◎賴文智、王文君
貳、資料可能涉及的法律風險
由公司治理的角度,企業資料治理在合法性的確保是非常最要的環節,目前資料主要涉及的法律風險,大概可以區分成:智慧財產權、個人資料、不公平競爭與反托拉斯法、資訊安全等方面。若由法律風險如何產生的角度來觀察,筆者認為企業在資料治理上的法律風險主要來自於下述幾項議題:
一、資料混同與權利碎片化
如果是具有邏輯性的資料庫,在蒐集資料時的「目的性」很強,企業很清楚知道蒐集、產出與利用何種資料,至少在規範上較容易要求每一筆資料都確保在取得、授權等權利面是乾淨、安全的。但在巨量資料的年代,許多資料都是以無序、雜亂、多多益善的方式蒐集,企業蒐集時不完全清楚目的,也很難僅使用單一資料來源,甚至被迫必須混雜不同來源的資料始能發揮巨量資料真正潛在價值,此時,即須面對資料「巨量」,且單一資料權利未必能夠處理完整的「權利碎片化」情形,幾乎可說沒有任何一家擁有巨量資料的企業,其資料是「絕對」合法。
現行法制保障創作者與當事人的著作權及個人資料權益,然而,若政府或企業如無從合法取得大量的資料,將難以因應社會未來的發展與需求,此時,企業的資料治理無法僅停留在「法規遵循」這個層次,無可避免碰觸到須尋求公共利益與私人權益衝突平衡的「倫理」問題,甚至必須推動相關的立法以解決此等議題。
二、個資難以真正去識別化
個人資料保護法未免對於個人資料定義掛一漏萬,概括納入「其他得以直接或間接方式識別該個人之資料」,反面解釋即是凡無法直接、間接識別該個人之資料,即非法律所保護之個人資料,該等資料即為所謂「去識別化」的資料。將企業特定含有個人資料的資產,透過去識別化的方式,使其無法再直接、間接識別或連結至特定個人,成為在個資權益意識高漲下,企業巨量資料應用的主要方式。
然而,當公眾大量依賴網路或未來的「元宇宙」服務,都同樣會面臨個人資料被大量蒐集,一舉一動時時刻刻被記錄著,擁有大量資料的業者光是依賴不含個人識別資料的行為特徵分析,即可能充分地「預測」你是誰、會做什麼樣的決策、可以用什麼樣的方式影響你。更不用說,這些表面上去識別化的資料可能被「合法」的移轉或買賣,再與取得者原本自有或從他處再購得的資料結合比對,企業是否真正無法直接或間接識別特定個人?甚至因為表面上已去識別化,而無須遵守GDPR等各國個資規範將之用於使用者的「剖析(Profiling)」之用?都可能在未來引發違法的風險。
三、來自消費者保護的資料利用限制
當企業取得大量其使用者的資料後,該擔心的就是消費者。以機票、訂房等平台為例,先前曾有網友建議開啟「無痕模式」使用的「都市傳說」,因為機票、訂房網站可以從使用者的網路搜尋或其他使用的資料,「預測」使用者購票或訂房的需求「強度」,反而會提供使用者可接受但相對較高的票價或房價予該等需求強度高的使用者,以提高平台本身的利潤。無論這樣的「都市傳說」是否是真的,至少在技術上網路平台的業者是絕對做得到,就好像請老闆推薦餐廳好吃的料理,老闆推薦「利潤高」且「好吃」的料理才是最理性的決策。但企業在要求使用者大量提供資料的同時,又可以用這些資料作成對企業有利但對使用者可能相對不利的商業決策時,難道只能信任企業經營者的「良心」。
當然不應該這樣,2018年加州消費者隱私保護法雖然只從個人資料的保護出發,但由於法案名稱即已宣告政府將由「消費者保護」角度加強企業對於資料應用的監管,而2020年底歐盟所提出的數位服務法(Digital Services Act)提案,針對不同規模的網路服務業者課予不同層級的義務,提高其資料使用的透明度,未來也將會是企業資料治理應思考的核心議題。
四、資料壟斷與不足
科技、零售巨擘蒐集大量的使用者資料,在分析後取得比其他業者更多的資訊,能作出更精確的市場動態、產品發展之決策,相較其他沒有巨量資料的競爭對手,可能導致市場競爭秩序的失衡,大者恆大甚至拉高進入門檻而實質阻斷競爭,成為近年各國政府最重視的反托拉斯議題。Google、Amazon、Apple、Facebook及Microsoft等網路巨擘近年來在歐、美所面臨的反托拉斯訴訟、調查與處分,正是資料經濟時代的新指標。歐盟2020年底所發布的數位市場法(Digital Markets Act)提案,更是希冀以此解決不同規模線上數位平台因是否具備「資訊中介者」身分而導致之市場不公平競爭或歧視。
然而,對於其他中小型業者而言,反托拉斯法或許是合法取得大型網路業者所掌握大量使用者資料的「敲門磚」,大型網路業者忌憚遭反托拉斯法的調查,而對中小型業者開放資料的合作會是未來可運用的資料治理策略。2021年9月《要塞英雄》(Fortnite)的開發公司 Epic Games 針對AppStore限制開發商導引使用者使用自家的支付機制,強制收取30% In-App Purchase費用,控告Apple濫用市場壟斷地位案件的判決,雖未認定AppStore構成市場獨占地位,但其限制開發商不得導向In-App Purchase以外的付款機制的條款構成不公平競爭,也算是獲得初步勝利。App開發商未來透過自身的付款機制,除可減少30%費用支出,也可以直接向使用者取得更多資料。
五、資訊安全
資料作為企業的重要無形資產,無論從個人資料或營業秘密保護的角度,資訊安全都是現代企業須重視的議題。依據IBM所發布《2021資料外洩成本報告》,企業資料外洩成本平均從USD 386萬上升至USD 424萬[1],國內上市櫃企業幾乎每星期都有資安事件發生,若涉及外洩的資料包括消費者的個人資料、客戶的營業秘密等,更會引發後續企業的法律責任。
2018年通過的《資通安全管理法》,主要是規範政府機關,對於民間企業並非全體適用,僅限於「特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人」。金管會證期局於2021年10月5日預告修正「公開發行公司年報應行記載事項準則」部分條文修正草案,其中第二大點為強化資通安全管理之資訊揭露,包括:公司應敘明資通安全政策、具體管理方案及投入資通安全管理之資源等資訊,以及應揭露因重大資通安全事件所遭受之損失、可能影響及因應措施,以及資通安全風險對公司財務業務之影響及因應措施[2]。若企業資料治理沒有上軌道,自然不可能在資安事件發生時,有效評估可能遭受之損失、影響及相關因應措施。
參、結論
企業資料治理是有關確保企業資料資產正式管理的執行與流程的設計與規劃的統稱。通常也會包括如資料管理方法、資料品質及其他用以協助企業能夠對其資料資產在方法、技術、行為等獲得更佳控制的概念,如:資料的安全性、隱私、正確性、利用性、整合性、合規性、可提供性、資料管理的角色與權責,以及資料在企業內部與外部流程整體的管理。資料作為21世紀主要經濟驅動的資源,資料治理已成為現代企業提升公司治理的關鍵。
面對巨量資料(Big Data)年代,資料量龐「大」(Volume)、變化飛「快」(Velocity),種類繁「雜」(Variety),以及真偽存「疑」(Veracity)[3]的特性,近年來在智慧財產權、個人資料保護、反托拉斯法、不公平競爭(消費者保護)、資訊安全等法規的國際發展趨勢,再再都對企業資料治理帶來外部壓力。值此時刻,企業確有必要由「法律風險」的角度,重新檢視資料治理的組織架構、權責、流程等,是否足以支撐企業了解、管理自己所擁有的資料資產,並滿足企業對外提供商品或服務的商業活動需求。
[1] https://www.ibm.com/tw-zh/security/data-breach, 2021/11/29visited.
[2] https://www.sfb.gov.tw/ch/home.jsp?id=2&parentpath=0&mcustomize=news_view.jsp&dataserno=202110050001&dtable=News, 2021/11/29 visited.
[3] 巨量資料的時代,用「大、快、雜、疑」四字箴言帶你認識大數據,Insyde,https://www.inside.com.tw/article/4356-big-data-1-origin-and-4vs, 2021/11/29 visited.