第二章 文獻檢閱
第六節 問題盤點與可能改進策略
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
須被奉為圭臬?或其他類似問題時,政策規劃者便有可能在此常站不住腳,最後 只能順著利益團體的要求浮沉,監理政策自然也缺乏意義。
第六節 問題盤點與可能改進策略
儘管現有文獻對於成功監理政策應達成的目標,以及應避免的後果提供了相 對明確的指引,對於解答部份問題的幫助仍然有限。透過業者釋出的公開資料,
以及整理相關法令規章,固然能對現有的監理策略與自律措施有相當認識。但是 對於如何在實務面落地、相關產出為何,以及我們是否滿意相關成果,所知非常 有限。也難說明所謂滿意的定義與標準到底為何。儘管監理社群網站利用數位足 跡措施的緊急程度,無法直接與災病防救類比,但是不難發現民眾基於風險認知 的差異,對於政府可能侵害私領域的行為,可能抱持不同的態度。再者,單憑比 較前述三種主要監理模式,也不足以構成對於我國監理政策的完整建議。縱使我 國法學研究者,可能對於現行個資法規範內容嚴謹程度頗有微詞,然而即使是為 了滿足歐盟跨境傳輸適足性的現實需求,應否就將GDPR 的法例照單全收仍不無 疑問。即使囊括GDPR 的法例,是否就符合我國輿情的期待,也是另一個問題。
問題也可能不是法令本身,而是我們也缺乏一套管考制度,評估現有監理機制究 竟獲致什麼成效,使得後續探討監理政策的良窳也更難有頭緒。
即使成功立法,我國現有行政資源與執行方式,能否達成法律所預期的保護 效果?法令只能大致界定容許業者利用數位足跡的範圍,而難以約束其細部行 為。探討監理策略的問題意識,除了管制的內容外,也必須逐漸將探討管制的方 式一併考慮在列。再者,即使在本文寫作當下,Facebook 已陸續推出透明措施,
陸續揭露數位足跡的來源與利用方式,然而使用者能控制的程度仍然相對有限,
且通常也是事後才得知(詳如本文第31 頁之分析),且業者願意揭露的事項,通 常也只是實情的微小部份。但是即使從現象觀察而言,我們認為業者似乎還做得 不夠好,以及只會達到最低標準的自律,這些懷疑只能算是假設。管制者似乎也 很難拿出一套說詞,證明業者哪裡做得還不夠,最後淪為各說各話。這也使得成 效評估機制的研製與施行益加迫切。因此建議後續應聚焦於下列事項的研究:
一、 欠缺有效的成效評估機制
鑑於資料管制政策造成的龐大社會成本,實行成效評估並落實課責機制,並 為日後政策的修正或存廢提供依據實屬必要。好的評估機制必須回答以下問題:
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
1. 現行的相關監理法規本身,是否堪稱完善?從絕對的尺度而言,法令本身 能否起到應有的保護效果?從相對的尺度而言,儘管與GDPR 相比,我國 個資法管制範圍與罰則皆偏弱,卻也難以據此定奪兩者之間的優劣。畢竟 過於嚴格的法令,也可能扼殺創新或減少民眾選擇,也非社會所樂見。如 何取捨也是一大重點。
2. 法規是否與如何落實:如何監理社群網站利用數位足跡的行為?相關人 力、設備、與組織編制是否到位?例如社群網站的主管機關為何,是否有 相應的管理能力?民眾除訴訟之外,還有哪些尋求救濟的途徑?即使業者 厲行現有規範的各項環節,是否等同帶來更好的保護?也可能值得注意 3. 除了官方的執法紀錄之外,如何衡量的監理執行成效?除了民眾的滿意度
之外,業者對於監理政策又如何回應。
目前對於監理政策良窳的推斷,仍建基在零碎且不甚穩固的研究基礎上。即 使我們透過文獻,確知GDPR 實施後業者追蹤瀏覽的傾向看來有增無減,但是就 此斷定監理政策的成敗,似乎有欠公允。就像我們不能單以刑案數的增加便認為 警察執法不力,單以現行政策的保護成效不甚滿意,斷定監理政策的失敗顯然過 於草率,成效評估機制與流程卻也亟待建立。再者,問題可能也不是出在法律本 身,也可能是執行者未能善用工具造成的事倍功半。且光憑對於現象的描述,顯 然也不足以回答問題的可能原因。況且在台灣連可用來評估的相關實證資料也似 乎付之闕如。
二、 從「做什麼」提升至「怎麼做」
現存主要的他律型監理策略,多聚焦於要求業者應該做什麼事以達到法遵標 準,並提高對使用者的保護。然而光是告訴業者應該做什麼,或只知道業者做了 哪些努力顯然還不夠,還應該將問題意識提升至該「怎麼做」的層次,使監理政 策方能確實落地。例如業者利用投放針對式廣告的議題,重點不是該作法應否禁 止,而可能是使用哪些數位足跡或方法,社會較能接受?甚至我們對於業者做到 了多少,似乎也不是很清楚。
三、 檢討稽核資源的分配權重
資料保護政策固然要兼顧資訊安全、資料保護與隱私權等多重目標,稽核資 源分配的權重顯然有檢討的空間。如今業者已逐漸轉型成為以獨占資訊的獲利模
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
式,顯然已有相當誘因建立資訊高牆防堵外洩的風險,此時便值得討論,是否還 需要將那麼多稽核資源配置在察核如防火牆是否設置妥當這類事務上。此外也應 以務實的角度,檢討制度設計與評估機制,及其的論理假設是否合理。陳敦源
(2012:359-360)指出,課責機制的設計必須考慮到,資訊不是愈多愈好,而應 兼具關鍵性、完整性與可理解性,且不能有死角,否則將成為舞弊的溫床,並引 述Cowen & Glazer(1996: 114)的比喻,考試只考一題比考十題還難準備,因為 任何微小的失誤都可能招致零分,考生也必須兢兢業業。改為隨機抽查或可減少 業者的僥倖心理,但是實際效果為何仍有待檢證。GDPR 的問題可能不只是條款 的冗長,而是監理者被賦予的察核內容與程序缺乏隨機性,而未能以兼顧效率與 經濟的方式完成稽核。
四、 對使用者較有利的舉證責任分配
社群網站的現況,顯然未能起到足夠充份告知及公開透明,令廣大使用者充 分知悉其運用數位足跡的機制,並接連導致嚴重弊害。使用者常可能懷疑自身數 位足跡被用於不法途徑,卻難有跡證可供揭發,或令吹哨者陷於業者揚言提起訴 訟之陰影下。因此筆者一再強調舉證責任分配(burden of proof)在制度設計的重 要性,當使用者對於社群網站的作法有疑慮時,宜由舉證較容易(或成本較低)
之社群網站來自證清白,所有監理(含自律)措施方能達致較佳之效果。
五、 由政府以外行為者負責監理的可能性
文獻對於政府是否適合主導資料保護政策,意見仍然相當分歧。且綜觀我國 國力與外交處境,不論是對內政府能力與社會對政府的信任程度,或對外的跨域 執行皆備受質疑。若有更適合的行為者來擔綱資料保護的權責,甚至更好的治理 方式,也應該列入考慮;但是可能借助的對象及搜尋方式為何,文獻似乎也未有 明確指引,或可作為本研究努力的方向。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y 第三章 研究設計
經由一系列文獻檢閱,筆者認為欠缺有效的成效評估機制,以了解政策規劃 與執行之間可能落差之成因,是目前探討監理策略較為嚴重的問題,缺乏足夠連 實證資料,欲進一步提出評價也更形困難。為進一步釐清現有監理策略各環節的 實施情形、過程可能遭遇的困難,以及衍生的後果,筆者擬進一步訪談相關重要 人士,並綜合各方意見進行三角檢核,嘗試釐清事件的全貌並據此提出相對公允 的評價。為上述訪談任務的預備與實施過程,為本章的主要內容。第一節將介紹 研究架構的建立過程,盤點出欲評價監理政策,需優先回答的重點問題,以指引 後續資料蒐集程序的規劃。第二節則決定研究方法、擬約訪對象及訪談大綱的建 置,以及訪談流程的設定。
第一節 研究架構
本節聚焦於研究架構與藍圖之介紹,以指引後續的訪綱設計與資料蒐集。本 研究旨在找出政策規劃與執行之間可能的失落環節,主要聚焦於法令規範確立 後,如何被主管機關執行與業者遵守、執行成果為何,以及如何反饋至現有的監 理機制。若以監理政策過程先立法、後執行與評估的階段論邏輯來理解,現行監 理策略的整體樣貌,可理解為各環節相互反饋所組成的迴路系統,以及內部各行 動者之間的競合關係(圖3-1)。
法規命令
法規執行與遵循
過程與成果評估 確立行為準則 實現
行為準則 反饋與修正
反饋與修正 反饋與修正
圖3-1:監理策略的整體樣貌
資料來源:本研究繪製。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
法令規範顧名思義,旨在建立一套遊戲規則與理想狀態,約束主管機關與業 者的行為,也勢必衝擊業者利用資料拓展業務的計劃。法規制定完成後,仍需透 過執行相關程序,才可能轉化成為可被察覺的成果。執行除主管機關的主動稽 查,或被動接獲民眾檢舉與訴訟外,業者如何將法令規範轉譯於商務流程中,也 是關鍵環節。執行與評估過程對於發現問題的反饋與修正,也會反映於執行端甚 至衝擊立法實務。探討監理策略時必須特別留意的是,法規無法直接影響監理策 略的結果,必須通過至少一個決策點,後續步驟才可能實現,這也是徒法不足以 自行的重要原因。多組專業與立場各異的人員正確地分工也至關重要。法律無法 直接影響監理策略的成果,後者卻可能直接影響立法過程,進而改變遊戲規則。
法令規範顧名思義,旨在建立一套遊戲規則與理想狀態,約束主管機關與業 者的行為,也勢必衝擊業者利用資料拓展業務的計劃。法規制定完成後,仍需透 過執行相關程序,才可能轉化成為可被察覺的成果。執行除主管機關的主動稽 查,或被動接獲民眾檢舉與訴訟外,業者如何將法令規範轉譯於商務流程中,也 是關鍵環節。執行與評估過程對於發現問題的反饋與修正,也會反映於執行端甚 至衝擊立法實務。探討監理策略時必須特別留意的是,法規無法直接影響監理策 略的結果,必須通過至少一個決策點,後續步驟才可能實現,這也是徒法不足以 自行的重要原因。多組專業與立場各異的人員正確地分工也至關重要。法律無法 直接影響監理策略的成果,後者卻可能直接影響立法過程,進而改變遊戲規則。