無法阻止大型科技公司的惡劣行徑！「史上最嚴」的通用資料保護規則GDPR是怎麼失敗的？

歐盟通用資料保護規則（General Data Protection Regulation，簡稱 GDPR）已經4周年了。該條例最初生效於 2018 年 5 月 25 日，其為歐盟公民提供了針對個人資訊保護和管理的嚴格準則，並適用於任何處理歐盟公民資料的公司，且不管該公司在哪裡，影響範圍非常廣。

自頒佈日起，GDPR 就被認為是「史上最嚴」資料保護法案，《連線》雜誌一度形容其「GDPR 為未來十年的全球資料保護定下了基礎，它幾乎對科技公司用個人資料來賺錢的所有環節進行了規定和限制。」

4年過去，《連線》最新發佈的一篇題為「GDPR 是如何失敗的」的文章則直指其困境：這部全球領先的資料法確實改變了企業的營運方式，但它對科技巨頭的管理效果仍然相當有限。

裁決效率低

從實施情況來看，GDPR 針對全球各大資料公司的總裁決量仍然非常低。

例如距離非營利性資料權利組織 NOYB 根據 GDPR 發起首次訴訟，已經過去了 1400 多天。這些指控主要針對包括Google和 Facebook 在內的知名廠商，理由是其在未經使用者適當同意的情況下迫使其放棄個人資料。這紙歷史性的訴狀出現在 2018 年 5 月 25 日，也就是 GDPR 生效的當天，但四年之後，NOYB 仍沒能等來最終判決，而且這也絕非個例。

根據 GDPR 中的相關規定，在各歐盟國家開展營運的企業一旦收到訴訟，案件通常會被移交至其歐洲總部所在的國家。這種所謂一站式機制要求由歐洲總部所在國主導調查工作。例如，針對Amazon的訴訟就落在了盧森堡這個小國身上；荷蘭應付的是 Netflix；瑞典有 Spotify；愛爾蘭的任務相對較重，需要負責 Meta/Facebook、WhatsApp 和 Instagram，Google旗下各項服務，Airbnb、雅虎、Twitter、微軟、蘋果和 LinkedIn。

大量複雜的早期 GDPR 訴訟已經給愛爾蘭監管機構造成巨大壓力，跨國協作則因繁瑣的文書工作而被迫放緩。根據監管機構自己發佈的統計資料，自 2018 年 5 月以來，愛爾蘭監管機構已經完成 65% 的跨境裁決案件，其中未決案件共 400 起。NOYB 針對 Netflix（荷蘭）、Spotify（瑞典）和 PimEyes（波蘭）發起的各案件則是拖延多年的典型。

而隨著 GDPR 時間的延長，罰款數額也在不斷增加，目前總計已達 16 億歐元（約合 17 億美元）。其中最大一筆，就是盧森堡去年對Amazon罰款 7.46 億歐元。另外，愛爾蘭也向 WhatsApp 開出了 2.25 億歐元的罰單。（兩家公司均表示將提出進一步上訴。）

Helen Dixon 是歐洲 GDPR 執法核心、愛爾蘭資料保護委員會（DPC）的一員，專門負責管理各類大型科技企業。長期以來，資料保護委員會一直消化不掉職能範圍內收到的大量投訴，其無能表現甚至引起了其他管理單位的不滿，各界紛紛呼籲對委員會實施改革。但 Dixon 也有自己的苦衷，「如果所有事情同時堆在你的面前，那麼要想維護這樣一套重要的法律框架，我們只能按優先順序處理事務，速度自然不夠理想。」她同時提到，資料保護委員會需要從頭開始釐清 GDPR 的複雜立法思考方向，而且與之相關的很多新案例、新流程根本就沒有簡單的答案。

Dixon 進一步解釋道，「我認為在 GDPR 生效的前四年中，愛爾蘭資料保護委員會還是發揮了行之有效的作用。事實上，委員會已經建立起新的法律框架，短短時間就將各項法條聯繫在了一起，同時也以罰款和糾正措施等形式完成了多項重大制裁行動。」確實如此，這幾年間資料保護委員會曾在數千起全國案件中對 Twitter、WhatsApp、Facebook 和 Groupon 採取過措施。

而且，GDPR 的意義不僅是要做出罰款、命令公司改變，同時也在引發商業活動朝著好的方向發展。專家們認為，如果沒有 GDPR 的執行，企業仍會像以前那樣肆無忌憚地濫用人們的資料。最近的一項研究估計，自 GDPR 誕生以來，Google Play Store 中的 Android APP數量下降了三分之一，理由就是這些下架軟體無法有效保護使用者隱私。

科技公司難遵守

但對於那些掌握著巨量資料的大型科技巨頭，GDPR 合規就完全是另一個量級的工作了。

從現狀來看，Meta（原 Facebook）仍然難以遵守 GDPR。例如由外媒《Motherboard》獲得的一份 Facebook 內部文件就暗示，這家公司自己也不太清楚是如何處理使用者資料的。

根據 Facebook 工程師所述，他們正在努力追蹤使用者資料在其系統中的去向。然而，歐盟的 GDPR 等法規限制了像 Facebook 這樣的平臺如何使用他們的使用者資料。GDPR 法律規定，個人資料必須「為特定的、明確的和合法的目的而收集，並且不得以與這些目的不相符的方式進一步處理」。

這意味著每條資料，例如使用者的位置或宗教取向，只能被收集並用於特定目的，而不能用於其他目的。Facebook 曾因在其「你可能認識的人」功能中使用其使用者的電話號碼而受到批評。在被發現後，該公司最終不得不停止這種做法。

其工程師還用了一個形象的比喻來說明 Facebook 的困境：

想像一下，你手裡拿著一瓶墨水。這瓶墨水是各種使用者資料（3PD、1PD、SCD、歐洲等）的混合物。你把這瓶墨水倒入一個湖（我們的開放資料系統；我們的開放文化）...... 它就會...... 各處。你如何把墨水放回瓶子裡？你如何再次組織它，使它只流向湖中允許的地方？（3PD 指協力廠商數據；1PD 指第一方資料；SCD 指敏感類別資料）。

不過 Facebook 很快否認了自己不清楚資料如何處理的說法。同樣地，2021 年底 WIRED 和 Reveal 網站在聯合調查中，發現Amazon的客戶資料處理方式存在嚴重缺陷。（但Amazon強調其在保護資料方面一直保持著「優良」的傳統。）

德國聯邦資料保護監管機構負責人 Ulrich Kelber 認為，「GDPR 在約束大型科技公司方面仍然步履維艱。畢竟大型科技公司的案件肯定涉及跨境，這就要求透一站式機制在多家資料保護機構之間開展合作。」對於這類案件，一站式機制允許歐洲各監管機構對於牽頭機構的最終決定發表意見、甚至提出質疑。例如在其他監管機構介入後，愛爾蘭對 WhatsApp 的罰款也從最初的 3000 萬歐元增加到 2.25 億歐元。

改變 GDPR 運作方式

一站式機制以 GDPR 為基礎，四年過去，GDPR 本身已經暴露出很多需要改進的部分。挪威資料保護機構國際負責人 Tobias Judin 提到，他們每週都需要在歐洲各資料監管機構間分發好幾份裁定草案。Judin 表示，「在大多數情況下，對方都會表示同意。」（但德國提出的反對意見最多。）這些裁定往往需要在各監管機構之間往來多次，期間也受到官僚習氣的嚴重影響。「我們也在考慮，對於那些同時影響歐洲多國的案件當中，目前這種由一國單一資料保護機構負責處理的方式是否有意義、是否具備可行性。」

法國資料監管機構則更傾向於直接追究企業如何使用 cookie，借此繞開繁瑣的跨國 GDPR 流程。雖然看似是同樣的事，但煩人的 cookie 提示視窗其實並不歸 GDPR 管，而是受歐盟單獨的《電子隱私法》管轄。法國正好看準了這一點，其監管機構 CNIL 負責人 Marie-Laure Denis 就針對Google、Amazon和 Facebook 的 cookie 政策問題提出巨額罰款。更重要的是，此案讓大企業們改變了自己的行為。在本次執法之後，Google在整個歐洲範圍內更改了其 cookie 提示樣式。

Denis 表示，「我們看到數位生態系統正發生著真切而又具體的演變，這也正是我們希望看到的趨勢。」她解釋道，CNIL 接下來將研究如何根據《電子隱私法》管理行動APP上的資料收集，並根據 GDPR 管理雲端資料傳輸。Denis 認為，以 cookie 為突破口進行執法並不單純是為了避免 GDPR 的冗長流程，而是想要有效解決問題。「我們仍然相信 GDPR 的執法制度，只是我們需要更好、更快地發揮執法效力。」

去年，改變 GDPR 運作方式的呼聲越來越高。曾在 2012 年提議 GDPR 的政治家 Viviane Redding 在去年 5 月談到這個話題時，就曾表示「對於大事，執法力度應該更集中一些。」呼聲之下，歐洲又相繼通過了兩大數位法規：《數位服務法》和《數位市場法》。這些法律更側重於競爭和網際網路安全，且執法方式也與 GDPR 有所不同。在某些情況下，歐盟委員會會直接調查大型科技公司。從這個角度看，GDPR 的執法似乎確實已經跟不上時代主流，也坐實了之前政界人士們提出的執行效率低下問題。

加以完善

重新設計 GDPR 似乎實在沒多大必要，但做一點小小調整也許能有助於改善執法。在歐洲資料保護委員會最近召開的一次資料監管機構會議上，各國同意為部分跨國案件設置固定的期限和時間表，並表示將努力「聯手」開展某些調查。

來自 Access Now 的 Massé表示，對 GDPR 做出一項小小修改，就足以顯著改善目前的一系列重大執法難題。應該透過立法保證各資料保護機構以相同的方式處理投訴（包括使用相同的表格），明確規定一站式機制的運作方式，並確保各國家 / 地區的規程間能夠無縫對接。簡而言之，至少應該闡明各個國家該如何實施 GDPR 執法。

資料監管機構也基本支援這種觀點。來自法國的 Denis 認為，監管機構應該加快跨境案件的資訊分享速度，以便各國監管部門都能在相同的認知基礎之上建立起非正式性共識。「例如，委員會可以查看提交至資料保護機構的資源，畢竟歐盟各成員國有義務為資料保護機構提供履行職責所必需的充足資源。」而且與大型科技公司相比，監管機構在調查資源和執行人手方面都嚴重不足，所以打通孤島就更顯得勢在必行。

來自愛爾蘭的 Dixon 也強調，「如果能夠針對 GDPR 發佈特定的法律文書，明確規定某些流程和程序問題，那效果應該會更好。」她還補充道，新規定還應該就調查期間查閱檔案、訴訟原告方是否有權參與調查以及翻譯方式等問題給出回應。「這些問題一直沒有共識性答案，所以導致案件長期延誤、各方深感不滿。」

各民間社會團體還警告稱，如果不做出一些強有力的執法改變，GDPR 最終可能無法阻止大型科技公司的惡劣行徑、更遑論提高人們的隱私意識。Ryan 認為，「最需要解決的直接物件就是大型科技公司。如果我們不能搞定這些科技企業，那人們的隱私和資料權就永遠得不到保障。」

四年過去，Massé說她對 GDPR 的實施效果雖然不滿、但仍然抱有希望。「GDPR 沒能帶來理想中的效果，但我們該做的是不斷加以完善，而絕不是急著把它扔進歷史的垃圾堆。」

資料來源：