平日上班時間 08:00~17:00

數位時代的個資保護

2015年12月29日 02:10

在健身中心,如果教練詢問你姓名、年齡、身高、體重等資訊,你不會覺得奇怪,因為可能他想設計一符合需要的課程;至如教練進一步問有那些好友、常與誰通電話,甚至要你提供生活照片,你就會警覺、猶豫,甚至拒絕提供。

另一方面,有趣的是,不少人為了健身,會在網路商店下載App,以最簡單的計步器為例,如有意下載,系統會徵訊對特定事項的存取權,一般人通常就迅速點擊同意,以利下載。但如仔細閱讀,會發現同意存取的範圍除個人資料、位置外,還包括多媒體及照片檔案、WiFi連線資訊、通話資訊,甚至有的還要連絡人資料。計步器App的開發商為何需要有許多與健康不相干資訊的存取權?在數位時代的消費者為何會隨意答應釋出許多有關隱私的資訊?

個資的蒐集、處理、利用,在現代儲存成本降低、分析工具精進、資料來源劇增(大數據)的加持下,可以對社會有正面的貢獻。例如可從事大規模更精確的學術研究、歸納分析消費行為衍生高品質的服務、有效率追查犯罪,增進公共利益等。但隨科技的進步,個資亦有可能被濫用,輕則用以商業行銷騷擾個人生活,重則淪為犯罪工具遂行不法、成為統治工具加強箝制等。

早在二十多年前,當人類社會開始以電腦大量儲存、處理個人資料時,各國就開始對個資保護的立法,例如早期德國的Datenschutzgesetz、歐盟的Data Protection Directive以及我國的「電腦個人資料保護法」皆屬之。

經過多年發展,各國有關個資保護的法律,雖標準不盡一致,但基本上對公務或非公務機關蒐集、處理、利用個人資訊,原則上會遵守兩項遊戲規則,其一是基於特定目的,其二是須經當事人同意。我國前述民國84年的舊法以及民國99年修正並更名的「個人資料保護法」(依第56條規定由行政院另訂施行日期為101年10月),都依循此兩項基本要求。

但在目前以下載App為生活常態的世界,這兩項原則都發生適用上的偏差。首先消費者鮮少看到App開發商有說明要求存取權之目的,而其適用是否涵蓋處理及利用(簡言之,就是整理、分析、出售、行銷等)?但這點廠商尚可補正或辯解。然而對當事人同意一項,就有點不符「誠實信用原則」。

絕大多數的消費者,在下載(購買)App時,是不加思索點擊同意欄,縱然閱讀後有所猶豫,消費者亦只能選擇下載或拒絕安裝,不像平日以書面進行定型化契約時,可以勾選不同意蒐集、利用,但仍然可以完成商品或服務的簽約行為。此外,依個資法第7、8條,蒐集者(廠商)尚應告知本身的名稱、如何行使第3條的權利、資料的類別,以及利用的期間、地區、對象及方式,在實務上這也是多數廠商易於忽略的事項。

其中最嚴肅的是,依第3條規定,消費者有權要求停止蒐集、處理、利用其資訊,亦可要求廠商刪除其資訊,尤其是後者,自從去年5/13歐盟法院肯定Right to be forgotten後,已是國際個資保護的基本權,但在目前App使用實務上,消費者根本不知廠商的名稱、地址及通知方式,而且在跨國因素的障礙下,消費者維護個資,恐怕相當辛苦。

兩年多前的史諾登事件,以及上個月發生的巴黎恐攻事件,都引發西方國家熱烈討論隱私與國家安全平衡的議題,台灣在討論此等高層次問題前,應該先練些基本功夫,包括如何落實個資法第3條的權利,廠商也應思考Privacy by Design,也就是在個資蒐集利用的系統設計上,就預設最大限度的保護,而對PIA(隱私衝擊評估)也應列為業務推展的優先基礎工作。

新聞出處:本文刊載於2015.12.22經濟日報