從臉書事件看個資法規範

經濟日報 蘇秀慧

據報載，英國政治顧問數據公司劍橋分析（Cambridge Analytica）在臉書開發一組心理測驗程式，要求受試者授權其存取受試者本身及其朋友在臉書的個人資料，並將這些資料賣給美國數據分析公司，嘗試藉此影響選民的投票行為。

受試者雖然只有27萬人，但加上受試者臉書上的朋友，劍橋分析所掌握的個資多達5,000萬人，引發全球震撼，臉書的股價二天內掉了9.5%、市值瞬間蒸發500億美元，這件事情在法律上的意義是什麼？如果發生在台灣，個人資料保護法有沒有相應的規範。

這個事件法律上的意義可以分為兩個層次來探討。以劍橋分析來說，法律違失有二，一是未經授權取得臉友個資，亦即只取得27萬受試者的授權，卻未取得受試者朋友的授權，踩了第一道紅線。二是將蒐集的個資作蒐集目的範圍外的使用，受試者受告知是參與心理測驗，結果資料卻被用來作為政治分析，踩了第二道紅線。

至於臉書，也涉及兩個法律問題，一是臉書是否該創造足夠高的防火牆，以防止第三者劍橋分析「攻城掠地」濫用受試者朋友的個資。這個法律命題，值得探究，因為法律規範似乎沒有清楚說明臉書要蓋多高的牆。二是是否應課責臉書更高的行為義務，臉書在發現劍橋分析違法時，僅下架App及請劍橋分析出具已清除所有違法取得個資的聲明書，法律規範是否應進一步要求通報，及未來防範處理。

此一事件如果發生在台灣，法律上適用的情形如何呢？首先，劍橋分析因未經授權取得臉友個資，及將蒐集的個資作蒐集目的範圍外的使用，違反個資法並無疑義。

至於臉書方面，是不是可以說臉書違反個資法課予「資料保有者」防止個資被竊取的義務呢？其實，台灣的個資法沒有說防止個資被竊取要做到多大程度的安全規模，加上如果臉書已經主動下架了違法的App，因此臉書在台灣是否會被罰，恐怕必須打上一個問號。

借鏡這個事件，台灣個資法規範還有幾個值得討論的問題：首先，我國個資法並沒有統一的主管機關，而是由各業務主管機關負責，權責分散，相對於歐盟個資保護委員會或英國資訊專員辦公室（ICO）有充足的人力確保執法效能，台灣的個資法的執法力道相對較弱。再者，台灣個資法也有處罰力道不足的問題，以劍橋分析的行為來說，如果這件事發生在台灣，罰鍰依次最高為50萬元，臉書的罰鍰最高則是20萬元。但在歐盟個人資料保護法（GDPR）下，兩者面臨的可能是最高2,000萬歐元，或前一年全球營業額4％的罰鍰。

在個資法的規範下，台灣可以思考，對資料保有人（例如臉書）課予的義務是否充分？實際掌控龐大個資的社群媒體，在享受因此帶來的利益之餘，是否應負避免損害擴大的義務，並讓當事人知道自己的個資發生甚麼事？

在GDPR下，臉書必須在知悉個資侵害後72小時內，通報主管機關個資侵害的情形以及所採取的對應措施。另外，在個資侵害對當事人的權利有重大影響時，應告知當事人─這方面，或許也是值得台灣借鏡的。

最後，在我國個資法下，涉及個人思想或信仰的資料，例如政治傾向，非屬特種資料，而GDPR則將包含哲學思想、宗教信仰及政治意見等資料皆納入原則不得蒐集處理的個資，台灣的個資法似乎也可以參考是否延伸特種個資的範圍。