第一章 緒論
第二節 研究方法與研究限制
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
則之參考。
本文由個人資料保護角度出發,檢視芝麻信用對於個人資料自主權保 護現狀為何?有無值得稱許或改進之處?若有需要改進則可以提出何等建 議?期盼透過芝麻信用運作之經驗,作為我國發展新興信用評價工具之借 鏡,以謀求科技發展、金融服務與個人資料保護間之均衡。
第二節 研究方法與研究限制
第一款 研究方法
本文的研究方法主要採取「文獻分析法」及「比較研究法」。
文獻蒐集上本文擬就個人資料保護上涉及社會信用評價、大數據下個 人資料保護等相關議題的法律規範、學術論述、實務函釋、法院判決等資料 進行蒐集、分析與檢討。藉此建構出符合個人資料保護之新興信用評價工具 運行規範。
比較研究法會參酌歐盟個人資料保護規則,其對於世界各國個人資料 保護法制規範有相當重要之參考作用,並經我國法務部及相關機構進行翻譯 與介紹,學界也有相當引薦與闡述,在比較法制的價值不言而喻。另外我國 個人資料保護法於立法理由中提及參考歐盟 1995 年頒佈「個人資料保護指 令」(European Union’s Directive 95/46/EC )等保護個人資料立法例,
加上 2018 年 5 月 23 日生效之歐盟個人資料保護規則(General Data Protection Regulation)中有「適足性」之要求,我國亦於 2018 年底遞送 文件,19因此法規適用上也會一併參酌歐盟個人資料保護規則之內容。
另外中國大陸目前雖無個人資料保護專法,但其於 2013 年施行徵信業
19 爭取歐盟 GDPR 適足性認定 國發會:去年底已遞件,自由財經,2019 年 2 月 18 日,
https://ec.ltn.com.tw/article/breakingnews/2702576(最後瀏覽日:2019 年 7 月 29 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
管理條例,其於第二條規定「本條例所稱徵信業務,是指對企業、事業單位 等組織(以下統稱企業)的信用信息和個人的信用信息進行採集、整理、保 存、加工,並向信息使用者提供的活動。國家設立的金融信用信息基礎數據 庫進行信息的採集、整理、保存、加工和提供,適用本條例第五章規定。」
因此芝麻信用在蒐集信用訊息時仍有徵信業管理條例之適用。另外 2017 年 施行之中國大陸網路安全法第四十一條「網路運營者收集、使用個人資訊,
應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用 資訊的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提 供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收 集、使用個人資訊,並應當依照法律、行政法規的規定和與用戶的約定,處 理其保存的個人資訊。」亦有針對網路運營者收集、使用個人資料之規定,
最後,2019 年中國大陸電子商務法第二條第一項「本法所稱電子商務,是 指通過互聯網等信息網絡銷售商品或者提供服務的經營活動。」規定也將提 供網路服務之芝麻信用包含在內。故本文於比較法上也會一併參考芝麻信用 運行時所會適用中國大陸徵信業管理條例、中國大陸網路安全法及 2019 年 甫施行之中國大陸電子商務法。
第二款 研究範圍與研究限制
壹、 研究範圍
本文所稱新興信用評價工具,係指除了使用傳統金融徵信所採用之借 貸資料外,更加入了其他種類個人資料(如:通話費繳納紀錄、網購紀錄等)
以進行信用評估,並將信用評估結果提供給自己及他人使用之徵信服務。傳 統金融機構雖也會蒐集個人資料並做成信用評估,但該等信用評估僅供機構 自身決定是否提供借貸之授信依據,而僅為自用,非為將信用評估結果提供 給他人之徵信服務,但新興信用評價工具,依蒐集之個人資料做成信用評估
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
結果不僅是自用而已,還會提供給他人參考,並以提供此等信用評估結果作 為一種服務態樣,兩者係有不同,故本文僅就新興信用評價工具之徵信服務 加以研究,而傳統金融機構之徵信服務並非本文研究範圍。20
同時,本文就芝麻信用研究範圍限定於個人信用評價徵信部分,而不 及於企業信用評價徵信。研究資料以芝麻信用「服務協議」、「數據安全及隱 私權保護政策」與官方網站介紹內容為主。但提供個人信用評價服務涉及之 民法侵權行為、消費者保護法、資料儲存安全技術、主管機關監管與國際傳 輸等部分則非本文討論範圍。
貳、 研究限制
本文對於芝麻信用實際體驗經驗有限,可能無法發現更多在操作上涉 及個人資料保護之爭議。因芝麻信用服務係透過支付寶介面,而支付寶若有 設定大陸銀行卡做為支付工具時,可以開啟芝麻信用完整功能。倘非中國大 陸版本之支付寶軟體,則無開啟芝麻信用功能之按鍵可供選擇。因此本文主 要是就芝麻信用提供之「服務協議」、「數據安全及隱私權保護政策」與官方 網站介紹之內容進行研究,可能無法發現文字敘述上無異狀但實際操作卻有 爭議部分。
另外中國大陸國務院於 2014 年 6 月 14 日頒發「國務院關於印發社會 信用體系建設規劃綱要(2014—2020 年)的通知」將社會信用的建立做為 政策目標,21而芝麻信用之發展與中國大陸推動社會信用政策有關,但社會 信用本身即屬一個可以獨立討論之議題,而本文並未將其納入研究範圍,僅 會於芝麻信用背景介紹時簡單敘述涉及之社會信用層面,並點出可能涉及之
20 此部分感謝口試委員臧正運老師提供之意見,讓本文之主軸得以凸顯。且新興信用評價工具徵信服務中個人資料蒐集 方式有兩種態樣,其一,業者作為資料處理者而為蒐集、處理及利用個人資料(如:芝麻信用),其二,透過同業公會 或會員制方式互相分享所蒐集之個人資料(如:百行徵信)。
21 中國大陸國務院關於印發社會信用體系建設規劃綱要(2014—2020 年)的通知,
http://big5.www.gov.cn/gate/big5/www.gov.cn/gongbao/content/2014/content_2711418.htm (最後瀏覽日:2019 年 7 月 29 日)
‧
發展組織(Organization for Economic Co-operation and Development,簡稱 OECD )理事會提出個人資料保護八大原則(限制蒐集原則、資訊內容完 整正確原則、目的明確化原則、限制利用原則、安全維護原則、公開原則、個人參加原則與責任原則)為基底加以開展,23並針對實務運作上的問題點
22 如 Fan Liang , Vishnupriya Das, Nadiya Kostyuk, and Muzammil M. Hussain,Constructing a Data-Driven Society: China’s Social Credit System as a State Surveillance Infrastructure, Policy & Internet, Vol. 10, No. 4, 2018。以及 Yongxi Chen and Anne SY Cheung, The Transparent Self under Big Data Profiling:Privacy and Chinese Legislation on the Social Credit System, https://ssrn.com/abstract=2992537 兩篇文章中,援引相當多中國大陸文獻資料。其他如 Larry Catá Backer,
NEXT GENERATION LAW: DATA-DRIVEN GOVERNANCE AND ACCOUNTABILITY-BASED REGULATORY SYSTEMS IN THE WEST, AND SOCIAL CREDIT REGIMES IN CHINA,Fall, 2018,28 S. Cal. Interdisc. L.J. 123。與 Rogier Creemers,China’s Social Credit System: An Evolving Practice of Control,University of Leiden,Van Vollenhoven Institute,May,2018。也有引用中國大陸文獻。
23 OECD 八大原則也成為我國 1995 年電腦處理個人資料保護法的重要參考,我國 1995 年立法當時考量 OECD 八大原則 嚴格規範有關個人資料之蒐集、處理及利用行為,為避免對民間衝擊過大,參酌當時日本之「電子計算機處理個人資料 法」與英國之「資料保護法」(Data Protection Act)立法例,僅將經電腦處理之個人資料納入保護範疇,而未經電腦 處理或儲存之資料(亦即人工資料)則不適用。另外將非公務機關限縮為大量蒐集個人資料作成個人資料檔案,以供利