隨著社群平台逐漸成為現代人網路生活的核心,使用者所產生的個人資料與互動紀錄也被大量集中、壟斷於少數平台之中。用戶是否有權「下載」自己的資料?能否「帶著」資料轉往其他平台?這些問題,正逐漸從技術議題上升為全球立法討論的焦點。
本文將聚焦分析美國猶他州近期通過的《數位選擇法案》(Utah Digital Choice Act)、歐盟的 GDPR、DMA、Data Act、DGA 等資料主權相關法規,並討論台灣現行個資法是否足以回應此類需求,或有必要進一步修法或制定專法。一、猶他州《數位選擇法案》:地方立法的新典範
2025年3月通過的《Utah Digital Choice Act》(HB 418)堪稱全球首部針對「社群平台資料主權」明確立法的地方性法案,核心內容包含:
- ✅ 資料可攜權(Data Portability):使用者有權要求取得其在社群平台上的社交圖譜、互動紀錄,並以可讀格式轉移至其他平台。
- ✅ 資料互操作權(Interoperability):大型平台必須提供第三方可接入的 API,允許其他平台或應用程式存取使用者資料。
- ✅ 刪除權:用戶可請求刪除其在平台上的個資與互動紀錄。
此法案的立法精神明確,旨在打破社群平台對資料的壟斷,還給使用者真正的資料主權與選擇權。
二、歐盟資料主權法規的多層佈局
歐盟作為數位治理的全球領頭羊,早在猶他法案之前,即已建立多層次、交織互補的資料主權法制,包括:
1. 《GDPR》:資料保護的基本法
- 明定資料可攜權(第20條)、刪除權(第17條)、查詢權與知情義務;
- 保障個人對其資料的控制權,是全球資料保護的基礎法規。
2. 《DMA》(Digital Markets Act):針對超大型平台的互通與反壟斷規範
- 要求被指定為「守門人」的平台開放 API;
- 強制 Messenger/WhatsApp 等通訊軟體跨平台互通。
3. 《Data Act》:聚焦非個資的產業互操作與雲端解鎖
- IoT 裝置資料應可攜、可授權他人使用;
- 雲端平台不得設置過高資料遷移障礙;
- 強化企業與政府間資料共享規則。
4. 《Data Governance Act》(DGA):資料共享制度建構
- 設立資料中介機構制度;
- 鼓勵公益性資料共享(如科研、公益 AI);
- 保障使用者對資料共享的信任與透明。
✅ 從使用者資料權利,到平台義務與跨產業資料流通,歐盟形成「GDPR+DMA+Data Act+DGA」的四層資料治理架構,涵蓋個資、非個資、商業資料與公共資料。
三、台灣現行制度與修法契機
台灣目前的資料保護制度以《個人資料保護法》為主,但相較於上述國際立法,仍存在顯著落差:
四、數位發展部草案:資料創新 vs. 資料主權?
數位發展部於2025年提出的《促進資料創新利用發展條例》草案,主要著眼於:
- 政府資料開放;
- AI 訓練語料推動;
- 資料長制度與資料治理標準。
雖對資料再利用有正向意義,但在使用者資料主權、平台義務、互操作性等面向著墨甚少,與猶他法案或歐盟法規的結構性平台規範尚有差距。
五、建議立法策略:從個資法修法起步,逐步建構資料主權架構
建議台灣採「雙軌併行」策略:
✅ 短期內:
在《個資法》中增設「資料可攜」、「互操作性」與「刪除權」等條文,並賦予個人更強的控制權。
✅ 中長期:
參考 Data Act、DMA,制定專門針對平台治理與資料流通的《數位資料主權法》,強化平台義務、標準 API 規範、中介機構制度。
六、結語:從平台壟斷到資料民主
無論是猶他州地方立法的破口,或歐盟全面系統的資料治理體系,都傳達一個共同訊息:
「資料主權是數位民主的核心,用戶不應只是資料的提供者,更應是資料的掌控者。」
台灣若要真正邁入數位治理先進國家之列,勢必須將資料主權、互操作性與平台責任納入法制藍圖,從「資料驅動的經濟」,邁向「權利驅動的數位社會」。
歡迎留言交流。
