第四章 研究分析
第二節 外界對於業者自律措施的評價
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
四、 小結
本節從事實面進行問題界定,了解外界對於社群網站業者運用數位足跡行為 的相關評價,以便進一步討論外界與業者之間可能的認知落差,以及後續的解決 方案。雖然以上表格是整理自受訪者的發言逐字稿各處,受訪者也未言明所關心 業者利用資料手法、對使用者可能造成影響,以及對業者的期許或訴求之間的關 聯。但就常理推斷,筆者認為三者之間仍依稀存在一些關聯性。而業者的自律及 法遵措施與政府的監理策略是否成功,某種程度上也能取決於業者是否能最大限 度消弭上述對使用者的可能影響,或者符合外界之上述期許。
第二節 外界對於業者自律措施的評價
基於民主政治與市場經濟的運作原則,政府通常不直接干預企業事務,而儘 可能讓業者在不違背法律的前提下自行處理問題。此時業者的自律措施是否能堅 守空間底線,而能繼續享有自律的空間,也是探討監理策略時的第一個重要前 提。本文共分成四個部份分述之:第一部份是業者採行自律的理論與實務基礎。
第二部份則是業者自律措施的實際狀況。第三部份則為外界對於業者自律措施的 批評。最後以小結做收尾。
一、 社群媒體的問題技術上只能透過自律處理
出於多種困難,受訪者D2 認為社群媒體的問題,技術上只能透過自律處 理。首先,我國政府現實上不可能前往境外執行稽核,頂多接下來提供足夠條件 吸引對方將資料落地,然而社群網站業者對於台灣的經營環境並非十分信賴(受 訪者D2,行 83-91)。再者,我國也沒有法源授權進行相關演算法的監理,業者 更沒有義務與政府分享相關資訊(受訪者D2 ,行 100-107)。第三,由於演算法 的多變與複雜性,政府也幾乎沒能力審視,唯一可行的辦法是仿照監察委員會的 現有機制,委由公正的外部專家來稽核,然而該構想迄今尚未付諸實施(受訪者 D2 ,行 112-120、行 281-288)。
二、 業者的自律措施,多以遵循國際標準為主。
在缺乏外界稽查的情況下,業者委任律師表示,目前採取的自律措施,多以 與國際標準接軌為主。業者通常會請管理顧問公司協助,去採用一些國際個資保 護制度的標準來建立自律規範,例如常見的BS 10012 標準,政府機關提供的指引
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
則非常有限(受訪者B2,行 251-254)。然而業者具體如何遵循這些標準,因為 業者未必會請教律師技術層面的問題,基本上等於無法知悉(受訪者B1、B2,
行282-291),且這些事務的決策核心也多在境外,台灣方面也就更難有機會得 知相關細節(受訪者B2,行 255-268)。總體而言,究竟社群網站營運者採取的 資料保護措施細節為何,業者委任律師僅能提供規範性的陳述,而缺乏更深入的 細節。筆者即使有機會詢問業者內部人士,可能也只會得到類似其網站公關文件 的罐頭式回應。
三、 外界對於業者自律行為的批評
由於瀏覽現有公關資料,與訪談業者委任律師後,對於業者自律措施的實施 現況了解仍然有限,而多限於描述性的陳述。綜觀文獻與許多受訪者的回應,對 於業者的自律措施也多有批評,其中最嚴厲的便是業者未能提出比法遵更高標準 的自律而缺乏意義,茲具體分述如下:
(一) 業者未能提出比法遵更高標準的自律
首先也是最嚴重的問題是,業者未能提出比法遵更高標準的自律。受訪者D1 認為,業者行為應該清楚凸顯自律與法遵的差異,且有意義的自律行為帶來的保 護標準應該高過法律的要求,「要不然我們就依照法律,不就是有強制性的規範 了嗎?」(受訪者D1 ,行 668-675)。雖然筆者認為該說法略嫌理想主義,且忽 略實際執法過程的成本與困難,但是也同意尤其是位居龍頭的業者,不應只以追 求合法為滿足,而應以更高的基準來自我審視利用數位足跡的行為。從法遵的標 準多半高於自律的實際現狀而言,以近來最為嚴重的劍橋分析事件為例,若業者 連法律的要求都無法達成(未取得使用者知情同意,及違反安全港協議造成的欺 罔行為),實在很難相信業者到底在自律措施做了哪些努力(受訪者D1,行 714-720)。再者,若業者是在被政府邀請「喝咖啡」的情況下提出自律措施,由 於其行動還算是出於其自由意志,尚且能稱作自律。然而當實情仍為「法律要求 做一步,業者才開始做一步」(受訪者D1,行 679-680)時,對外界而言也不過 是另外一種形式的法遵而已;且GDPR 剛好在與劍橋分析事件相近的時間點生 效,也就更難認定Facebook 提出的措施排除任何法遵的目的。第三,有意義的自 律應該是基於未雨綢繆的超前佈署,且很多意外其實可能事前預防或至少有跡可 循 , 例 如 查 閱 相 關 資 料 庫 並 對 已 知 的 風 險 投 入 預 防 ( 受 訪 者 E1 , 行
662-‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
665、669-673)。然而業者往往是在出事之後才急忙補破網(受訪者 E1,行 529-531、610-612),也當然稱不上是自律。
儘管Facebook 聲稱已採取多項自我管制措施,實務上仍著重於控制來自使用 者的爭議訊息的傳播,而未對業者端利用數位足跡的方式有根本的改善,而僅止 於皮毛。儘管態度與立場有所不同,受訪者A1 與 D2 不約而同地指出,既然 Facebook 成立了監察委員會,應可比照成立由外部專家組成的個資保護監查委員 會,來稽核業者個資保護與內容推播演算法的實行狀況(受訪者 A1,行 282-290、受訪者 D2,行 112-120),如此也有助於消弭外界的質疑,以及對於業者與 使用者的行為採取兩套標準的不良觀感。
(二) 業者自律措施的可行性難以被外界信任
站在業者的角度,無非是希望政府不要有太多監理,但是業者應該清楚告訴 外界,他的自律措施是如何施行的,政府也應該盡到把關的責任,確保業者提出 的方案是具體的且能被落實(受訪者E1,行 522-528)。且即使業者所出具的個 人資料保護計畫確實合乎法規要求,也不保證業者就會落實,否則如劍橋分析這 類違規事件也不應該接連發生。筆者認為,實務上業者除趨於制式的公關文章之 外,幾乎沒有再透露具體的作業細節。迄今外界對於使用者的資料流向,以及可 能的利用方式,也僅止於很籠統的「官方說法」,亦或只是透過外界如公民團 體,透過旁敲側擊所得非常有限且不甚可靠的資訊。即使業者委任律師主張該坦 承的事項,均已在使用者條款敘明,只是使用者往往認為太麻煩,而索性略過不 看(受訪者B2,行 355-357)。然而業者常用的使用者條款,受訪者與許多文獻 皆已長期批評此為無效的溝通方式,但仍為業界主要採用的取得使用者同意的方 式,也難免給人矇混過關的觀感(受訪者A2,行 274-280)。
儘管業者委任律師對此表示感到為難。首先是現有技術,仍難有比制式的使 用者條款更有效的溝通工具;再者,許多消費者也急於享受這些服務,經常不管 三七二十一就點選同意了,而未能對後續可能的風險審慎評估(受訪者B1,行 310-354)。受訪者 C1 對此也提出類似觀點,指出使用者在貪圖方便或一時找不 到替代服務的情況下,也只能摸摸鼻子接受了(受訪者C1,行 472-478),貪圖 方便或許還能歸咎於使用者的享樂主義,但是如果使用者真的幾乎別無選擇,就 可能要留意是否為業者壟斷,令使用者必須接受對業者較有利的合約。第三,在
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
合作廣告商頻繁更替的業界常態下,再告知義務的履行技術上有明顯困難,使用 者是否也 必須知 道 這麼 多廣告 商 的 細 節 ,也不無疑 問( 受訪者 B2,行 373-377)。筆者雖然對於業者委任律師所提出的前兩點未有強烈辯駁,因為前者事 實上似乎還沒有更好的溝通工具,後者姑且不論資料自主權與締約雙方權力不對 等的問題,使用者是否詳閱條款,也與風險意識的培養高度相關,單方面怪罪業 者也未必合乎情理。然而對於第三點則抱持較保留的態度,畢竟不能以廣告商頻 繁更替,或一般使用者無需或無能力理解為由,片面剝奪使用者知的權力。不論 是何種原因,倘若業者或使用者任一方,無法充份告知或知悉業者自律的技術細 節,並相信該方案是具體且能落實,恐怕也難以說服外界自律行為的可行性。
(三) 單方面強調透明難以取信使用者
儘管社群網站已逐漸將透明視為重要的價值,然而單方面地強調透明,無法 完全解決使用者的疑慮。透明不過是一種底線,單方面告訴使用者知道接下來該 如何與業者相處,距離理想的溝通,或是使用者資訊自主權的實現顯然有相當大 的差距(受訪者A1,行 354-359)。業者要做的事不應該只是消極的透明,把該 講的事情講完即拍拍屁股走人,也不應該將責任轉嫁給使用者,使用者也沒有義 務為了使用一個服務,還必須事先了解專家可能也感到複雜的網站運作模式,遑 論預防日後可能的糾紛;使用者知悉實情後也可能更害怕,特別是業者可能與政 府分享特定機敏資料時(受訪者 A1,行 316-328、347-352、375-380;受訪者 E1,行 495-499、771-772)。若透明反而帶來使用者的不信任,業者應該從根本 檢討有問題的商業模式,而非繼續將數位足跡無限上綱地用於他途。且若使用者 數位足跡的利用方式,可能影響不實資訊的傳布方式與路徑(受訪者A1,行 282-290 ;受訪者 D1,行 103-115),也就更應該執行相關的審查或監理機制。
(四) 對於自動化決策的後果難以被課責
由於業者無義務,通常也不願意揭露對使用者施行自動化決策的相關技術細 節,特別是演算法。即使業者願意揭露,由於資料分析與相關實驗是動態且快速 變遷的過程,且有多個研究正在進行,恐怕也很難精準回答,接下來可能會發生 什麼事情(受訪者A2,行 182-188)。但是若連業者都難以保證,使用的演算法
由於業者無義務,通常也不願意揭露對使用者施行自動化決策的相關技術細 節,特別是演算法。即使業者願意揭露,由於資料分析與相關實驗是動態且快速 變遷的過程,且有多個研究正在進行,恐怕也很難精準回答,接下來可能會發生 什麼事情(受訪者A2,行 182-188)。但是若連業者都難以保證,使用的演算法