第四章 法律的論述與對抗
第一節 個人資料的保護
第一項 概論
本文的研究脈絡試圖要分析監視社會中監視技術的更新與社會控制的連 結,而法律是否能夠成為對抗監視社會的其中一種可能性,便成為問題。在前 面的章節所提及的數據化控制社會以及大數據、監視社會的浪潮之中,就法律 作為其中一種對抗的工具成效如何、法學者對於隱私權與資料收集問題,以及 所採取的對抗監視社會之手法等等問題,以下先進行簡單的整理。
監視技術與被監視的對象最直接的關聯,經常來自於個人資料的收集與使 用。如同前面章節所提到的,監視技術與資料處理的技術持續發展的狀況下,
個人資料的收集與使用門檻持續降低,而監視技術之中除了視線的存在之外,
另一個角度即是對於資訊人格的穿透。因此許多針對監視進行的抵抗論述會從 個人資料保護的角度著手,使用「隱私權」、「被遺忘的自由」等論述作為對抗 的手段。亦即以強化個人資料的保護來對抗「監視社會」的意象以及監視者所 試圖進行的控制,同時將「人格發展自由」與監視技術進行連結,認為生活在 被監視的狀況之下會難以自由的發展個人的生活風格。
因此針對監視社會持續發展的現況,法學家在許多面向提出措施加以對 抗,試圖在民主與法治的框架之下面對監視的目光。以我國來說,在憲法層面 上,隱私權的地位持續深化,除了釋字 585 號賦予其基本權地位之外,釋字 689 號亦明確將使用科技與監控設備可能造成的侵害納入隱私權此一重要基本
145 不可諱言的是,針對真理或者說善進行設定本身已然存在「預設定義」之風險,權力的壓迫
極有可能自行定義自身後在真理之名下正當化自身。迴避此一問題的方法便是訴諸「對自我的 認知」以及「成就生活風格的潛在可能性」兩個概念。亦即,雖不定義善,但保障每個人均能 藉由自我關注以認知自我,並且均保障個體追求善的潛在可能性。
權的範圍之中。但須注意的是,雖然隱私權已上升到基本權之高度,對此一基 本權之保護亦非絕對,如釋字 603 號即表明仍得在必要之情況下依憲法第 23 條 對資訊隱私權做出限制。除此之外亦可參照歐盟所推行之 OECD 個人資料保護 原則導出以「告知、同意」為核心的個人資料保護建置。在近期發展上,為了 對應這些個人資料的收集所可能導致的風險,歐盟正在推行一般資料保護規定 (GDPR),我國也正在進行資通安全管理法草案及相關子法的研議。以 GDPR 為 例,其核心重點在於使個人資料的用途、收集範圍等等公開透明化,並且要求 處理個人資料的組織訂定作業流程,並且加強處理這些資料時的資訊安全,違 者則處以巨額罰款,藉此試圖提高歐盟成員的個人資料安全。本文認為其所昭 示的方向即公開透明、資訊安全控管等等,固然符合隱私權之價值,亦值得肯 定。但實際上,GDPR 的規定的出現也代表了監控與針對個人的資料收集已經 滲透到社會的各個領域之中,實際上已經難以阻止資料的收集,而似乎只能試 圖從監視系統的後端(即資料保存、使用等方面)進行管控。
個人資料收集與監視社會的構成,不再只有國家政府能參與。銀行、電信 業者、社群軟體、社交與購物網站、網路服務供應商等等群體亦都構成監視社 會的一環,且早已融入資訊社會的生活之中,而形成了另類的「Big Brother」。
不同的點在於,「Big Brother」的意象是獨裁而極權的,但近代監視社會中的組 織經常以一種有利於大眾的、柔軟的形態出現146。並且其中有些服務確實透過 個人資料的收集以及對於用戶使用習慣的監視而提供許多便利的服務。本文認 為,GDPR 制度的推行或許能夠在個人資料的收集此一領域中起到一定的嚇阻 與使得監視機制公開透明化的效果,但其他的監視技術領域是否能夠同樣以法 制化147的方式,以類似的作業準則來進行公開透明化的作業,則有許多待解決 的課題。例如涉及刑事偵查時,警方針對監視器所收集的畫面如何分析使用、
法官進行量刑調查時對於被告的個人資料收集、福利政策層面的監視問題、甚
146 需注意的是,從 Haggerty 的聚合體概念與 Deleuze 對於控制社會中的 code 與 password 等概 念之詮釋來看,在資訊社會之中掌握數據編譯權限以及網路底層協議傳輸過程的這些組織,其 所能達成的控制未必真的少於「Big Brother」。而其所能控制的範圍,隨著社會功能逐漸資訊 化,更加地擴展。舉例來說,假設薪資、稅賦、社會保險、福利給付等基本的福利國家功能均 依賴資訊設備以儲存、紀錄、使用,那掌握了收集資訊權限與通行口令權限者其所能達成的控 制便更加深入。
147除了以法律制度化進行抵抗之外,另外一個可能性,則是區塊鏈技術的引入。區塊鏈技術最
重要的特點,是其採取去中心化的儲存資料方式來建立資料庫。由於資料分散儲存在各個訊息 節點,採用這種技術儲存的個人資料可以降低資訊被集中儲存導致的風險,且區塊鏈難以被特 定組織或團體所掌握,或許將成為反制監視浪潮的重要工具。但不可否認的是,區塊鏈技術仍 在發展中,能否在個人資料的管理上應用,尚有許多疑問有待解決。
至是人臉辨識系統的應用等等。以下先處理法律針對個人資料收集部分主要使 用的隱私權論述以及具體應用時所採取的制度。
第二項 取得面向控制
試圖對個人資料進行保護時,首先被法學者考慮到的是針對資料取得面向 進行的法律管制148。以我國來說,大法官釋字 585 號解釋明文將「個人資料之 自主控制」納入憲法第二十二條隱私權之保障範疇中。釋字 603 號進一步闡 明,個人自主控制個人資料之資訊隱私權之內涵旨在「保障人民決定是否揭露 其個人資料,及在何種範圍內、於何時、以何種方式、向何人揭露之決定 權。」在此脈絡發展下,資訊隱私權之保障係以「告知、同意」作為保障核 心。亦及,在收集個人資料的時候,原則上必須告知其個人資料可能之用途,
並且取得「真摯之同意」,此權利即為個人資料自主權。
個人資料自主權在實踐有以下的困難149,其一是當事人無意義的同意。此 問題的原因來自於當事人對於個人資料使用條款內容的不了解,以及個人資料 提供與特定服務的綁定。例如智慧型手機中 APP 的使用、網路服務供應商對瀏 覽紀錄進行的收集等等。其二是隱私與社會利益之間的取捨問題,以及利用資 料對個體來說可以帶來的好處。除了在醫療、教育方面的個人資料使用之外,
在犯罪偵查領域,個人資料的收集與使用也經常能夠協助犯罪的預防與偵查。
在這些利益的支撐以及適當的法律授權之下,繞過個人的同意進行資料收集之 情形亦屬常見150。為了因應這些當事人資料自主權資料實踐上的困難,歐盟便 透過一般資料保護規定(GDPR)之規定強化對於資料取得面向之控制。歐盟模式 具體之內容為:1.當事人同意的強化,必須要是「任何特定且經告知後的自主表 示,表明資料主體同意使用其個人資料。」2.告知事項的擴張與圖形化標準資 訊政策,藉由將告知事項擴大以及將使用資料之範圍與風險以圖形表達之方式 確保當事人知悉自己的資料將被如何使用。3.對大數據與物聯網的妥協(資料最 小化儲存原則的放寬、科學研究目的資料儲存的放寬、合法收集資料的放寬、
資料假名化、去識別化151等等。) 論者認為152,歐盟個資命令雖然仍秉持著以
148 劉定基(2017),〈大數據與物聯網時代的個人資料自主權〉,《憲政時代》,第 42 卷第 3 期,
頁 274。比較法與個人資料自主權之緣起則可參照頁 270 以下之整理。
149 劉定基,前揭註 148,頁 274-279。
150 最為明顯的例子即是在通訊保障及監察法授權之下所進行的通訊偵查。
151 此一發展在監視影像的處理上亦有類似的系統被提出,即透過程式的處理,將被附帶拍攝到
監視影像中的第三人加以隱藏或模糊化,並且搭配解碼權限之限定與紀錄之方式避免對於被附 帶拍攝到影像中的第三人其隱私權造成侵害。另可參考前揭註 33、38 之文獻。
152 劉定基,前揭註 148,頁 288。
個人資料自主權為基礎架構之法律體系,甚至在個資命令中進一步強化了作為 個人自主權基石的「當事人同意」定義並且擴大告知事項等,試圖回應自主權 在實踐上的種種困難,但也在大數據的浪潮之下在個人資料保存期限、利用墓 地等方面作出了妥協。在許多例外狀況以及法律授權的資料收集可能性之下,
當事人資料自主權的保障究竟是否能夠落實尚有待觀察。
第三項 使用面向控制
針對資料取得進行管制之方向,在資訊社會中面臨前所提及的諸多困難。
因此有論者認為應該轉向解決較有可能實際對資料提供者產生侵害的資料使用 問題。在資訊社會之中,個人的資訊隨時隨地被收集或者被洩漏,試圖強化使 用者自主的意義並且從源頭管制資料取得的手法,反而有可能導致管制目標均 集中在「同意的有效性」以及「告知事項是否明確」等等細節上。而這些針對
「資料的取得」所進行的管控,在許多的狀況下會成為虛無飄渺的管制措施,
「資料的取得」所進行的管控,在許多的狀況下會成為虛無飄渺的管制措施,