聯邦法層次

3.2.1.1. 一般網路消費者的隱私權保護

在涉及使用者的網路個人資訊蒐集議題，美國雖有個別部門立法可供援引¹⁴⁵， 然而至今聯邦層級尚無對於非公務機關個人資訊蒐集的概括式立法，僅針對兒童 制訂了「兒童線上隱私保護法」（the Children’s Online Privacy Protection Act, COPPA）¹⁴⁶。因此，在遇到網路或行動商務隱私問題時，有賴聯邦交易委員會

（Federal Trade Committee, FTC）擴張解釋聯邦交易委員會法第 5 條對於欺罔

（deceptive）與不公平（unfair）行為的規範，而得以對於相關個資爭議進行管制。

然而隱私管制須因應科技沿革而有所調整，為能更為妥適地保護消費者的隱私，

近年來聯邦交易委員會與白宮分別提出新的解決方式與管制框架¹⁴⁷。

聯邦交易委員會在2012 年 3 月提出「保護快速變遷時代下的消費隱私──

給業者和政策制定者的建議（Protecting Consumer Privacy in an Era of Rapid Change—Recommendations for Businesses and Policymakers）｣之報告書¹⁴⁸，詳列 聯邦交易委員會目前執法的標準以及建議，並將重點置於業者在個人資料處理上 的資訊透明，並且希望透過消費者選項的簡化（simplified consumer choice），以 及隱私通知的即時提供，強化消費者的資訊自決權。

此外，2012 年 2 月美國白宮推出「消費者隱私權法案」（the Consumer Privacy Bill of Rights）¹⁴⁹，特別針對私人機構在商業領域處理消費者個人資料加以規範，

並宣稱即便法案未能獲得國會立法通過，仍希望以之成為聯邦消費者隱私權保護 Electronic Communications Privacy Act, ECPA）｣、「聯邦交易委員會法（The Federal Trade Commission Act）｣、「電訊傳播法（The Telecommunications Act）｣、「電話用戶保護法

（Telephone Consumer Protection Act）｣、和「反垃圾郵件法（Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003, CAN-SPAM）｣、「自律規範（Self-Regulatory Codes）｣、「影視隱私保護法（Video Privacy Protection Act）｣等。See H^ART, supra note 142, at 375; Michael G. Rhodes and Charles A. Schwab, Mobile Commerce: A Moving Target for Legal Compliance, in UNDERSTANDING DEVELOPMENTS IN CYBERSPACE LAW 1-31 (2012), available at http://www.cooley.com/files/Rhodes%20Excerpts.pdf (last visited Nov. 29, 2013).

146 See JONATHAN D. HART, supra note 142, at 375.

147 See Daniel J. Solove, supra note 142, at 1882 (2013).

148 FTC REPORT, PROTECTING CONSUMER PRIVACY IN AN ERA OF RAPID CHANGE, available at http://www.ftc.gov/os/2012/03/120326privacyreport.pdf (last visited Dec. 25, 2012).

149 THE WHITE HOUSE,CONSUMER DATA PRIVACY IN ANETWORKED WORLD:AFRAMEWORK FOR

PROTECTING PRIVACY AND PROMOTING INNOVATION IN THE GLOBAL DIGITAL ECONOMY, available at http://www.whitehouse.gov/sites/default/files/privacy-final.pdf (last visited Dec. 26, 2012).

150 Id. at 5.

151 Id. at 14.

152 Id. at 15-19.

153 Id. at 15.

44

3.2.1.2. 對應用程式蒐集個人資訊的因應

為解決行動應用程式使用者的個人資訊受到業者不當的處理，聯邦交易委員 會在 2013 年 2 月公布「行動隱私揭露──透過透明建立信任（Mobile Privacy Disclosures: Building Trust Through Transparency）｣的幕僚報告（staff report）¹⁵⁴。 彙整四十年來處理隱私爭議的爭議，並參考加州檢察署於同年1 月公布的行動隱 私報告，以強調「透明化」（transparency）的方式保護使用者的隱私。該報告書 中將行動業者分為四大類：平台（platform）或作業系統（operating system）、應 用程式開發商、廣告業者或第三方業者，以及應用程式業者團體，分別規範行動 科技招致的隱私風險。

1. 平台或作業系統

(1) 透過接近應用程式介面（Application Programming Interface, API），平台揭露 資訊應用程式

平台或作業系統應對消費者提供即時揭露，並在應用程式接近使用者較敏感 的內容，例如位置、通話照片、日曆、影片等之前，取得消費者明示同意。因為 平台或作業系統猶如儀表板（dashboard）¹⁵⁵，允許消費者在下載前後可先檢視應 用程式將會接近那些資料內容。此外，該報告也建議平台或作業系統利用圖示來 告知消費者應用程式現在正在接近使用某些資訊¹⁵⁶。

(2) 平台監控應用程式

平台或作業系統應扮演監控的角色，因為消費者會期待、相信應用程式商店 會對應用程式開發商進行監控。監視的內容包含：其一，和應用程式開發商間的 契約中，增加條款要求應用程式開發商蒐集個資時應即時揭露，並在蒐集和分享 敏感資訊前，先取得消費者的明示同意；其二，合理執行這些條款。除了監視之 外，平台業者亦應該教育應用程式開發者應妥善保護消費者的隱私權¹⁵⁷。 (3) 透明──應用程式檢審程序

平台業者在提供應用程是給消費者前，應使用不同的檢視程序。

154 聯邦交易委員會在報告中指出：「根據 2012 年最後一季的數據調查，全世界消費者總計擁 有二億一千七百萬隻智慧型手機，消費者頻繁透過行動裝置為許多消費行為，過程中分享他們 的生活資訊給多邊業者，包含無線網路業者、作業系統、分析業者、行動裝置製造商、應用程 式開發者和廣告業者。｣FEDERAL TRADE COM’N, MOBILE PRIVACY DISCLOSURE—BUILDING TRUST

THROUGH TRANSPARENCY 15-18, available at http://www.ftc.gov/opa/2013/02/mobileprivacy.shtm (last visited March 21, 2013). 此份幕僚報告延伸自 2012 年聯邦交易委員會所公布的「Marketing Your Mobile App: Get It Right from the Start｣報告。See FTC Publishes Guide to Help Mobile App Developers Observe Truth-in-Advertising, Privacy Principles, F^TC,

http://www.ftc.gov/opa/2012/09/mobileapps.shtm (last visited April 20, 2013).

155 以 Google 為例，在「資訊主頁（Dashboard）｣中詳列所有 Google 掌握的資料，和行動隱 私較相關的，包含：帳戶、個人資料、Android 裝置、Play 商店、日曆、聯絡人等。資訊主 頁，Google，https://www.google.com/dashboard/（最後瀏覽日期：2013 年 4 月 16 日）。

156 FEDERAL TRADE COM’N, supra note 154, at 15-18.

157 Id. at 18-20.

45 化的圖示（icons）、標誌（badges）¹⁶¹和隱私權政策，此外業者團體同時也可擔負 起教育應用程式業者的責任，協助隱私權業者保護消費者的隱私¹⁶²。

聯邦交易委員會針對智慧型裝置的隱私議題之態度，可從 Path 和解案與 Goldenshores Technologies 公司和 Erik M. Geidl 和解案（以下簡稱 Goldenshore 和 解案）來觀察。Path 為社交應用程式開發商，因未告知使用者，且未經使用者同 意，蒐集使用者的通訊簿資訊；並且未經未成年使用者的父母同意，蒐集兒童的 個人資料，同時違反聯邦交易委員會法和兒童線上隱私權保護法。最終 Path 以 八十萬美金的罰鍰（civil penalty）與聯邦交易委員會達成和解。其中，擅自蒐集 使用者通訊簿資訊的部分，係因 Path 在隱私權政策中僅表示會自動蒐集使用者 的IP 位置、作業系統、瀏覽型態、推薦連結的網址（address of referring site）、

和活動相關紀錄（site activity information）等資料，但卻在使用者啟動應用程式 後，自動蒐集並儲存使用者的通訊簿資訊，而有欺罔使用者的行為¹⁶³。本案聯邦 Networking App Settles FTC Charges it Deceived Consumers and Improperly Collected Personal Information from Users' Mobile Address Books(Feb. 1, 2013), available at

http://ftc.gov/opa/2013/02/path.shtm.

46

在Goldenshore 和解案中，Erik M. Geidl 經營 Goldenshores Technologies 公 司，開發一款名叫「Brightest Flashlight Free｣的 Android 智慧型手機手電筒免費 應用程式。Goldenshore 在隱私政策未揭露應用程式會將使用者精確的位置資訊 和單一設備識別碼傳輸給第三方業者，包含廣告網絡。此外，該公司欺罔消費者，

設置一個虛假的地理位址選項，讓使用者以為已經關閉傳輸地理位置的設定，然 而該應用程式實際上會自動將地理資訊傳輸予第三方業者¹⁶⁴。本案聯邦交易委員 會要求業者必須修正隱私權政策，即時並完整地揭露所有蒐集的個人資料種類，

並要求業者刪除先前以欺罔手法所蒐集的使用者個人資料¹⁶⁵。 3.2.2. 州法層次──以加州為例

3.2.2.1. 一般個人資訊保護規定

加州於 2003 年訂定加州線上隱私保護法（The California Online Privacy Protection Act）。商業網站或線上服務業者凡透過網路對於住在加州的消費者，

在瀏覽該商業網站或使用線上服務時，蒐集「可供識別的個人資訊（Personally Identifiable Information）｣，應顯著地在網頁上張貼或提供隱私權政策¹⁶⁶。隱私權 政策須包含：標示業者所蒐集的個人資訊種類、提供並陳明消費者請求檢視或更 改的管道，並且標註該隱私權政策的有效日期。隱私權政策如有任何更動應告知 消費者¹⁶⁷。所謂可供識別的個人資訊，包含姓名、地址（包括住家與其他實體地 址，含街名、城市或鄉鎮名）、電子郵件地址、電話號碼、社會安全號碼，以及 任何可供辨識，或可於線上或下線時連繫特定人之資訊¹⁶⁸。

加州線上隱私法要求網站管理者或服務提供者，需主動張貼隱私權政策，並 且置於網站首頁或最先出現的主要頁面（the first significant page），顯著地指引使 用者知悉該隱私權政策的位置。隱私權政策必須：（1）釋明管理者或服務提供者 蒐集有關使用者的個人可供辨識資訊類別，並釋明管理者或服務提供者可能會分 享資訊之第三方清單；（2）描述使用者如何在網站上檢視或變更已蒐集之個人可 供辨識資料；（3）描述管理者或服務提供者通知使用者隱私權政策實質改變的程 序；以及（4）釋明隱私權政策的有效期日。若網站管理者或服務提供者之隱私 權政策未符合上述要件，則牴觸加州線上隱私法¹⁶⁹。

164 Press Release, Android Flashlight App Developer Settles FTC Charges It Deceived Consumers (Dec. 5, 2013), available at http://www.ftc.gov/news-events/press-releases/2013/12/android-flashlight-app-developer-settles-ftc-charges-it-deceived.

165 In the Matter of Goldenshores Technologies, LLC, and Erik M. Geidl, No. 1323087 at 4-5, available at http://www.ftc.gov/sites/default/files/documents/cases/131205goldenshoresorder.pdf.

166 Online Privacy Protection Act of 2003, Cal. Bus. & Prof. Code § 22575 (a).

167 Id. § 22575 (b).

168 Id. Online Privacy Protection Act of 2003, Cal. Bus. & Prof. Code § 22577 (a).

169 Id. § 22577 (b).

47

3.2.2.2. 對應用程式蒐集個人資訊的因應

為有效保護行動隱私權，加州檢察總長Kamala D. Harris 和六大行動應用程 式平台：亞馬遜、蘋果、Google、惠普、微軟和 RIM，達成協議以促進隱私保護、

透明化和遵守線上隱私權法。協議內容主要規定，任何應用程式如有蒐集使用者 的個人資訊，必須顯著地張貼隱私權政策或其他聲明，陳述如何蒐集、使用和分 享個人資訊¹⁷⁰。

在2013 年 1 月，加州司法部公布由隱私執行保護單位（Privacy Enforcement and Protection Unit）¹⁷¹所提出的「Privacy on the Go 智慧型裝置隱私準則｣¹⁷²。此 準則將行動應用程式業者區分為四大類：應用程式開發商、應用程式平台提供者

（App Platform Providers）、廣告網絡（Advertising Network）、以及作業系統開發 者（Operating System Developers）和行動通訊網路業者（Mobile Carriers）。

1. 應用程式開發商

首先應用開發業者在設計應用程式時，應一併考量隱私保護。第一步，建立 一份個人資訊蒐集清單（data checklist），將應用程式可能蒐集、使用和揭露之可 供識別的個人資訊列出。隨後，在設計應用程式時，考量這些個人資訊是否有蒐 集的必要、對業者是否具有重要性，以及該應用程式將會如何處理這些個人資訊、

首先應用開發業者在設計應用程式時，應一併考量隱私保護。第一步，建立 一份個人資訊蒐集清單（data checklist），將應用程式可能蒐集、使用和揭露之可 供識別的個人資訊列出。隨後，在設計應用程式時，考量這些個人資訊是否有蒐 集的必要、對業者是否具有重要性，以及該應用程式將會如何處理這些個人資訊、