第一章 緒論
第二節 問題意識與研究目的
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
由於網際網路的不可或缺,傳統的資訊禁慾手段顯然不切實際。即使完全棄 用網際網路,仍可能被物聯網等機制側錄與傳播。若上網時還要擔心言行被側錄 且不知將流竄何處,且可能多年後被放大檢視,也將造成寒蟬效應與自我審查
(麥爾荀伯格,2015:13-15)。保障隱私權的意義,不僅事關人性尊嚴與社會衡 平,還有自由權甚至民主價值的維繫。近來網路服務的市場佔有率、利潤分配均 急遽集中化,對於網路安全、公共利益等層面也影響甚鉅。資料保護政策及施行 成效的良窳,不再只是企業社會責任,而應以更加嚴格的基準檢視。皮尤研究中 心(Pew Research Center)的調查也顯示,美國民眾對於各業者利用個人資料的 方式不甚信賴(Auxier, Rainie, Anderson, Perrin, & Kumar, 2019)。即使 Facebook 執行長已宣示不再讓第三方應用程式存取使用者個人資料,然而劍橋分析事件的 爆發,之後又被發現繼續授予多家公司存取的權限(周峻佑,2018)、以及傳出 付費換取使用者同意安裝追蹤器的醜聞(Constine, 2019),也令人懷疑其對於改 善隱私權的保護的承諾,只是宣示大於實質。對於社群網站蒐集數位足跡,以及 其衍生的外洩等相關弊害,提出合宜的監理策略成為當務之急。
第二節 問題意識與研究目的
監理社群網站利用數位足跡與落實資料保護,已成為公共政策的重要問題。
然而現有研究與實務,對於政策工具的規劃與佈署,多侷限於問題認定,對於後 端的執行與成效評估則較少著墨。現有文獻多為法學或工程領域學者所撰寫,法 學文獻重點多聚焦於立法正當性來源,從「為什麼管」及「該管什麼」的角度切 入,由於監理政策的制定涉及民意對於隱私權的主觀期待、及接受政府介入的程 度,探討規範層面的正當性來源固然必要,但是對於「該怎麼管」的細節幫助有 限,多讓行政機關自己想辦法處理。工程領域的文獻則幫助我們釐清問題的現 狀,特別是追蹤瀏覽的氾濫程度,追蹤網路的業者組成,可能的傳輸機制等。但 是對於監理策略如何在技術面落實,及如何從政策角度評價現有監理政策的良 窳,以及從台灣的國際現況妥善運用政策工具,監理Facebook、Google 等大型科 技業者,則存在許多未知地帶。工程師若未對公務機關實況有足夠了解,對於資 訊技術該如何順利落實於監理程序,也未必摸得著頭緒。這些也讓後端執行的重 要性被嚴重忽略。從現象而言,立法雖然成為資料保護最廣為利用的手段,如何 在實務徹底落實也存在諸多疑點。例如民眾對於業者的侵權行為,通常是透過訴 訟處理,雖然現行我國個人資料保護法(下稱我國個資法)第29 條,有難以舉證
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
實際損失時,業者對於每人每事件賠償新台幣500 元至 2 萬元之規定,但是對於 彌補民眾損失與訴訟成本,及嚇阻業者踰矩行為的效果,顯然都非常有限。又如 該法第22 條雖賦予政府行政檢查權,但是合格標準不明確及跨境執法、取得稽核 所需資料的困難,造成該權限經常有名無實(林冠佑,2012:30)。從公共行政 的視角,重新審視規劃與執行之間的落差並加以矯治,顯得益加迫切。
再者,師法境外經驗,固然可能是建置與改善監理策略的途徑。歐盟一般資 料保護規範(General Data Protection Regulation,下稱 GDPR),因為制度相對完 善,加上歐盟龐大的政經影響力,成為目前主要被仿效的對象。筆者檢閱文獻也 大致認為,我國個資法與GDPR 相比存在甚多瑕疵,而建議與之看齊,然而複製 歐盟的經驗也必須慎防水土不服的弊端;加上經歷威權統治的陰影,台灣民眾是 否願意賦予政府與GDPR 相若的職權,顯然不無疑問,若有比政府更適合擔綱監 理的角色,也應納入考慮。且一如歐盟在制定GDPR 過程中,必須考慮全球主要 的網路服務供應商均為美國公司的現實,以免嚴重影響經濟秩序,台灣在制定監 理政策時也必須更為細緻。
最後,管制政策文獻已明確警告,意圖干預市場機制的運作,將可能阻礙競 爭甚至造成俘虜現象,進而適得其反。許多報導已指出GDPR 提高法遵門檻與成 本,造成大量中小企業的消失,由大型科技公司填補真空,進而提高其議價能力
(Stapp, 2019; Layton, 2019)。GDPR 固然能迫使業者提升對資訊系統的安全性 投資,以降低資料外洩的可能風險(Yuan & Li, 2019),卻也可能同時提高業者 使用數位足跡的能力,令使用者反而更缺乏保障。且社群網站已逐漸轉型成為高 牆花園式(walled garden)的經營手法,以避免資訊落入他人之手。科技巨擘提 高安全性的同時,也降低了資料被其他人運用的機會,進而壟斷資料來源與提高 議價能力,業者與使用者之間的權力不對等關係也更形擴大。審慎面對並檢討管 制政策的未預期後果,也勢將成為探討監理策略的另一道重要環節。
本研究共分為三個階段。第一階段透過文獻檢閱,盤點國內外現有主要監理 政策的實施概況,以及各領域對於監理政策的目標與期許。第二階段則就現有可 得資料衡量,衡量現行監理政策的施行成效,以及可能的差距或未預期後果,最 後據此提出改進之道。並自此建構研究問題如下,並鋪陳往後的研究目的:
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
1. 社群網站針對數位足跡有哪些自律行為?成功的政府監理策略,應該達到 哪些目標?現行政府監理社群網站使用數位足跡的策略有哪些?
2. 政府對於社群網站數位足跡監理策略已經獲致哪些成效?目前的成效與上 述目標存在哪些差距?造成哪些未預期的後果?
3. 造成上述差距的原因有哪些?現行對於社群網站的監理策略,應該做出哪 些改進或調整?
一、 探討與評價立法與執行之間的可能落差
政策制定者遇到的最大困難,不只是訂出法律所認為的理想狀態,還有完成 執行的龐大工程。現有文獻對於多聚焦於前端的立法技術,卻可能忽略與執行之 間可能失落的環節。盤點與檢討兩者之間的可能落差也同等重要。
理想與現狀的落差可謂隨處可見。如商業網站冗長且複雜的隱私權條款長期 為人詬病,不僅造成閱讀的龐大時間成本,也徒增舞弊的可能空間。對此GDPR 於第12 至第 14 條,要求業者以簡單易懂的格式,對使用者說明各重要事項(張 陳弘、莊植寧,2019:177-178)。然而條款冗長的問題迄今依然存在,筆者以社 群網站業界中最具代表性的Facebook 為例,閱讀後除了感覺冗長之外,閱讀數次 後仍難系統地了解條款的內容。一部條款是否複雜,固然存在許多主觀的詮釋空 間,但是懷疑這是否為我們所滿意的現狀。雖然迄今Facebook 並未傳出被勒令中 止在歐洲業務的消息,歐盟當局短期內也應不至於要厲行GDPR 的所有內容,但 是GDPR 實施已滿兩年,立法與執行的落差也正逐漸被放大檢視,而有必要探討 與評價。
二、 探討除立法外可能的政策工具
立法是常用且符合直覺的政策工具,也是政策合法化的必要環節。但是其費 時長、政治不確定性高,應用上缺乏彈性等缺點,難以成為單獨的解決方案。且 法律雖然能對於業者使用科技工具的方式設下相當限制,然而仍需留意科技本身 只是工具和障眼法,「會依照主導的社會與經濟邏輯而有所改變」,單靠傳統的 反托拉斯手段,也可能只會讓更多類似Google、Facebook 等採行監控資本主義的
企業出頭,使我們在與科技的賽跑中疲於奔命(肖莎娜.祖博夫,2020:47、58-‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
59)。探討除立法外可能的政策工具。重新釐清問題的本質,及探索非傳統解決 方案的可能性也亦形迫切。
再者,在現行體制下,訴訟事實上已成為法律執行的主要途徑。但在我國受 到以和為貴的文化影響下,訴訟通常被視為最後通牒而不被鼓勵。且訴訟程序的 高成本與複雜程序,加上台灣缺乏代理訴訟團體,及金額近乎無限的懲罰性賠償 實務,也降低被害者尋求救濟的誘因,徒法不足以自行的問題勢將更加明顯。直 接從源頭減少數位足跡的濫用,可能是較為理想的作法。