美國即將跟進歐盟搞GDPR?!

胡雅筑 律師 全球視野


為了建立美國自己的聯邦層級隱私法案,美國參議院商務委員會(Senate Commerce Committee)在今年9月26日召開一場有關擬定消費者隱私法案之聽證會,出席業者包括Amazon、Apple、 AT&T、 Charter、 Google 及Twitte等六大科技巨擘。該聽證會主要聚焦在徵詢科技業者現行處理用戶資料之方式、商業模式、對於消費者隱私保護之態度,以及如何在現有隱私權法規(包括歐盟的一般資料保護規則GDPR及近期通過的加州消費者隱私法案)基礎下,制定出屬於美國自己的隱私權法規。

聽證會中,各大科技業者均認為,制定聯邦層級的隱私權法案有其必要性;然而,業者亦認為,聯邦層級的隱私權法案對於不同產業間,必須具有「明確性且一致性」(clarity and consistency)。由於歐盟GDPR及加州消費者隱私法案之規定相對嚴苛,對於科技業者而言,美國聯邦隱私法案的擬定意味著科技業者得從頭參與立法過程,並希望藉由聯邦隱私法案之推動,取代現有之GDPR、加州消費者隱私法案,甚至未來其他州各自之隱私法案。

GDPR的嚴格規定使得科技業者們無不戰戰兢兢,嚴陣以待;Google隱私長Keith Enright在本次聽證會上即表示,遵循GDPR將是一項「巨大的挑戰」(tremendous challenge),其他科技公司代表亦擔心新創公司及其他小公司因巨額法遵成本可能帶來之難題。歐盟GDPR於今年5月份正式生效後,在歐盟境內之分支機構所為之個人資料處理活動,不問該處理是否發生於歐盟境內、對於歐盟境內之資料主體提供商品或服務,均包括在GDPR應適用之範圍內(GDPR第3條),此外,歐洲公民對於其個人資料如何蒐集使用擁有更大的控制權(GDPR第15條至第22條),GDPR將任何有關「識別或可得識別資料主體」之資訊均囊括在「個人資料」範圍內,歐盟法院甚至明確於判決中指出,在與其他資料結合下,浮動IP(dynamic IP address)亦可以間接識別當事人,這種情形下,浮動IP亦構成GDPR規範下之「個人資料」。

一般而言,矽谷公司傾向自我監管而非透過立法管制;然而,有鑑於歐盟GDPR規範,以及被稱為全美最嚴格,甚至被加州檢察長批評為「無法實行」(unworkable)之加州隱私法案通過後,促使矽谷科技業者願意接受主管機關監管業者保護消費者隱私之事實,寧願在與主管機關的談判桌上先取得談判先機,也不願直接抗拒主管機關之監管。

參考資料:

  1. The Cybersecurity 202: Senate hearing highlights challenges of crafting national privacy law
  2. Silicon Valley finally pushes for data privacy laws at Senate hearing