國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
149
第三項 資料汙染
巨量資料與演算法分析,對於傳統個人資料保護機制,所造成的另一個威脅 就是所謂的「資料汙染」(data pollution)現象。697資料汙染的現象說明,即便個 人完美控制其個人資料流通,但是他的個人可識別性卻可能經由他人無意間提供 的資訊所揭露。巨量資料的全面蒐集能力,可使得我們所揭露的有關他人的資訊 持續被蒐集、進而分析利用。698
舉例來說,如今我們所到之處,四周幾乎都有搭載 GPS 與社群媒體應用程 式的行動裝置,因此最為基本的,這些行動裝置持續的產生該使用者與其他人的 地理資料,699而他若使用社群媒體,則會更進一步的藉由貼文、照片、影像等形 式透露其他人的資訊。700因此,即使個人盡可能的不揭露個人資料,數位環境仍 然使得我們處於被披露的情況之下。
重點在於,巨量資料與演算法分析機制,透過統計關聯性的知識論,可以藉 由機器學習演算法的訓練,使個人的行為資料,最終不僅影響個人所觸及的內容、
服務、廣告,也可能連帶影響至其他被演算法視為同一群體內的個人,701個人資 料的揭露,不僅會影響到個人與單一的他人,而是會影響到一個群體中的許多其 他人,這就是資訊的「外溢效應」(spillover effects)。702也就是說,個人無意間透 露看似無害的資訊,例如個人興趣與愛好,在經由資料的累積與機器學習演算法 的分析後,可能會造成另一持有相同個人興趣與愛好的人,或是由演算法推論可 能具相同興趣與愛好的人受到影響,703演算法形塑並定義群體的身分認同。
在這樣的數位環境中,「告知與同意」機制也不再能發揮實質意義,因為
「有毒資料累積」(toxic data accumulation)的現象,704透過資料之間的比對與
697 Fairfield & Engel, supra note 400, at 395.
698 Id. at 395-396.
699 Id. at 401-402.
700 Id.
701 Id. at 395.
702 Id. at 407.
703 Id. at 408.
704 Id. at 399-406
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
150
分析,使得個人不但不曉得自己正在被觀看,他亦不需要真的被觀看,因為對 於他的分類、預測與調控的結果,可能都來自於對他的朋友、家人、互動對象 的資料挖掘。705無處不在的資料汙染,使得我們生活各方面的行為細節,都是 有交換價值的行為盈餘,最終成為作用在我們自己以及其他人身上的「知識」。
706我們的行為模式,可能透露連我們自己都不知悉的身分認同、傾向、意識形 態等,707這些「知識」不僅作用在我們身上,也連帶作用在其他被演算法判定 與我們有相同身分認同、傾向、意識形態的人身上。
第二節 個人資料保護機制的再思考
有鑒於資料科學的快速發展,使得現行個人資料保護機制在面臨巨量資料的 挑戰時顯得捉襟見肘。這是由於巨量資料的特徵屬性與現行公平資訊實踐原則和 各國個人資料保護及隱私規範的根本性對立使然。巨量資料科技使得「資料」與
「個人資料」性質產生改變,並且資料來源無所不在,削弱了傳統個人資料保護 機制的「告知與同意」原則的可實踐性。由於巨量資料可透過統計關聯性的知識 論,可「藉由 A 的行為盈餘,形塑 B 群體的知識與身分認同,將 C 分類至 B 群 體,並媒介 C 可觸及的廣告、服務、內容」,本文於第四章時曾檢視政府監控與 商業監控的演算法運作機制,如何可能造成潛在的錯誤與傷害。巨量資料作為知 識生產與治理的模式,其主要的養分來源就是大量的「資料汙染」,尤其在商業 監控的脈絡下,商業組織藉由免費服務的吸引,目的在於使用者「行為盈餘」的 榨取,並在利潤最大化的前提之上,基於其商業政策目的,對於仰賴其服務的人 口施予調控的治理。
公平資訊實踐原則,是資訊社會時代的產物,在巨量資料興起的數位環境下,
我們所面對的是截然不同的資料商品生產與流通方式,以及資料利用所得產生的
705 Balkin, supra note 369, at 12-13.
706 Id. at 13.
707 Id.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
151
龐大價值與風險。隨著全球資訊網(The World Wide Web)的出現,在近 20 年來 的發展下,網際網路已徹底改變人與世界的關係,它不僅扮演全球貿易的媒介、
亦是社會的媒介。708本文在第四章時亦曾提及科技的「媒介效應」會對人的思考 與認知能力產生的深遠影響,值得注意的是,掌握巨量資料技術的公司,其資本 增加的速度遠超其他公司,也連帶造成其權力的實質擴張,其對於人們日常行為 的影響力,很多時候甚至超越公部門所及。
另外一個需考量的重點是,監控資本主義的商品生產體系已是不可逆轉的趨 勢,就如同 20 世紀時的生產線改變工業化社會的商品生產體系一樣。並且,巨 量資料的應用在許多領域確實帶來以往無法企及的進展。因此,如何審慎的在資 料利用與使用者的權益乃至社會整體利益之間取得平衡,才應是面對巨量資料應 用的規範政策重點。
本文認為,基於巨量資料的效能,政府與商業組織以巨量資料監控作為各自 對於其掌握之人口的知識生產與治理模式,在許多情形下,會對於公民的隱私造 成威脅,削弱公民的主體性發展空間,損害隱私所保障三種的重要社會價值:人 際關係互動、創新、民主體制。以及在資料濫用與演算法自我增強機制的情況下 所造成的錯誤分類與歧視,以致於削弱公民社會整體的穩定與發展。
因此,面對巨量資料科技,政策制定者不應僅關注其「效益」與「利益」, 亦應該釐清巨量資料科技的使用可能造成的社會負面外部性。就政府監控而言,
在福利與安全的目的以外,必須避免大規模監控設施的存在,以造成社會集體的 寒蟬效應;而針對商業監控的治理,在巨量資料時代,網際網路服務業者甚至比 政府更全面的掌控公民的日常生活細節,並且在符合其利潤與商業議程的前提上,
對於使用者進行預測、分類與調控,但是使用者卻難以知悉其演算法的運作機制 與依據,必須賦予作為使用者的公民檢視並挑戰商業組織的演算法調控結果的權 利。
708 Fred H. Cate & Peter Cullen & Viktor Mayer-Schönberger, DATA PROTECTION PRINCIPLES FOR THE 21ST CENTURY: REVISING THE 1980 OECD GUIDELINES 5 (2014).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
152
綜合以上各種因素,有論者即提出個人資料保護機制的改革,應把規範的焦 點置於資料的「利用」(use),取代過去以規範資料的「蒐集」(collection)為主 的方式。709這不代表「告知與同意」機制不再重要,而是在新的數位體制中,以 資訊社會為規制對象的機制,已難以應付巨量資料科技與傳統資訊科技技術的本 質性差異,因此,我們的確需要一種新的個人資料保護機制,以補充「告知與同 意」機制的不足。2014 年美國總統行政辦公室的「總統科學與科技顧問委員會」
(PCAST)在一份巨量資料的報告中即建議巨量資料的政策方向應「更多的聚焦 於巨量資料的實際使用」上。710Fred H. Cate 也指出,由於巨量資料的資料來源廣 泛,許多資料來源並非由使用者所提供,因此無法針對這些資料特定其目的並提 供告知與同意機制;再者,許多資料的價值無法由蒐集當下時預知,711而必須藉 由演算法的邏輯與運算,形成潛在的價值或風險,也就是說,巨量資料造成資料 主體損害的來源,並不是僅來自資料本身、或是演算法本身,而是兩者的匯集
(confluence)。712因此,Cate 亦認為,個人資料保護機制必須將重點轉移至對於 資料管理者的「資料利用事件」的監督,尤其是在特定敏感資料的二次利用上,
建立資料活動的風險評估機制,以避免造成錯誤的行為決策。713
筆者認同 Cate 的觀點,在巨量資料時代下,應調整監管思維,將個人資料 保護機制的重點,聚焦於資料的利用活動,尤其是在資料蒐集時無法預見的後續 二次利用活動,以及根據資料利用對於使用者的預測、分類、調控等治理措施。
至於具體的實踐方式,首先,由於巨量資料的應用對於人思想與行動的介入範圍,
它可能造成某些難以實際評估的社會傷害,例如其無形中再現偏見或歧視的可能 性,因此,必須謹慎處理巨量資料的應用倫理議題,在其宣稱的客觀性背後,找 出技術理性隱藏的人為因素,並在維護公民社會的健全發展前提之上,透過跨領 域的對話與協作,在還沒有發展出明確的法律規範之前,試圖辨識出巨量資料的
709 Cate & Mayer-Schönberger, supra note 633, at 69.
710 Big Data and Privacy: A Technological Perspective, supra note 692, at 49.
711 Cate, supra note 655, at 15.
712 Big Data and Privacy: A Technological Perspective, supra note 692, at 49.
713 Cate, supra note 655, at 14-16.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
153
應用倫理,並共同遵守。再者,建立巨量資料利用的正當程序原則(due process), 讓使用者得以發動聽證等程序,挑戰公私部門對於使用者的預測、分類、調控的 結果;最後,發展商業組織的企業社會責任與自律規範,商業組織必須考量資訊 科技的媒介效應造成的負面外部性,形塑其企業社會責任,並藉由巨量資料產業 之間的合作,逐步發展為行為準則(code of conduct)及產業的自律規範(self-regulation)提供法律強制規範以外的解決方案。
在個人資料保護機制的原則性建議之後,本節最後將視角拉回我國個人資料 保護的修正,提出具體的建議,分為兩個部分:第一、盡速設置專責的資料保護 監管機構;第二、推動個人資料保護法的若干修正,包含建立資料管理機制,以
「資料保護影響評估」(data protection assessment)為主軸;再者,設置「資料保 護官」(data protection officer)ㄧ職,加強資料管理者的內部監督機制;最後,賦 予使用者新的資訊自主權,的課責性(accountability);再者,賦予使用者新的自 主權,以「刪除權」(right to erasure)、 「異議權」(right to object), 以及不受
「資料保護影響評估」(data protection assessment)為主軸;再者,設置「資料保 護官」(data protection officer)ㄧ職,加強資料管理者的內部監督機制;最後,賦 予使用者新的資訊自主權,的課責性(accountability);再者,賦予使用者新的自 主權,以「刪除權」(right to erasure)、 「異議權」(right to object), 以及不受