苏南/脸书个资又外泄!大数据时代还有隐私吗?
4月初,脸书在亚马逊公司(Amazon)的云端伺服器爆发5.4亿笔个人资料外泄,隐私权有被侵害之虞。网路安全业者UpGuard的网路风险小组成员表示,大部分资料外泄由墨西哥Cultura Colectiva公司数位平台造成,包括用户帐号名称、留言、脸书ID和按赞数等。其实,UpGuard在1月10日就已经电邮通知Cultura Colectiva,但直到4月3日这些数据库才得以下架。
大数据是一种巨量数据的集合,无论在收集、储存、管理及分析等,皆远比通常的资料库系统规模更加庞大,运算及预测等功能也较为强大。大数据具有资料海量、流转快速、资料类型多样及价值密度低等四大特征,因此,大数据关注的是所有资料而非随机样本,不注重资料的精确性却注重资料的多样性及混杂性。
目前人手一支手机,处处可上网的链接(Link)时代,日常的网站搜寻历史、位置资讯、休闲喜好、网页浏览习惯及信用卡刷卡资讯等,可能会在个人不知情的情况下,被互联网公司收集成为大数据资料。而大数据资料成为一种新的经济资产,广告商为了追踪、分析与说服消费者,常借助不同的技术,如Cookies、Flash cookies、beacons、HTML5 Canvas Fingerprinting等,对用户行为进行追踪、记录且收集海量资料,再透过行为行销(behavioral marketing),针对性向用户投射其可能感兴趣的广告以刺激购买欲。这种建立在大数据基础上的跟踪技术,很多是在用户不知情下被使用,非无涉及对用户个人隐私权的侵犯。
1990年代,当网路引发经济问题时,欧盟就已开始制定与互联网相关的法律规范,如1995年的《资料保护指令》(95/46/EC)、《隐私与电子通讯指令》(2002/58/EC)及《资料留存指令》(2006/24/EC)等。2018年5月25日,欧盟的《通用资料保护条例》(GDPR)开始施行,明确个人隐私保护的义务及责任,包括资料处理须符合主体的合理期待,以及在一般情况下,禁止处理个人敏感资料(例如种族、政治倾向、宗教信仰、身份基因、身体健康等)。
美国则是在2007年,民主与科技中心(Center for Democracy and Technology)提出「Do Not Track」(请勿追踪),使消费者能拒绝网路广告公司对其网路行为进行追踪。2010年底,联邦交易委员会(FTC)提出「急速变化时代的消费者隐私保护」(Protecting Consumer Privacy in an Era of Rapid Change),采用「Do Not Track」为隐私权保护框架,并再提出「网路经济下商用资料隐私权与创新―一个动态的政策架构」(Commercial Data Privacy and Innovation in the Internet Economy: A Dynamic Policy Framework),主张须制订隐私权保护法案,并提议设立隐私政策局(Privacy Policy Office)。
2012年2月,美国颁布《消费者隐私保护法案》(Consumer Privacy Bill of Rights),具体定义消费者的权利包括:数位控制、透明度、尊重消费者所处的背景、安全性、资料存取与正确性、限制搜集、说明责任,而且Google、Yahoo、Microsoft等四百多家企业组成的网路广告同业团体―数位广告联盟(Digital Advertising Alliance)及美国网路业者,也宣布保证将采纳「Do Not Track」。
目前我国已制定《政府资讯公开法》及《个人资料保护法》,规范政府资讯公开以及个人隐私的保护,但实务上仍经常发生公共利益与隐私权的冲突,建议两者权衡,才能兼顾经济、新科技发展及个人基本权保障。
笔者认为,广告商透过网路或互联网搜集消费者资讯时,应兼顾其敏感性资料特性,结合「去识别化」(de-identification)技术,避免侵犯个人隐私,同时也能发展大数据技术。未来,更应参考欧盟及美国对个人隐私权的立法或修法保护,才能在追求资讯自由与人权保护间,找到平衡点。
好文推荐
●苏南,国立云林科技大学营建系及通识教育中心教授,交通大学土木工程博士,中正大学法学博士,中国政法大学法学博士。以上言论不代表本公司立场。