名家觀點/大數據與個資保護的衝突與解方
2018-07-23 02:18 經濟日報 彭金隆 (作者是政治大學風險管理與保險學系系主任、保險科技實驗室執行長)
金融科技是當前金融市場顯學,核心發展領域主要由人工智慧、區塊鏈、雲端運算與大數據所組成的ABCD四大支柱所構成。其中A與D涉及大量個人資料取得與利用,面對愈來愈嚴格的個資保護法令,潛在的法律風險不容忽視。
國際上在個資保護觀念上,大致分為兩大陣營,以美國為代表的國家,較從社會總體利益出發,將個資視為具經濟價值並可交易的商品,只要有利促進交易繁榮市場,有較大開放空間。以德國為代表的國家,將個資視作具崇高地位的基本人權,取得當事人事前「知情並同意」,為最鮮明的個資保護原則,在大數據應用與個資保護的衝突上,相對也會更嚴重。
全球瘋大數據分析時,美國的美國總統科學和技術顧問委員會(PCAST) 二位共同主席2014年聯合致函歐巴馬總統指出,「大數據時代對個人隱私權保護最大的挑戰,來自遠超過資料當事人所想像的多量資料與高效率分析技術發展」,PCAST在「巨量資料與隱私權報告」更指出,以「事前知情並同意」的基本架構,在大數據時代保護個資已不合時宜,建議要將政策重心,放在大數據資料實際運用的結果上,主要是防範運用過程中個資濫用,而非過度集中在事前蒐集與分析管制上。但此想法未獲國際普遍認同,金融科技發展隱憂將日益嚴重。
有關個資法規定內容,都是以早期小量資料收集或以面對面蒐集為假設,立法者不可能事前預知大數據時代來臨,也不會想到會出現Google與Facebook。「老觀念套新世界」自然問題多多。我國個資法即使適用在小量資料已困難重重,更遑論大數據時代下的蒐集處理與利用。
歐盟的GDPR被稱史上最嚴,但我國2010個資法內容,也不遑多讓。目前許多企業或機構對個資蒐集,幾乎隨時進行,並以隱性方式為之,令資料當事人根本難以察覺,日後用於各種延伸用途,更遠超過原始蒐集目的,個資不當濫用成最大隱憂。
把大數據資料具有大量性、強調速度與資料多樣性加進來,套用我國個資法架構,可能發生以下問題:1.無法完全履行個資法對個人資料於蒐集、處理或利用時完成事前告知義務、2.不太容易符合個資法在特定目的消失或契約到期後,不得持有、處理或利用資料的規定、3.部分蒐集方可能根本不符個資法須具有特定目的之要求、4.無法充分執行個資法對特定目的外之利用及停止行銷要求、5.無法配合個資法於首次利用時告知之要求等。現行個資法可能對大數據應用產生重大法律風險。
在不修法前提下,可優先使用不涉及個資之資料,或將個人資料去識別化後利用,或重新規劃個資蒐集程序使其合法化。如採修改法令方有二方向因應。首先,主管機關依行業別透過特別法修訂,排除個資法部分適用障礙。其次,直接修改個資法,參考美國PCAST主張,使用監理導向,同時可在企業內部設「資料保護人」或「個資保護長」,外部設隱私權專家,協助企業維護客戶隱私權。
