中央目的事業主管機關應公開行政檢查的標準與審查報告 103

就行動應用程式的個人資料保護議題，我國目前缺乏依照行動應用程式產業 特性的個人資料保護框架，或是具體之教戰守則。雖然經濟部工業局已經編製「個 人資料法規遵循參考指引暨宣導手冊——資服業個資教戰手冊（以下簡稱資服業 個資教戰手冊）｣，供資訊服務業者作為個資指引，似乎可作為行動應用程式業 者的個資管理參考。然而很可惜的是，教戰手冊的內容主要在於介紹個人資料保 護法的內容與條文釋義，以及提供個人資料管理機制與管理流程的建議，雖然設 有「資訊服務業者應注意事項常見問答｣的章節，但內容流於泛泛且過於簡略，

多半仍然停留在個資法的法條解釋，並未針對個別產業的特性，提出個人資料保 護的框架性建議。例如在這本教戰手冊中，雖然特別針對雲端服務業者提出個資 處理的問與答，但僅著重在「個人資料的國際傳輸｣，對於雲端資料的儲存或是 通知和同意的具體型態等個資保護實務重要問題，均未提出更具體的建議²⁸¹。

從美國與歐盟的意見書或報告可發現，意見書的內容應該針對產業的特性，

依據相關法律或原則，提出具體的個人資料保護框架與建議。由於行動應用程式 產業有別於一般網路產業，有不同的業者參與，包含製造商、平台業者和開發商，

應個別賦予不同的個資保護責任。尤有甚者，智慧型裝置經常同時搭載數個行動 應用程式，蒐集使用者多種類型的個人資料，主管機關應該針對此種產業特性，

提供具體的建議與個資保護方針。再者，由於行動應用程式開發商多為中小型企 業或個人創作者，在使用者個資保護方面欠缺足夠的知識與能力，亟需政府專責 單位給予具體可行的詳細指引，以供業者與使用者遵守和參考。最後，主管機關 應妥善進行行政監督，中央目的事業各個主管機關應公開其行政檢查的標準，供 業者得以預見並行修改，並針對有隱私疑慮的行動應用程式產業業者進行調查，

並將審查結果公開，讓使用者得以了解可以信任或不可信賴那些業者。透過審查 報告的公開，亦可督促業者提升隱私保護的設計和呈現，可收一石二鳥之效。

總結以上，我國政府首先應就我國行動應用程式使者的隱私意識、決定下載 的動機、與同意隱私權政策的內容，接受業者蒐集、利用和揭露個人資料的態度 等，進行全面性調查，以確保隱私保護之規範內容與國內使用者交易習慣和使用 脈絡兩相符合。其次，應透過編製行動隱私保護意見書之方式，將告知、特定目 的和同意等三個法律要件與管制密度，清楚加以闡述，並與行動應用程式的現況 加以緊急結合。最後，在政策方向上，應該力求業者隱私通知能夠做到簡明扼要，

281 前揭註39，頁 26-27。

104

並且研究發展符合我國民情的隱私標示，教育業者在設計應用程式之初，就將隱 私保護機制落實於程式設計之中，同時並教育使用者如何在充滿個資侵害陷阱的 行動商務環境之下，應該如何自保。

105

七、 結論

隨著智慧型裝置的普及，以及行動應用程式產業的蓬勃發展，正如美國國家 安全局前雇員 Edward Snowden 所言：「我們的口袋裡裝有各種感應器，我們的行 蹤時刻受到追蹤²⁸²」，人們的生活和智慧型裝置與行動應用程式越來越密切。然 而在行動應用程式得以蒐集廣泛且深入的個人資料時，會因為以下二種情況而侵 害使用者的隱私。首先，若行動應用程式產業業者未能在使用者下載程式前，以 清楚易懂的方式，充分揭露蒐集個人資料的種類、蒐集的目的、以及可能將資料 分享給那些第三方業者，則使用者因為不知悉業者的行為，而無法掌控其個人資 料的流向，而無法確保自己的隱私。其次，縱然業者以隱私聲明的方式，載列業 者的隱私操作和行為，並提供使用者各項隱私保護的保證以及隱私設定，惟若業 者的隱私實踐和操作，卻未依照其所揭示的隱私聲明或隱私設定，在此陽奉陰違 的情況下，仍然侵害使用者的隱私，且因為欺罔使用者的信任，對使用者隱私的 傷害更甚於第一種情況。這二種情況的共通點皆在於因為使用者的不知情，削弱 使用者對個人資料的控制力，而危害自身的隱私，而這也是本文所欲探究、解決 的議題。 

首先本文透過問卷調查以及量化分析，了解我國的行動應用程式使用者對行 動應用程式隱私聲明的了解程度，可發現僅有少數的使用者在下載程式前，會閱 讀隱私通知；且看懂隱私聲明的比例也偏低。此外，進一步探究為何不閱讀隱私 通知或看不懂隱私通知的原因，亦可發現隱私通知的長度和隱私通知的術語艱澀 等原因，皆使得閱讀隱私通知的門檻提高。因此本文發現保護行動應用程式使用 者的隱私的首要關鍵，應該從改善隱私聲明的運作方式下手。 

本文量化的結論，亦和歐盟、美國對行動隱私的討論和所採取的政策相同。

從比較法途徑分析可發現，歐盟在個人資料保護指令中，本身就有針對通知義務 與同意進行規範，在「對於智慧型設備（smart  device）應用程式的意見書｣中，

則是闡述各行動應用程式業者應如何履行法定義務。另一方面，美國對於行動應 用程式產業的隱私保護建議，則偏向透過業者的自律以及產業公會的力量，制定 出產業內部的規範和「隱私聲明｣的統一型態，例如建立標誌或者圖像，便利使 用者得以閱讀此等統一的通知模式，了解業者的隱私實踐。然而無論管制行動隱 私的途徑是採取以政府管制為主的歐盟，亦或是以市場機制為主的美國，均可發 現為能增加使用者對個人資料的控制與自主權利，皆透過修正現行「通知和同意 機制｣著手。此外，針對行動應用程式開發商、行動設備製造商、作業系統商、

行動應用程式商店、以及第三方業者等，分別提出強化使用者自主控制力或者增        

282 史諾登上電視 籲團結抵監控，聯合晚報，

http://udn.com/NEWS/WORLD/WOR3/8385635.shtml（最後瀏覽時間：2013 年 12 月 31 日）。

106

進使用者閱讀隱私聲明程度的解決方式。更甚者，GPEN 的「網路隱私搜查｣和第 三十五屆國際資料保護與隱私權委員大會的「華沙宣言｣，亦認為應從改善現行 通知和同意機制下手。 

本文根據量化研究以及文獻閱讀，認為現行通知和同意機制的弊病在於以下 五點原因：（1）詰屈聱牙的隱私聲明，隱私聲明不僅又長又艱澀，而且有時還有 語言不通的問題，導致使用者難以理解隱私聲明的內容；（2）使用者的隱私矛盾，

雖然使用者在意自身隱私，但因為無法了解業者的隱私操作，因而不能確實、理 性地評估下載應用程式後可能招致的隱私風險；（3）涉及多方業者，由於一個智 慧型裝置涉及多方且多種行動應用程式產業業者，難以期待使用者每一次下載或 使用應用程式前，能一一閱讀且理性地判斷業者的隱私實踐是否確能保護其隱私；

（4）個人資料聚合之後的弊病，使用者可能以為行動應用程式業者所蒐集的資 料，都是無關緊要或無傷大雅的個人資料不甚要緊，然而當中性的資料經會交叉 分析後，可能會顯示當事人的機密資訊或行為軌跡，造成隱私的侵害；（5）業者 和使用者的實力落差，使用者不僅和業者間存在資訊落差，還因為使用者不具有 磋商籌碼和談判空間，而無法改變業者的隱私聲明與操作；以及（6）行動裝置 的硬體侷限，因為螢幕的大小以及觸控式的操作，限制了隱私聲明的呈現與揭示。 

既然問題的根本在於使用者的不知情，則因朝向拉近業者和使用者間的資訊 落差的方向解決。本文認為可分成三個階段修正現行的通知和同意機制。在第一 階段，先改善當前的問題，調整揭露的方式。首先，盡可能採取選擇加入的模式，

提供使用者自行決定應用程式蒐集資料或提供服務的程度；此外，盡可能簡化隱 私通知的內容，以淺顯易懂的語言，避免運用術語來解釋、描述業者蒐集個人資 料的種類、目的、關聯性以及合作的第三方業者名單。在第二階段，透過改變隱 私聲明的揭示方式，根本解決通知和同意機制的問題。在第三階段，則是透過教 育、媒體和主管機關積極為行政檢查的力量，喚起使用者的隱私自覺。 

最後，針對行動應用程式適用我國個人資料保護法時，面臨到的困難有二：

個資法無法規範行動應用程式商店與中央目的事業主管機關不明確。首先，行動 應用程式商店如僅為行動應用程式開發商蒐集個人資料的助手時，並不具有個資 法之主體適格，不受個資法拘束。然而行動應用程式商店立於個資蒐集的關鍵地 位，如未能予以規範，將形成隱私保護的漏洞。因此本文建議透過修法，納入「協 助｣蒐集個資的媒介業者為適用主體，明文規範其監督義務。

其次，雖得以從產業分類推測行動應用程式的主管機關為經濟部工業局，惟 工業局管轄的產業範圍既多且雜，是否真的能有效監督、審查行動應用程式產業 的隱私實踐，大有疑問。其次，縱然主管機關明確，然而主管機關如果未能提出

其次，雖得以從產業分類推測行動應用程式的主管機關為經濟部工業局，惟 工業局管轄的產業範圍既多且雜，是否真的能有效監督、審查行動應用程式產業 的隱私實踐，大有疑問。其次，縱然主管機關明確，然而主管機關如果未能提出