三、用戶一直都有掌控他們自己資料的權利?
祖克伯重複強調用戶擁有控制自己的個人資料是否提供予Facebook或第三人廠商的權利。然而,當我們使用Facebook時,我們是否是在正確評估個資可能被蒐集、利用的情形下而為「同意」?當我們「同意」之後,又真的可能有方法「控制」個人資料被利用的範圍嗎?個人資料保護法對於個人資料的蒐集、處理及利用,大的原則是採取「告知後同意」,亦即,大多數的情形,只要業者經過當事人的同意,即可對於個人資料進行蒐集、處理及利用。然而,「告知後同意」的原則卻在科技所帶來的「資訊不對稱」的大環境中,幾乎架空用戶對於個人資料的控制權利,除非我們選擇不要使用Facebook的服務。
舉例來說,Facebook並沒有讓使用者拒絕Facebook利用使用者上傳的照片進行臉部分析的權利,因此,只要我們上傳與朋友聚會的照片,會自動跳出建議標示的用戶名稱,通常都很準,但這有經過用戶同意嗎?用戶可以拒絕同意嗎?這都是祖克伯隱藏在「用戶一直都有掌控他們自己資料的權利」這樣官樣說詞之下,沒有告訴參議員及公眾的事實。
此外,第三方廠商透過Facebook機制登入提供服務時,我們通常會看到跳出某某服務將收到「公開的個人檔案、朋友名單和電子郵件」,詢問您是否要以Facebook的身分「繼續」,相信多數人都是直接點選「繼續」,然後,我們就將「公開的個人檔案、朋友名單和電子郵件」,在我們自己同意的情形下提供予該廠商,這似乎已經符合「告知後同意」的原則。然而,我們真的是在被「充分」告知相關資訊下所為之同意嗎?我們為了Facebook上的互動,可能已經選擇公開自己的姓名、性別、生日、大頭照等,但我們卻未必希望第三方廠商也拿到同樣完整的資料,但通常這種透過Facebook帳號登入,「公開的個人檔案」是無法選擇不提供予第三方廠商的;而「朋友名單」更是有趣,為什麼我們使用第三方廠商的服務,要連我們的Facebook朋友名單都交給第三方廠商?劍橋分析就是透過這樣的同意取得可以爬取其他Facebook用戶名單的門票,你沒有使用特定第三方應用程式,也可能因為你的Facebook朋友而導致你的資料被大量抓取、分析。更遑論我們真的都已經清楚被告知第三方廠商取得這些個人資料是做什麼用途嗎?
這也是網路時代個人資料保護法制面臨最大的挑戰,企業不願意或難以講清楚蒐集的目的及可能的影響或其必要性,而使用者通常因為個人資料的蒐集綁定著服務的使用,不依業者設計的流程提供個人資料,即無法順利使用服務,通常只能選擇不使用服務,就像是諸多名人決定刪除帳戶退出Facebook,不是矯情,只是無奈。事實上,個人資料保護法對於這樣「形式合法,未必實質合法」的現象,第5條特定規定,「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」Facebook作為社群平台,除了應對自己向用戶蒐集個人資料時提供其「控制權」之外,對於第三方廠商亦應透過程式的設計,給予用戶更細緻的「控制權」,以及用「預設不同意提供」取代現有「預設同意提供」的設計,避免第三方廠商「過度」蒐集個人資料。
四、我的團隊會稍後給你答案?
當祖克伯招架不住議員的問題時,最常使用的話術,便是「我的團隊會稍後給你答案」。然而,到今天我們沒看到任何Facebook對於媒體統計出來高達二、三十個稍後應該要提供的答案。一種可能是Facebook不能說或不想說,另一種可能則是真的不知道。作為律師,如果Facebook是我們的當事人,我們寧可這個答案是不能說或不想說,就算對外形象不佳,至少表示狀況還在掌握中。但以Facebook這個有史以來掌握最多人類社群活動個人資料,毫無先例可循的案例,恐怕我們都要準備好面對Facebook其實可能已經面臨個資的蒐集、處理與利用因為數量過於龐大,量變造成質變而導致「失控」的現實。
舉例來說,Facebook很明顯地無法知悉究竟有多少個人資料是在第三方廠商不合法的情形下取得?這點從Facebook原先公告約5千萬筆個人資料受到影響,其後又再增加到超過7千萬筆,也無法排除後續繼續增加的可能性。因為應用程式、科技設備互相串接並非全部在單一的企業控管下,Facebook也無法保證其已告知公眾Facebook取得的個人資料,就是完整、正確的答案,更不用說Facebook可能自己也不知道自己的工程師拿Facebook所蒐集的龐大資料正在做什麼事情?我們從二點就可以知道這種混亂的狀況可能是真實的處境,第一是曾經有張祖克伯受訪的照片中,筆電螢幕的鏡頭是用膠布貼起來,這對科技公司來說是很諷剌的事,但也說明連對科技最有「信仰」的一群人,也無法完全相信自己對科技設備的控制;第二是祖克伯也承認自己的個人資料也在外洩的範圍,無論此舉是否為博取同情,至少突顯了Facebook對於個人資料控管的能力,已遠低於其所擁有如此龐大個人資料的公眾期待。
五、面對「數據經濟」的未來,我們準備好了嗎?
為何Facebook因劍橋分析所帶來的網路個資風暴會引發各國媒體如此高的關注?或許正源於無論是企業或是群眾,我們都還沒有準備好面對「數據經濟」的未來。無論是企業或政府大力鼓吹的大數據或是AI,都有賴於龐大數據作為發展的基礎,而其中個人資料的議題是企業無法迴避的核心,如同個人資料保護法的立法理由所強調,在避免資訊隱私權受侵害的前提,促進個人資料合理利用,是企業與個人同時都必須面對的問題。企業不能將來自使用者的資料,當作是一般財產,一般民眾也沒有辦法完全的拒絕個人資料被蒐集與利用。
本次Facebook的個資風暴,突顯了一個殘酷的事實,就是在科技所帶來資訊不對稱的社會環境中,相對於大型的網路企業,多數的用戶可以說是沒有能力知悉或控制被蒐集後的個人資料如何的利用與流動,只能取決於企業在個人資料政策上的「自治」與「自制」。祖克伯多次提及歐盟即將於2018年5月25日實施的GDPR(General Data Protection Regulation, 通用資料保護規則),其實正是源自於社會上對科技原有的脆弱信任,因諸多的個資事件而逐漸崩解,只能透過法律強化對於個人資料保護,繼續維繫、平衡「數據經濟」時代的個資利用需求。
事實上,國內像是雄獅旅行社、1111人力銀行等個資事件,無論主要是否歸因於企業本身,這類的事件都會形成一個負面的印象,就是企業沒有足夠的能力控管其向公眾蒐集的龐大個人資料,這並不是突發的個案,而只是冰山的一角,必須採取更積極的態度面對個人資料的議題,才能面對只會愈來愈嚴格的個人資料法律規範;而每一個個人也不再能夠單純信任或依賴企業的機制或法律的保障,除對於企業所提供「複雜」的個人資料控管機制要再更加重視之外,減少個人資料的外流,或許才是最有效的自我保護方式。
本文刊登於會計研究月刊第390期,2018年5月
