第三章 隱私保護標準組織發展與挑戰
第一節 產業自律、標準與法規
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第三章 隱私保護標準組織發展與挑戰
第一節 產業自律、標準與法規
產業自律(industry self-regulation)包括政府與產業訂定自願性 的協議、產業自訂行為準則(codes of conduct)、產業自發性倡議
(voluntary initiatives)、指南(guidelines)、產業訂定之標準(包含技 術、品質和符合性評估標準)、稽核和認證制度等。
除一般理解的產業自律之外,澳洲首次引進自律規範(regulated self-regulation),是基於法律原則訂立間接性的國家規範,法規主管 機關較偏好此模式;國家雖有參與訂定,但卻不直接由國家去執行,
透過國家和私人的立法者在聯合機構中共同運作,以及利害關係者參 與自治;即是積極運用私部門影響力,以達到政策目的之自治類型。
如結合國際化自律(international self-regulation)將各國經濟文化上的 不同考慮在內。透過普通法規與產業自治團體的複雜互動合作,稱為 合作性自律(co-regulation),意即部門和國家有共同責任,缺少公 然的命令和控制。美國有稽核性自律(audited self-regulation),是依 據預設標準,經過獨立稽核機構認證的。也有建議可將自律規範,當 作是合作性自律、國際化自律或稽核性自律之其中一種類型49。
進一步來說,合作性自律是由政府和產業合作,如包含由政府的 看門狗組織(government watchdog organizations)或是自治組織提供 產業標準,政府機關會要求訂定違反自治規定之損害賠償,以及各種 形式的「軟性法」,諸如政府發布的建議、原則或是行為準則,但仍 是無法律拘束力的規範架構50。
歐盟的共同約束條款(Binding Cooperate Rules, BCRs)即是一種 產業自律方式,為企業內部規定,諸如跨國集團企業自訂行為準則,
訂定個人資料跨境傳輸政策,使得在某些國家未能提供適當個資保護 之集團公司,可以在歐盟個人資料保護指令意旨之下,透過BCRs援 引基本權力進行適當的個資和隱私保護51。
49 Hans J. Kleinsteuber , Self-regulation, Co-regulation, State Regulation, 63~86, http://www.osce.org/fom/13844 (last visited 2013/6/16)
50 Daneil Castro, Benefits and Limitations of Industry Self-Regulation for Online Behavioral Advertising, The Information Technology & Innovation Fundation, December 2011, http://www.ntia.doc.gov/files/ntia/2011-self-regulation-online-behavioral-advertising.pdf
51
http://ec.europa.eu/justice/data-protection/document/international-transfers/binding-corporate-rules/ind
‧
最早發表隱私權的 Brandeis 和 Warren,提議被侵犯隱私權者可 以透過普通法之侵權救濟,但這是美國典型回應隱私執法的特色,未
ex_en.htm (last visited 2013/8/16)
52 資料來源:CEN BOSS(Business Operations Support System)網站,
http://www.cen.eu/boss/supporting/Guidance%20documents/GD026%20-%20Standards%20and%20R egulations/Pages/default.aspx (last visited 2013/4/16)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
必適用於其他國家。對於任何企業和個人,面對跨國資料交換時,應 該適用於哪個隱私規範、法令或是標準,皆相當困擾。當政府不能夠 及時有效地處理好國際隱私法令問題時,私部門只得尋求其他方法。
私部門並可能會發現,不要有政府的直接參與,自行發展和採納自願 性的國際隱私規範(voluntary international privacy codes)是比較需要 且合適的。除此之外,國際標準可提供較好的選擇,因傳統標準的重 點放在技術議題,或是如 ISO 發展的品質管理和品質保證標準,資訊 應用標準則會反映類似管理和程序上的問題,同時標準發展過程亦會 配合隱私法規來訂定。
但單就標準本身,沒有共通的程序或是有效的強制力,可能就不 能夠滿足想要獲得救濟的激進型消費者。透過政府組織或是傳統的標 準程序,合作性隱私規範(cooperative privacy code)可提供解決方案 化解衝突,包括將統一的通知、個人參與、使用和揭露、安全和歸責 性等納入規則。有效的合作性隱私規範,在一般性原則外會有實質上 和程序上的細節,也應該會有強制機制,包括訂定應通過何種標準之 稽核機制,線上爭端解決機制,並附帶提供非訴訟的調解或仲裁之個 人實質救濟。但如適用於電子郵件的合作性隱私規範,可能就不適用 於電子商務交易。合作性隱私規範也非萬靈丹,如果政府有法令賦予 或是國家安全的監控需要,就會受到限制53。
成立有百年以上歷史的英國標準協會(British Standard Institute, BSI)對標準的定義為,標準是經由認可組織取得共識和同意後建立 的,提供做為一般性和重複性使用,可做成規則、指南,或者是為達 到最適度秩序目標下,將活動或成果的特徵制定成特定文件內容。標 準應該是基於科學、技術和經驗所得之綜合結果,以社群利益為推動 目標54。
過去標準的訂定來由,多數是為了使產品或服務達到技術和品質 之要求。一般推動技術標準的重要性原因,包括有:科技複雜性
(complexity)、驅動元件化(componentization)的需求、品質的影響 力(impact on quality)、加速創新(innovation)、系統相容性競爭55。 但隨著新興科技蓬勃發展,標準內容的演化變得越來越多元,更將技
53 Robert M. Gellman, Can Privacy Be Requlated Effectively on a National Level? Thoughts on the Possible Need for International Privacy Rules, Villanova Law Review, Vol. 41, Iss. 1, Art. 2, 129, 134~172, 1996
54 A standard for standards – Principles of standardization,
http://www.bsigroup.com/Documents/standards/bs0-pas0/BSI-BS0-Standard-for-Standards-UK-EN.pdf, BSI Standards Publication, 6, 2011 (last visited 2013/7/25)
55 Armin Hornung, Gleb Krivosheev, Noor Singh, Jeff Bilger, University of Washington, Seattle, Standards Wars, Final Project. CSEP 590A: History of Computing, 3~4, Autumn 2006
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
術解決方案納入標準,並須考量進入各個市場之標準。標準可能從由 某一個國家訂定,或由國際標準組織、區域標準組織或者是產業聯盟 所頒佈之標準。
標準可區分為正式標準和非正式標準,兩者特性列如下表56。 表 2 正式標準和非正式標準區分表
標準區分 正式標準 非正式標準
類型 法律上的(de jure)標準,具 共識的,產業自願性的
事實上的(de facto)標準,
為臨時設置的(ad hoc),
聯合的,使用者團體 參與者 多樣的,目的各異 相對同質的,一心一意的 程序 正當的程序(due process),
開放的,具共識的,公開評 論,具有授權性
不在乎傳統程序或抄捷徑;
權宜;短期成果
訂定者 認可的正式標準組織 非標準組織訂定,但為產業 廣泛採認
法律上的標準,即是由認可的正式標準組織發布的標準。例如美 國國家標準協會(American National Standards Institute, ANSI)會透 過許多不同的標準發展組織認證(Standards Developing Organizations, SDO),包括美國電子電機工程師協會
(
The Institute of Electrical and Electronics Engineering, IEEE)和 NISO(National Information Standards Organization),發布資訊科技標準。政府標準制定組織或政府授權 的標準制定組織所建立之標準,也稱為法律上的標準。法律上的標準 是包括由官方組織、行業組織或學術論壇等正式組織所制定,並有相 對負責執行的技術或技術組合。歐洲三大標準制定組織(CEN(European Committee of Standardization)、CENELEC(European Committee for Electrotechnical Standardization)、ETSI(European Telecommunications Standards Institute))、與英國政府簽訂備忘錄的 英國 BSI、美國聯邦政府體系的國家標準和技術研究機構(NIST),
分別以強制或業界自願採用的方式,推行標準化工作。
56 Bob Toth, Putting the U.S. standardization system into perspective: new insights, StandardView Vol.
4, No. 4, 169, 171~172, December 1996
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
事實上的標準分為兩種,一類係由單個企業或具有獨占地位的極 少數企業建立的標準,稱為「形成的標準」。換言之,它是指某種技 術產品由於市場運作的成功而取得支配地位,該類產品受消費者偏 愛,從而導致其他技術競爭者難以進入市場。事實標準不是產生於特 定組織的標準制定行為,而是由於市場運作的成功而自然形成。決定 能否作為事實標準,不是因為它為標準化組織所制定,而是在產業上 被視為標準而廣泛採用及承認。另一種係由私人標準制定組織建立的
「創設的標準」,該標準的特色係標準的發起人不是一個或極少數的 幾個壟斷企業,而是十幾個或數十個企業或研發機構提起的。這種標 準按開放程度,可以分為開放型和封閉型兩種。其中「開放型標準」
是現在比較常見的,其特點就是建立後或建立過程中,經過ANSI、
IEEE或W3C(World Wide Web Consortium)等正式機構的調整和確 認,就可以轉化為事實標準57。
從經濟角度來看,事實上的標準取決於市場機制。但標準多是經 過正式的標準程序制定,因此為了取得市場競爭性,合作與政治上的 程序變得極為重要。標準的認定由產業公協會和正式標準組織,又受 到市場驅動力和政治力之影響。從政治觀點來看,成功的標準不可能 會是技術上優越的,因為它會受制於利益衝突上的妥協。
特別是在 IT 和通訊方面的標準,目標都是朝國際化,國際性的 技術標準、無技術上的限制,得適用於跨國界,有助於建立大規模的 基礎,降低產品和應用設計之成本。然而,標準化不再只是技術議題,
可能會與國際貿易相關聯,更關係到政治環境問題。涉及到之重要角 色包括:跨國性的組織、如美國 ANSI、英國 BSI 等國家的政府組織、
如 EU 和 CEN 等區域性組織、如 ISO 和 IEC(International
Electrotechnical Commission, 國際電工技術委員會)等國際組織。
通常發生標準戰爭,是因為兩個不相容的技術標準,爭相成為事 實上的標準,可能是公司之間的或是其他層次的競爭。當如果是發生 國際性的標準戰爭,政府在標準制定的角色扮演就越是重要,不僅是 在國內市場,在全球也有類似的情況。標準通常就成為各國間國際競 爭的重要基礎,因為標準被認為是可以捍衛國內產業競爭力的利器。
諸如國際行動通訊標準之興起發展,即是在企業和政府齊心合作下,
透過複雜的標準委員會參與和市場機制運作下產生的58。
新興科技引發之各類隱私問題,已在各國和國際組織間掀起多重
57 湯亦敏,標準制定組織之智慧財產保護政策及競爭法問題探討,2006 年 6 月,頁 8~19。
58 Heejin Lee, Sangjo Oh, The political economy of standards setting by newcomers:China’s WAPI and South Korea’s WIPI, Telecommunication Policy 32, ScienceDirect, 662~671, 664~665, 2008
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
波瀾,在行動應用軟體相關隱私保護規範尚未完備之際,同時透過國 際標準組織、區域組織和產業組織等自律發展,形成隱私保護標準,
透過標準推動、產業自律併行,可彌補相關法令規範未及之處。