第五章 行動應用軟體隱私保護標準
第一節 不被追蹤隱私標準
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第五章 行動應用軟體隱私保護標準
第一節 不被追蹤隱私標準
近二、三年由於智慧手機市占率攀升,行動應用軟體推出如雨 後春筍。國際研究暨顧問機構Gartner,公布 2012 年十大最受歡迎消 費性行動應用排名預測,依序為轉帳服務、行動定位服務、行動搜尋 服務、行動瀏覽服務、行動健康監測、行動付費服務、近距離無線網 路傳輸服務、行動廣告服務、行動即時通訊、行動音樂服務160。Gartner 更點名行動社交網路、行動應用商店和適地性服務,將是未來二年內 最具價值的行動服務,更進一步預期行動廣告將在二至五年間成為主 流161。畢竟行動廣告收入是支撐行動應用軟體發展的主要資金來源。
縱然在我國個人資料保護法施行後,廣告業者其在從事行銷活 動前,須依個資法第十九條第一項第五款規定,取得消費者書面同意 後,方可蒐集、處理及利用消費者的個人資料。因廣告業者與消費者 通常不具契約或類似契約之關係,可能會對網路追蹤式廣告之操作模 式形成一定程度的衝擊162。但縱使有法令規範,消費者還是每天收到 數不清的廣告信函,被迫看到網路廣告和行動廣告,除非目前使用網 際網路或行動網路,線上不被追蹤之選項是內定的,否則對於消費者 而言,不希望接收到追蹤式廣告,也只能透過點選「選擇退出」鈕,
或直接清除被植入的廣告追蹤Cookies,因此追蹤式廣告是很難防 範。近年消費者團體開始倡議不被追蹤隱私標準,即是希望透過全面 導入標準,期有效地防堵各種廣告追蹤。
第一項 FTC不被追蹤隱私標準建議
2007 年幾個代表消費者之團體,如世界隱私論壇(the World Privacy Forum)、CDT(Democracy and Technology)和 EFF(the
http://www.nfcworld.com/2012/07/03/316640/globalplatform-and-tcg-to-work-on-mobile-security-stan dards/ (last visited 2013/6/4)
160 Gartner 選出 2012 年十大消費性無線行動應用,2009 年 12 月 24 日,
http://www.ctimes.com.tw/DispNews/tw/LBS/NFC/Gartner/0911241813BO.shtml,最後上網日期 2013/6/23。
161 Gartner Highlights Top Consumer Mobile Applications and Services for Digital Marketing Leaders, October 11, 2012, http://www.gartner.com/newsroom/id/2194115 (last visited 2013/6/23)
162 簡榮宗,追蹤式廣告與個人資料保護的分界,台灣法律網,
http://www.lawtw.com/article.php?template=article_content&area=free_browse&parent_path=,1,561,
&job_id=186137&article_category_id=200&article_id=107773,最後上網日期 2013/6/23。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
Electronic Frontier Foundation)等,敦促 FTC 對線上廣告訂出「不 被追蹤(Do-Not-Track, DNT)」清單。將那些會放 Cookies 來追蹤 消費者的網域名稱,編成機器可讀取的清單。瀏覽器供應商、第三 方軟體製造商等,即可以付費取得清單,以有效地防堵各種形式的 追蹤。
2010 年美國FTC發布隱私報告草案,提供消費者、企業和政策 訂定者隱私架構,並為「不被追蹤」背書,期利於消費者得選擇是 否接受線上追蹤163。FTC於 2013 年 2 月發布之行動隱私揭露報 告164,建議行動產業應該將”do-not-track” 放到行動應用軟體,以 確保個人資料隱私安全。同時,FTC更催促智慧手機業者發展
“just-in-time”揭露通知,一旦使用者需要揭露類似定位之敏感資料 時,可以立即收到通知。理想上,使用者可以使用一站式儀表版
(one-stop “dashboard”),就如同Apple在iOS6 的隱私設定(iOS6 Privacy Settings Tab)和Android有行動應用軟體的設定畫面一樣。
2012 年歐巴馬發布的隱私權法案藍皮書,即提到消費者有權力對 個人資料進行管控165。FTC報告分別針對主要的利害關係者,提出 建議,以改善行動隱私揭露問題。除建議行動平台業者納
入”do-not-track”、 “just-in-time”和一站式公告版;建議行動應用軟 體開發者要建立隱私政策,納入“just-in-time”通知功能等;對網路 廣告商則建議要與平台業者和Apps業者合作,導入”do-not-track”;
建議行動應用軟體產業協會要訂定一套標準化的隱私政策。同時也 建議行動應用軟體開發商參考相關安全建議166,將隱私安全納入考 量167。
第二項 W3C不被追蹤隱私標準
Web應用軟體是指用XHTML(eXtensible HyperText Markup Language)或是加上CSS語法,或是HTTP運用主機端或使用者端 處理如JavaScript,以在Web瀏覽器提供類似應用軟體
163 FTC Staff Issues Privacy Report, Offers Framework for Consumers, Businesses, and Policymakers, December 1, 2010, http://www.ftc.gov/opa/2010/12/privacyreport.shtm (last visited 2013/6/2)
164 Mobile Privacy Disclosures:Building Trust Through Transparency , FTC Staff Report, February 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf (last visited 2013/6/4)
165 Chris Brook, FTC Endorses New Privacy Guidelines, Do Not Track for Mobile Apps, Devices, February 4, 2013 ,
http://threatpost.com/ftc-endorses-new-privacy-guidelines-do-not-track-mobile-apps-devices-020413/
(last visited 2013/6/4)
166 參考 Mobile App Developers: Start with Security, February 2013,
http://business.ftc.gov/documents/bus83-mobile-app-developers-start-security (last visited 2013/6/4)
167 FTC Staff Report Recommends Ways to Improve Mobile Privacy Disclosures, Released by FTC, Feburary 1, 2013, http://www.ftc.gov/opa/2013/02/mobileprivacy.shtm (last visited 2013/6/4)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(application-like)之經驗168。現有行動Web標準有:OMA(Open Mobile Alliance)、OMTP(Open Mobile Terminal Platform)的 BONDI、GSMA OneAPI、HTML5 等169。有鑑於行動裝置產品日增,
W3C特別發展各類技術之Web行動應用軟體標準。Web平台相關技 術範圍包括:繪圖(graphics)、多媒體(multimedia)、裝置適配(device adaptation)、形式(forms)、使用者介面(user interactions)、資料 儲存、個人資料管理(Personal Information Management, PIM)、感 知(sensors)和硬體整合、網路、通訊和發現、打包(packaging)、
表現和最佳化(performance & optimization)等,參考下圖170。
圖 4 Web 軟體發展平台
近十多年來,主要的線上廣告業者藉由Cookies提供「選擇推 出」機制,消費者可點選之,以表示不願線上瀏覽習慣被鎖定而收 到廣告。可透過造訪每一個廣告網頁取得選擇退出Cookies,或是 在NAI會員網站取得會員廣告商之選擇退出Cookies。一般在執行清 除Cookies動作時,提供選擇退出的Cookies將會被一併刪去,消費 者並無法單獨留下選擇退出的Cookies;因此,只要執行刪除 Cookies,即要重新透過廣告網站取得選擇退出的Cookies。2009 年 Google發布在自家的doubleclick.net提供瀏覽器附加元件,消費者載 入選擇永久退出行為廣告的Cookies,就不會意外地移除Google的 選擇退出Cookies。縱然Google有所突破,但消費者到了其他廣告 網站想保護隱私時,還是會面臨同樣的困擾171。因此Firefox最近宣
168 參考 http://www.w3.org/TR/mwabp/ (last visited 2013/6/1)
169 參考 Mobile Web Standards (OMA, BONDI, GSMA OneAPI, HTML5),
https://developer.att.com/developer/tierNpage.jsp?passedItemId=2400412 (last visited 2013/6/4)
170 Standards for Web Applications on Mobile: current state and roadmap, May 2012, http://www.w3.org/2012/05/mobile-web-app-state/ (last visited 2013/6/2)
171 The History of the Do Not Track Header, January 21, 2011,
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
布更聰明的Cookies政策,可以更貼近反映使用者的隱私偏好,粗 略地來說,就是僅有目前正在造訪的網站可以用Cookies進行跨網 站追蹤,來自第三方之追蹤即需要取得使用者之同意172。
2010 年微軟首次宣布 Internet Explore 9 採納 DNT 標準,Mozilla 的 Firefox 於 2011 年導入 DNT 標準。Apple 的 Safari、Opera 和 Google Chrome 之後也加入 DNT。IETF 網路工作組(Network Working Group)在 2011 年提出不被追蹤:全球性的第三方 Web 追蹤選擇 退出(Do Not Track: A Universal Third-Party Web Tracking Opt Out)
草案,定義 HTTP 標頭之 DNT 語法和語意,以及明訂 Web 服務對 此機制應怎樣回應。
為回應FTC的隱私報告草案,W3C由追蹤保護工作組(Tracking Protection Working Group)訂定不被追蹤隱私標準草案,並已於 2010 年發布第二版。W3C仍在進行先期工作階段,也收集包括 Facebook、Microsoft、 Mozilla、Google和其他相關建議,對採用
「不被追蹤」工具者要求須取得「肯定的、告知同意」173。DNT 通常是指賦予消費者得選擇不提供個人資料,以及得選擇個人在線 上瀏覽的習慣不被廣告商、行銷人員和網站追蹤。追蹤保護工作組 正在進行二項標準,第一個標準是追蹤偏好描述(Tracking
Preference Expression),定義瀏覽器可以告知網站某個使用者想要 更多隱私之標準;第二個標準是追蹤相容性和範圍之規格(Tracking Compliance and Scope Specification),詳細說明網站應如何去符合 不被追蹤之偏好。由於W3C最後訂定的標準並不具有強制執行力,
執法單位應該要求廣告產業協會之會員符合DNT標準174。但DAA
(Digital Advertising Alliance)耗時二年在堅持廣告選擇計畫
(ad-choices program),使消費者可選擇退出廣告,但顯然這並沒 有獲得法制人員的共鳴。DAA仍期待在W3C的DNT標準上有所突 破175。
http://paranoia.dubfire.net/2011/01/history-of-do-not-track-header.html (last visited 2013/6/1)
172 The New Firefox Cookie Policy, Feburary 22, 2013,
http://webpolicy.org/2013/02/22/the-new-firefox-cookie-policy/ (last visited 2013/6/6)
173 Richard Santalesa , W3C Publishes Draft “Do-Not-Track” Standard, November 18, 2011,
http://www.infolawgroup.com/2011/11/articles/privacy-law/w3c-publishes-draft-donottrack-standards/
(last visited 2013/6/2)
174 Mathew J. Schwartz, W3C Proposes Do Not Track Privacy Standard, November 14, 2011,
http://www.informationweek.com/security/privacy/w3c-proposes-do-not-track-privacy-standa/2319029 74 (last visited 2013/6/2)
175 Katy Bachman, What Exactly Does 'Do Not Track' Mean? Digital Advertising Alliance is fighting misinformation, May 6, 2013,
http://www.adweek.com/news/technology/what-exactly-does-do-not-track-mean-149149 (last visited 2013/6/2)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
2012 年 11 月W3C舉辦一場「不被追蹤和以外的事」研討會,
提到未來發展方向,彙整結論包括:現有DNT工作仍傾向支持Web 的長尾理論176,包含部落格和小眾網站;不被追蹤標準應該考量行 動內容,並且朝向Web應用軟體發展。W3C的隱私興趣組(Privacy Interest Group, PING)也討論到未來有待考量的問題,包括:怎樣 的Web隱私設計原則對Web是合理的?我們怎樣確保早點顧慮到隱 私?應該怎樣執行隱私審查177? W3C自 2011 年發布第一版編輯者的 追蹤偏好描述,直到 2013 年 4 月發布之追蹤偏好描述工作草案,
其中提到之用戶代理(user agent),是指各種得以啟動HTTP要求的 使用者端程式,並不限於瀏覽器、網路爬蟲(網路機器人)178、命 令列工具、原生型的應用軟體和行動應用軟體179。因此在W3C的追 蹤偏好描述,用戶代理是負責配置使用者偏好。推估在不久的將 來,W3C的DNT隱私標準將會順應趨勢,將行動內容與行動應用 軟體納入。
第三項 Google和Apple不被追蹤隱私標準
Google行動應用軟體網路廣告Admob,發布Apple作業系統 iOS6 的新版開發工具,用以整合Admob廣告至iPhone和iPad應用軟 體。Google新版規格採用Apple的廣告識別(Identifier for
Advertising)新功能,鎖定廣告時可用來辨別個別行動裝置。截至 目前,並無實際透過行動應用軟體追蹤的架構,而Apple的新架構 是接近行動應用軟體的「不被追蹤」,因為使用者可以用來控制開 啟或關閉廣告追蹤。該識別僅能用在頻率上限(frequency
capping)、事件轉換、估計使用者數、安全和錯誤偵測以及除錯。
Google起了帶頭作用,為其他廣告公司做了正面示範,這將是Apple
176 長尾理論(the long tail)是義大利經濟學者 Pareto 發現的 80/20 法則(Pareto Principle),即 20%的人貢獻 80%的成果。參考 Pareto principle,
http://www.businessdictionary.com/definition/Pareto-principle.html,依據長尾理論,我們的文化和 經濟已逐漸地由相對少數的主流產品市場移動,轉向尾端多數的利基市場移動。和 Anderson, Chris, The Long Tail, Wired Magazine, 12.10, October 2004, http://www.thelongtail.com/about.html
http://www.businessdictionary.com/definition/Pareto-principle.html,依據長尾理論,我們的文化和 經濟已逐漸地由相對少數的主流產品市場移動,轉向尾端多數的利基市場移動。和 Anderson, Chris, The Long Tail, Wired Magazine, 12.10, October 2004, http://www.thelongtail.com/about.html