬元
- 手機門號、結合實名認證的通訊錄,一組可能約上萬元
然而,這一兩年,價碼有下滑趨勢,不是沒有市場,而是取得個資洩漏,比以前夠容易 ➡️ 代表,我們的個資洩漏比以前更頻繁。
可能是因為:
- 我們自己本身提供的個人資訊,為了便利,比以往更頻繁的提供自己的資料。
- 資訊安全驗證多重程序,大多數的人,顯得麻煩,讓駭客更容易取得資料。
原因三:個資保護決定你的人生機會,但你無從知曉
有時候,在你你申請房屋貸款金額時,數位足跡,早已默默地幫你評分了,因為,你過往了數十年,在網路上登入過的資訊,已透過 AI 逐步的收集資訊,而且,這些系統完全不為公開,你也永遠不會收到通知。
當 AI 擁有你的完整的個資,就能夠完美預測並控制你的行為。有研究顯示:透過你的按讚次數,就能分析你的性格。
能透過你平常在網路上的瀏覽,累積的資料準確的預測你的離婚機率、犯罪機率、自殺機率,並把這些資訊賣給有興趣的機構。
全球三大個資保護法
| 面向差異 | GDPR歐盟 | CCPA美國州法 | PDPA台灣 |
| 是否全國統一 | 是 | 否 | 是 |
| 是否需要名確同意 | 是 | 部分 | 是 |
| 被遺忘權 | 有 | 有 | 限製版 |
| 罰金強度 | 高 | 中等 | 中等偏低 |
| 保護範圍 | 最全面 | 以消費者為主 | 適中 |
第一:歐盟GDRP
GDPR( General Data Protection regulation )被視為全球最嚴格個奧資保護法之一。
歐盟GDRP 特點是在「 強化個人對資料的控制權 」。
包含:
- 要求企業在蒐集、處理、保存與傳輸個資時,必須取得「 明確同意 」,並提供透明、明確的使用目的說明。
- 資料最小化,預設隱私個資保護、個資保護資料外洩通報義務
- 賦予個人的「 被遺忘權 」與「 資料可攜權 」。
🔎 什麼是「 被遺忘權 」 ➡️ 指個人有權要求資料管理者刪除個人資料
🔎 什麼是「 資料可攜權 」➡️ 指賦予個人將資料從一個服務提供者轉一到另一個服務提光者,可以在不同服務間自由轉移個資保護的權利
行使範圍:
- 歐盟 GDRP 適用範圍極廣,不僅涵蓋歐盟境內企業,也延伸到任何處理歐盟公民資料的國際企業。
如違反,罰責:
- 歐盟 GDRP 罰責非常嚴厲,最高可達企業全球營收的 6 % 或 2000 萬歐元。
第二:美國州法CCPA
美國「 缺乏統一 」的聯邦個資保護法,因此由各州自由立法,形成分散且多樣化的隱私個資保護格局。但是,最具代表性的是「 加州的消費者隱私法 」。其他州別,則是:科羅拉多州CPA 、維吉尼亞洲 VCDPA。
| 美國各州法重點列舉 | 特點 | 缺點 |
| 加州消費者隱私法 CCPA | 賦予消費者查詢、刪除與拒絕出售資料的權利 | 現階段為相對完善的制度 |
| 科羅拉多州CPA | 制定全面性隱私法 | 權利範圍程度有差異 |
| 維吉尼亞洲 VCDPA | 全面性隱私法 | 權利範圍程度有差異 |
| 紐約州法 | 數據授權人概念 | 靈活性高,但是缺乏一致性 |
行使範圍:
- 要求企業被披露資料行為
- 賦予消費者查詢、刪除與拒絕出售資料的權利
⚖️ 科羅拉多州CPA 、維吉尼亞洲 VCDPA
行使範圍:
- 制定全面性隱私法
- 權利範圍程度有差異
⚖️ 紐約
- 數據授權人概念,要求企業默認禁止收集,必須取得明確同意
- 靈活性高,但是缺乏一致性。
第三:台灣 PDPA
台灣個資保護法核心特點是:個人資料保護委員會是為獨立機關。
行使特點:
- 取代過去分散於各部會的監管模式
- 提升一致性&可預測性
- 公務機關必須設置「 個資保護長 」,並定期提交報告,接受稽核與督導
- 機關或是企業在「 知道事故 」後,要離擊通知當事人與主管機關,並保存完整記錄
- PDPA 同時規範國際傳輸限制,確保跨境資料流通符合安全標準
- 台灣的個資保護法,逐漸以歐盟GDRP為目標方向,但保留台灣在地化的特色
守住個資就是守住你對人生的主控權
相信,你已經發現,被我們忽略很久的個資保護,其實已經不是在保護我們的隱私,而是在保護我們作為一個獨立自主的人類。
在 AI 時代,你的行為資料、購物足跡、偏好模型,全都能變演算法拆解,可以算出你的下一步要點什麼餐點、買什麼東西、甚至相信什麼。
當你的資料越來越透明,你的行動就容易被預測。
當你被預測的越準,你的選擇就可能會偷偷被影響。
這情況,已經是正在發生的事情!
所以,看似枯燥的個資保護法規劃,但是真正價值的是法律本身,而是個資保護讓我們重新拿回了「 拒絕、不被追蹤、不被操控 」的基本權利。
參考資料
參考資料一:Facebook Knows You Better Than Anyone Else
參考資料二:你被賣掉了還幫忙數錢!中國最大開放式「個資百寶箱」外洩 …
參考資料三:15萬如何買下2300萬人?《天下》深入白帽駭客圈,還原個資