GDPR其實係咩黎? 好老實,我對歐盟嘅法規唔太熟識,無能力好仔細咁解釋GDPR係咩。但我可以拎外國嘅報道,同大家睇睇GDPR大約係咩。

首先,GDPR全名係General Data Protection Regulation,係歐盟最新嘅網絡數據處理法規,並已經係2018年5月25日正式實行。

咁呢個新法規嘅基本要旨,一方面係給予用戶要求提取同刪除被採集嘅數據嘅選擇,另一方面係要提高網絡企業採集用戶數據時嘅透明度,即是企業要讓用戶明確咁了解到,邊一啲數據會被採集同埋經採集後數據會有咩用。

正因如此,法規列明企業嘅使用條款要清楚易明,普通人睇完都會有能力理解。呢個要求除左令大家嘅Email Inbox收到好多新嘅服務使用條款之餘,據WSJ嘅統計,唔少網絡服務使用條款反而因為呢個要求而長左好多。例如Twitter嘅舊使用條款大約3800字,新嘅就有8890字左右。無他嘅,要寫到係人都明,就即係唔可以用太多法律用語,變成要慢慢解釋,所以字就多左。

另外,GDPR要求企業係採集用戶數據前,須得到用戶嘅明確同意,呢個亦係大家收到好大量嘅Email之因 — 啲公司要百分百肯定你係同意佢地嘅數據採用方法。

係呢一點,一個較有趣嘅討論係當用戶唔同意企業個別嘅數據採集方式,咁又點呢?一個最受關注嘅例子就係Facebook。FB係更改用戶使用條款之後,基本上係要求用戶同意佢所有嘅數據採集行為,並無給予用戶太多選項;若用戶不同意,FB就會彈出一個選項 — Delete 左你個FB Account。

GDPR嘅規定其實列明,企業係只可以採集「真係有需要」(Necessary)的數據,並禁止企業「威迫」用戶同意其數據採集。但目前FB的立場是它為社交網絡及廣告企業,所有數據都是營運必須,所以才不給用戶拒絕的空間。

呢個就帶到GDPR的執行問題,目前我地都無法確定FB的辯解到底是否可以接受,唯一知道的方法就係告FB,由當局作出判決。亦因此,係GDPR執行嘅首日已有維權人士Max Schrems提告,指Facebook(包括旗下Instagram及Whatsapp)及Google並無作「準確的同意要求」(Informed and Specific Consent),而是以威迫的方式來要求用戶同意(Forced Consent)。

值得一提嘅係,若企業被判定違反左GDPR法規,最高嘅罰款係1000萬歐元或該企業全球收入嘅4%,以較高者為準,因此FB就要對16億美元嘅罰款,而Alphabet就要對44億美元罰款。

正因為法規阻嚇性高,唔少企業係無把握可以完全符合GDPR嘅要求時,都決定先暫時停止對歐洲居民提供服務,其中一個例子係Instapaper。

而係5月25日,多份美國報章嘅網站亦都出現暫停向歐洲用戶提供服務嘅訊息。

可以見到,GDPR嘅實際執行其實先係最有趣嘅地方,到底FB會唔會被判定違規?啲中小企會用咩方法確自己唔會犯規?會唔會有更多企業拒絕向歐洲提供服務?呢啲都要睇歐盟實際上會點執法,先會有更明確答案。


Also published on Medium.