或許對於某些相同意義的標的,本⽂於論理描述過程中使⽤與他⽂不同的
⽤語,然為使讀者閱讀理解之便利,並統⼀本⽂⽤語,定義與解釋如下:
⼀、 個⼈資訊(或個⼈資料、個資):指與個資當事⼈相關的任何資訊。
⼆、 個資當事⼈(或個資主體):指由個⼈資訊得識別或已識別之⾃然⼈。
三、 個資蒐集者:指向個資當事⼈或其它個資控制者蒐集個資之商業組織,可 能亦同時是個資控制者。
四、 個資控制者:指實際掌握個資,並有能⼒應⽤、轉讓、分析或處理個資的 商業組織。
五、 GDPR:係指歐洲議會與歐盟理事會於西元 2016 年 4 ⽉ 27 ⽇決議取代第 95/46/EC 號指令,所通過保護⾃然⼈有關個⼈個資處理及資料⾃由流通的 第 2016/679 號「⼀般資料保護規則」(General Data Protection Regulation)。
六、 網路業者:泛指⼤量透過互聯網科技與應⽤⼤數據分析向社會⼤眾⾏銷、
銷售或提供產品或服務之營利事業。
第⼆章 傳統資訊隱私規範的⽴法基礎
本章⾸先回顧現⾏資訊隱私規範的⽴法基礎與背景邏輯,藉由探求「隱私」
對⼈類社會觀念的各種意義與性質,區別「隱私」與「資訊隱私」的範籌及規範
⽬的,並以實務案例討論強加傳統隱私權概念予資訊隱私規範後產⽣的種種不 相調和⽅枘圓鑿之現象,尤其⼤數據應⽤世代下⼈類⽣活模式的快速改變,個⼈
資訊不斷有意、無意間曝露於雲霧繚繞(雲端運算)之中,雲裡看花的⼈們搞不 清楚狀況,殊不知已成為騰雲駕霧的資訊蒐集者最有價值的待售商品。
隨後討論既然個資衍然成為有價值的商品,那麼財產權化個資是否能是⼀
個可⾏的⽅向,縱使現⾏動產與不動產財產權、營業秘密、智慧財產權與競爭法 等在特定情況下對個資權利有若⼲不同⾯向的保護,但終究不若財產權之賦與 來得完整,然⽽囿於個資⼈格性的本質,完全的商品化個資亦顯得捨本逐末。本 章後半部則討論政府以⾏政法⾓度介⼊個資利⽤的管制,是否與⼈民⾔論⾃由 基本權利產⽣衝突?並探討應如何加以調和以符合個資隱私規範的法理邏輯。
本章末節則討論現⾏各國個資隱私管制的通⽤法則—通知與選擇(notice-and-choice)機制的出線,通知與選擇機制之所以廣受採⽤,無⾮因為它既符合 傳統隱私⾃主管理、⾃治及民主的精神,⼜具有⾏政執⾏的便利優勢,然⽽它是 否在⼤數據應⽤世代下仍然左右逢源卻是有待商榷,此將銜接下章美國與歐盟 的資訊隱私實體法實踐中⼀併討論。
第⼀節 社會對「隱私」的傳統定義影響「資訊隱私」規範的制定
由於早年並沒有數位與網路資訊科技的發達與應⽤,資訊隱私被視為是傳 統⼈⾝隱私的⼀環。⽽探究隱私概念的緣起,可朔⾃早期著名英國哲學家 John
⼈藉由他(她)的勞⼒使某⼟地增加了價值⽽產⽣了質變時,該⼈就應要有權可 擁有該成果,使其為「私有」,意義上即產⽣可「排除」他⼈或外⼒⼊侵與近⽤
的權利。啓蒙時代德意志哲學家 Immanuel Kant 認為,⼈類之所以值得被敬重,
是因為⼈類得以理性地「管理」屬於⾃⼰的事物,⽽不是僅僅受⼤⾃然⼒量⽀配 或者隨社會壓⼒⽽⾏事。John Locke 及 Immanuel Kant 兩位哲學家對於⼈類可管 理、⾃治與處理⾃⼰事物的哲學理念,深刻影響後續法學者對⼈類隱私權權⼒的 定義,以及建⽴起以「防禦外⼒⼲涉」為基礎的隱私權規範7。
在西元 1809 年,著名的美國律師 Samuel Warren 與美國最⾼法院法官 Louis Brandeis合著出版於哈佛法學評論的⼀編論⽂ – 【隱私的權利】 (“the Right to Privacy”),堪稱是影響美國隱私權規範最深遠的⼀部著作。基於當年(西元 1850-1900)美國媒體快速蓬勃發展的背景下,個⼈(惟當時系指⾼階社會地位⼈⼠)
⼤多害怕⾃⼰的⽣活與⾏為受到媒體的探詢,故該論⽂提出⼀個以⼈民具有「不 受⼲擾權利」(right to be let alone)(亦有譯為「獨處權」)為基⽯的隱私權概念,
該⽂認為個⼈對⾃⼰的思想、情緒和感受等與⾃⾝相關的事務,應有決定公開與 否的權利,但該⽂也同時主張,隱私權不是絕對的,必須受到公共利益以及當事
⼈同意例外的限制8。這個以「隔離」為基本概念的隱私權,陸續得到許多法學 者與社會學者的贊同。其中包括,著名法學者 Anita Allen 主張:隱私權必須使 個⼈得以將⾃⼰與他⼈分離,否則個⼈的⽣活將會不斷地被外界所打擾。著名社 會科學家 David O’Brien 主張:隱私的意義在於限制他⼈近⽤個⼈資訊9。著名哲 學家 Howard White 與 Sissela Bok 主張:隱私應是⼀種個⼈對抗世界以及其它個
7 Ari Ezra Waldman, Privacy as Trust: Information Privacy for an Information Age, 12-15 (2018).
8 Samuel D. Warren & Louis D. Brandeis, The Right to Privacy, 4 Harv. L. Rev. 193, 196 (1890).
9 David M. O’Brien, Privacy, Law, And Public Policy, 16 (1979).
⼈所不喜好之外⼒的權利10。社會學家 Donald Ball 將隱私定義為:⼀個使⾃⼰
得⾃由參與任何活動⽽免於受監視的權利11。著名法學者 Milton Konvitz 則主張,
隱私應該是⼀個公眾不能任意進⼊或控制的個⼈空間12。
第⼀項 視隱私為個⼈「私密⽽免於受⼲擾」的基本權(消極的保護)
個⼈資訊隱私曾被視為是⼈⾝私領域的⼀部分,就像個⼈的⾝體、房間或放 置在個⼈上鎖抽屜內的東西⼀般,個⼈為了予以保護,可藉由穿⾐、築牆、上鎖 等⼿段達成保護之⽬的,也就是以各種「隔離」的⽅來與外界區隔,並藉由區隔 以形成保護。
諸多哲學家及學者贊同以「隔離」及「排它」作為保護或建⽴隱私的⽅式,
例如,Alan Bates 認為隱私是「個⼈⼀種排除他⼈⼲涉某事物的感覺」13;Jeffrey Reiman 認為隱私授與⼈們存在的頭銜並且允許⼈們對⾃我思想與作為主張完全 的佔有權14;Samuel Warren 與 Louis Brandeis 認為⼈類「不容打擊的⼈格性是指 我們具有排除他⼈介⼊我們的思想、觀點與情緒之權利」15。他們認為,透過「界 定」⼀個專屬個⼈的領域,未經個⼈允許前,外⼈即不得進⼊或窺視個⼈私領域 空間者,系為隱私權之真義。此以「隔離」為中⼼的隱私定義,某種程度上系繼
10 Howard B. White, The Right to Privacy, 18 Soc. Res. 171, 172 (1951); Sissela Bok, Secrets: On The Ethics of Concealment and Revelation, 10-11 (1983).
11 Donale W. Ball, Privacy, Publicity, Deviance and Control, 18 Pac. Soc. Rev. 259, 260 (1975).
12 Waldman, supra note 7, at 15-19.
13 Alan P. Bates, Privacy – A Useful Concept?, 42 Soc. Forces 429, 429 (1964). (Privacy is “a person’s feeling that others should be excluded from something.”)
14 Jeffrey H. Reiman, Privacy, Intimacy and Personhood, 6(1) Phil. & Pub. Aff. 26, at 39, 42-44 (1976).
15 Samuel D. Warren & Louis D. Brandeis, The Right to Privacy, 4 Harv. L. Rev. 193, 205 (1890).
(Our “inviolate personality” meant that we had a right to exclude others from our thoughts, sentiments,
受⾃西⽅⽂化強調個⼈主義(individualism)之思想。
然⽽,就法律權利主張的⾓度⽽⾔,此等規範基礎其實是破壞了隱私的保障,
原因是因為如此定義下的隱私權缺乏任何可被證明的「⾦錢價值」,也就是當個
⼈隱私遭受不當或不法揭露時,除了抽象的理想與概念外,個資當事⼈常常無法 合理證明該資訊到底能折合多少的「⾦錢價值」。16
以現今社會網路⽣活習慣觀察,這樣的資訊隱私觀念並無法與之相契合,例 如,現代社會⽣活中,⼈們已經逐漸習慣於透過臉書 Facebook、部落格、社群媒 體 App 等社群社交⼯具,向好友或群組成員傳遞個⼈資訊,以達與他⼈交流的
⽬的,然⽽在揭露的同時,縱使個⼈暫時放棄了對該等隱私資訊的「隔離」狀態,
但並⾮即意指就此放棄隱私,因為此舉只是就某些特定⽬的⽽為的訊息交流。
在本觀念下,關於如何界定某資訊是否屬個⼈「親密與私密性」訊息的問題,
部分學者主張應以資訊本⾝之意義是否屬於或具有「⼈⾝」親密及私密性之性質 來界定,例如,⼈的性向、⽣育、家庭、健康資訊等。相較於前述使⽤資訊是否 存在於私領域來定義隱私資訊的⽅式,以資訊本⾝意義來區分的好處在於,界線 定義上較易被理解,原因是通常國家已有諸多法律保護某些訊息的私密性,例如,
醫療與⾦融法規通常分別明⽂保護個⼈健康與財務資訊等。⼜或者某些話題已 有相當確定之基礎隱私定性,例如,性向、同性戀等訊息已根深蒂固地被⼀般⼤
眾認定為屬個⼈親密與私密性質的隱私訊息。然⽽,這個區別⽅式還是存在缺失,
例如,每個⼈實際上對於⼈⾝私密感覺(或稱,接受尺度)可能不竟相同,若只 將資訊隱私侷限在⼈⾝親密及私密性訊息,最終也將產⽣定義不夠精確的問題。
應⽤上來說,這個以「⼈⾝親密及私密性」的隱私訊息界定,將產⽣四個主
16 In re JetBlue Airways Corp. Privacy Litigation, 379 F.Supp.2d 299 (E.D.N.Y. 2005).
要問題:第⼀,縱使⼈們習慣於把具私密性的訊息告知單⼀或某些特定群組,該 揭露⾏為或習慣仍不代表該私密性訊息已不再私密。例如,男⼥朋友間拍攝裸照 供對⽅保存,並不代表該照⽚不再是私密照⽚;⼜例如,將個⼈罹患性病⼀事告 知閨密,也不代表患病⼀事不再私密。實際上,把個⼈私密之事揭露給特定⼈的
⾏為,應是⼀般社交活動的常態,再正常也不過,揭露並不代表放棄私密狀態。
第⼆,有論者認為私密的事(也就是個⼈不希望他⼈知悉的事)其實⼤多是 負⾯的資訊。例如,個⼈的某些隱疾、個⼈私底下對他⼈的批評、個⼈異於常⼈
的特殊僻好等等,據此進⼀步質疑法規範對於這些不好的或者負⾯的資訊予以 周全保護的必要性。也就是說,若以⼈⾝私密性性質來定義資訊隱私,可能亦缺 乏法律保護的正當性。
第三,若只保護⼈⾝「私密」訊息,將無法同時保護我們經常透過網路揭露 不屬私密的訊息,例如個⼈消費習慣、交通路徑、消費項⽬等等都⾮謂具有「⼈
⾝親密及私密性」性質之訊息,豈不是直接被排除在外?然⽽,縱使該等訊息⾮
具⼈⾝親密及私密性,卻也不⾒得是⼀般個資當事⼈普遍想對全世界揭露的個
⼈資訊。換句話說,此等分類將產⽣受保護訊息含蓋範圍不夠廣泛的問題。
第四,邏輯上來說,以強調個⼈私密性訊息的資訊隱私定義下,只有⾃⼰或 相當少數⼈知悉的資訊,才像是「私密」資訊,當資料當事⼈主動對外揭露後,
該等訊息理應不再具有所謂的「私密」性質,故不應再受資訊隱私規範的保護。
然⽽,在現今網路科技時代下的⽣活,如此的結論將使個⼈越來越沒有隱私,因 為個資的揭露在許多的情況下不僅已是必然,並且相當⾃然,⼈們常常需要被迫 透過網路平台揭露訊息予他⽅以換取得各種服務或便利,若僅以該訊息是否存 在私密性質來做為受隱私規範保護之判別,對個⼈私密資訊的保護將明顯不夠
周全17。
第⼆項 視隱私權為確保個⼈對其資訊「主宰操控與⾃治」的權利(積極的保護)
本主張強調個資當事⼈對其個資應具有完整⾃主的處置、使⽤、控制的權利,
亦即,個資當事⼈應可⾃主決定由「誰」、於「何時」、於何「場合」與在何「條
亦即,個資當事⼈應可⾃主決定由「誰」、於「何時」、於何「場合」與在何「條