歐盟個人資料保護規則(GDPR)2018年5月生效後,影響全球貿易與各國事業活動至鉅,其立法要點包括:一、擴張GDPR適用的地理區域,使該規則有域外效果。不論處理資料的公司位於何處,或處理資料的過程及監視行為在何地進行,只要資料主體位於歐盟境內或其個人行為在歐盟發生,就有該規則的適用。二、強化取得資料主體同意的條件。徵詢同意的文字應使用直白的語言,清楚可理解並且容易被看見,同意之後必須可用簡易的方式撤回。三、資料主體對自身資料的近用權。一旦資料主體提出要求,資料控管者應免費提供電子複本,確認主體個資是否正被處理,在何地及為何目的處理。四、個資刪除權(被遺忘權)。當個資已與最初處理目的無關,或同意已被撤回等情形,經資料主體要求,控管者應刪除個資連結,不得有不當遲延。五、個資可攜的權利。資料主體應有權取得其過去提供作為一般使用及機器可讀取的個資,並移轉至另一資料控管者。六、控管者在決定處理資料方式或在處理過程中,均應在科技面及組織的措施面,進行資料保護的設計,融入實現GDPR目的的考量。

上述GDPR規定與競爭法的交錯主要在個資可攜的權利,涉及大型平台的個案中尤其會被考慮。個資可攜規範的目的在維護消費者掌握個資,不被控制者「鎖入」(lock-in)並降低消費者轉換平台的成本。例如使用雅虎電子郵件服務的消費者,為了避免失去重要資料,就可能不會輕易轉換成Gmail的用戶。這使得具有相當市場力的既有業者,有較大的機會與誘因濫用其力量削弱對手的競爭。不過在技術密集的社群網絡或即時通訊市場,以市場占有率作為市場力量評估的指標要十分謹慎,原因在於該產業快速動態變化,其技術市場總是引起潛在競爭者進入,因此既有業者暫時的獨大不應當然被認定為獨占事業。此外收集與分析消費者個資是業者最佳化服務品質並留住客戶的重要因素,倘主管機關將業者掌握的巨量個資視為潛在競爭者進入市場必須利用的「瓶頸設施」,那麼理論上既有業者倘無正當理由而拒絕移轉(可攜)個資,則不無可能被認定為濫用市場力而違法排除競爭,以此見解執行競爭法,有助於落實GDPR的立法意旨,惟目前歐盟對競爭法與個資保護法制,仍採雙軌制的見解,認為不應將隱私的保護納為競爭評估的因素之一。

不過數日前(2/7)德國聯邦卡特爾署才針對臉書,以該公司蒐集使用者個資的模式,認定臉書為「榨取式」濫用其在德國的社群服務市場地位,違反德國競爭法而命停止並提出改善方案。臉書設定使用者條款,以同意臉書可以蒐集在臉書之外的網路上個資或智慧手機app為先決條件,始得使用臉書的服務。此外,臉書也將使用者在臉書旗下不同服務平台如Instagram或Whatsapp以及在第三人平台蒐集的資料,整併入臉書個人帳戶。以在德國的普及率及使用率,臉書被卡特爾署認定為在相關市場上有支配地位,其設定的同意條款,濫用市場力「榨取」市場上的另一造(消費者)而違反競爭法。臉書引用GDPR為抗辯的理由之一,認為本案的主管機關應是臉書歐洲所在地,即愛爾蘭的個資保護委員會,而不是德國卡特爾署;更何況整合使用者帳戶資料,對提升使用者經驗,以及監控使用者參與恐怖活動、兒童色情以及介入選舉等非法行為有其必要,這類公共利益抗辯,也是依GDPR可以主張的事由。另外英國個資保護主管機關對臉書就不同服務平台間分享個資的調查,其結論認為,在GDPR生效後倘臉書能滿足GDPR的安全機制,應許可臉書與Whatsapp間的個資整合。

在資訊驅動的數位經濟時代,提供平台並以廣告獲利的商業模式,蒐集並處理個資實屬必然,由上述歐盟執法實況顯示,德國臉書案並非歐盟通例,並引來混淆競爭法與個資法界線的批評,但面對數據霸權,立法目的不同的競爭法與個資法孰先孰後的競合狀態,目前尚無定論,但此問題在我國同樣存在,當政府為促進平台經濟發展,統整各機關職權與法規時,在競爭倡議以及保護消費方面,應納入公平會與公平法的角色與功能,以求觀點的周延,俾完善平台運作環境,有利於國家經濟。

#臉書