當創新對上人權：GDPR讓國外新創放大絕，直接拒絕服務歐盟客戶

5月25日施行的GDPR不僅影響航空、金融、電信與旅遊等產業，60%的企業認為還沒有準備好，如個資外洩72小時通報主關機關、設立資料保護長（DPO）與被遺忘權等繁雜法規多如牛毛，加總100萬元起跳的合規費用更壓得新創喘不過氣。

新創放大絕，直接拒絕服務歐盟用戶

台灣尚未傳出新創因此放棄歐盟市場，但如物品租借平台Streetlend與電子郵件所訂閱的內容服務Unroll.me等國外新創早「放大絕」，不僅把歐盟用戶資料刪光光，還拒絕提供服務。

業者抱怨，GDPR法規傷害新創，鞏固Facebook與Google等科技巨頭地位，只有大型企業才負擔得起合規費用。去管制化（deregulation）一直是求創新的重要關鍵，但當創新遇見被視為人權保護的GDPR法規，兩者孰輕孰重？另外，GDPR對於新創與創新技術有什麼影響？

從黑貓換成Fedex也要重簽合約書

首先，搜集與處理用戶個資都必須獲得使用者同意，並且讓使用者真正理解使用目的，不容許模糊空間。理律法務事務所合夥人曾更瑩就舉例，不能只寫某某集團將使用該資料，必須寫清楚哪些子公司。曾更瑩指出，新創公司多才成立三年以內，商業模式快速變化，創辦人也很難知道數據最終用途，更難和資料所有者說清楚講明白，「若公司有委外服務，如快遞等物流服務，那轉換物流業者時，也必須和資料所有者再說明。這些合規程序這對新創公司來說都是成本。」

另外，GDPR也要求企業不論大小都要設立資料保護長（Data Protection Officer，DPO）。對新創來說創辦人自己都必須校長兼撞鐘了，DPO成為沈重的人事負擔。曾更瑩就說，「法規龐雜，不僅需要資料長，還需要一個包括IT、資料處理、行銷與客服等多跨部門多人團隊協助。」

更別說所有產品設計一開始必須含有隱私設計思維（Privacy by design）。在產品設計當初就必須考量GDPR法規，從資安系統，使用者合約、資訊管理系統等全方面設計。總和來看，GDPR雖然也有含有公平交易，數據共享的資料可攜權等有助新創條文，但總體而言，合規成本相對營收高，最終『弊大於利』。」葉奇鑫認為。

被遺忘權讓區塊鏈都不區塊鏈了！

另外，不僅對新創來說合規本身所需的費用高昂，GDPR也有幾項法規條文和創新技術本質抵觸，其中討論度最高的當屬被遺忘權（the right to forgotten）與區塊鏈。

一名區塊鏈業者就直言，「技術上當然可讓區塊鏈資料更改刪除，但若真的這麼做，區塊鏈都不區塊鏈了！和其本質背道而馳。」「只要有一個消費者要求移除資料，整個區塊鏈都要重新設計。若提供B2B金融交易帳務業務，觸法風險不高，但若面向一般消費者，就要小心了。」微軟全球助理法務長、台灣微軟公共暨法律事務部總經理施立成指出。

被遺忘權讓資料當事人(data subject)在特定條件下，有要求資料控制者（datacontroller）刪除其個資的權利，且不僅要刪除連結（links）、複本（copy）還包括再製本（replication）。區塊鏈技術則強調資料組成一線性鏈防止資料被更改，記錄在區塊鏈上的資料「不可竄改」，因此值得被信任，保證資料安全、透明與可永久紀錄。由此看來，可刪除資料不僅和區塊鏈不可竄改永久保存本質抵觸，也無法如資料當事人要求刪除。

個人化自動決策的拒絕權：打開機器學習的黑盒子

不僅區塊鏈技術，GDPR也可能會影響蓬勃發展中的機器學習技術。AppWorks法務輔導長暨明日科技法律事務所主持律師就在文章中指出，「針對「個人化自動決策賦予用戶請求解釋、拒絕適用權利 (Right to Explanation / Right Not to Be Subject)，其實就是將近年來學術討論逐漸熱絡的「可信任／解釋的人工智慧」(Trustable/Explainable AI) 直接納入法律。」

機器學習是個黑盒子，尤其是非監督式學習。我們僅能得知輸入的資料和輸出的結果，不知原因，而可信任與可解釋AI，希望模型在輸出結果的同時，也輸出決策背後原因，避免數學模型學到人類歧視行為。個人化自動決策的拒絕權讓我們能理解機器學習的原理原則，並且可以拒絕採用結果。不讓機器學習成果無限上綱。