第一章 緒論
第四節 研究流程
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第四節 研究流程
本研究旨在探討政府監理社群網站運用數位足跡的策略,以及釐清可能遭遇 的困難或待改進之處,具體操作流程如下(及圖1-2):首先於本章緒論說明研 究動機與目的,並建立問題意識,並為文獻檢閱指引方向。第二章分別從多個角 度爬梳文獻,首先從事實層面了解業者利用數位足跡的可能機制,再分別從規範 層面探討,外界贊成及反對政府監理社群網站利用數位足跡的相關理據。接著又 繞回事實層面,分別從業者自律、法遵行為切入,探討既有監理機制的施行概況 與可能發現的問題,並進行問題盤點。隨後於第三章依據前揭結果進行研究設 計,特別是訪談對象的遴選以及題綱的製備。並於第四章撰寫研究分析並闡述結 果。最後於第五章提出結論與建議。
個資(深色處)
數位足跡(淺色處)
圖1-1:數位足跡與個人資料關係圖
資料來源:本研究繪製。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
研究動機與目的 建立問題意識 文獻檢閱與問題盤點
研究設計
執行訪談
資料分析
結論與建議
圖1-2:研究流程圖
資料來源:本研究繪製。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y 第二章 文獻檢閱
探討政府監理社群網站使用數位足跡的可能角色或策略,顯然需先對於問題 的整體背景做系統性的釐清,目的除釐清事實本身,也須留心於外界的評價,以 及釐清現有監理策略未能解決的問題。本章依序就業者的運作機制、各界贊成或 反對監理的理由,與現有的監理方案及其比較進行文獻檢閱,最後進行綜合討 論,並研擬下一步可能改進的方向。
第一節 業者運用數位足跡的可能機制
探討可能策略的第一步,顯然需要對於社群網站運用數位足跡的可能機制有 基本認識。最直接的方式,便是查閱業者頒布的資料政策(data policy)或隱私權 政策(privacy policy)。這方法看似簡單,實作後卻發現困難重重。第一個困難 便是條款的冗長與複雜。以社群網站龍頭Facebook 為例,其資料政策(官方的中 文版本)2,經文書處理軟體LibreOffice Writer 計算,文長約 7900 個中文字,且 常見非技術使用者難以理解的專有名詞,恐怕非其所能輕易負擔。另一個國人常 用的社群網站Twitter,則甚至沒有提供中文版本。使得這類文件缺乏實質的通知 意義,而經常流於取得使用者形式上同意的工具。
第二,資料政策看似清楚敘明資料的蒐集與利用範圍,但因為收集資料類別 與用途的繁雜,且散落於條款各處,筆者閱讀數次後,仍難清楚確認條款的授權 範圍,及使用者所能介入或控制的程度等,而需要外界詮釋型文件的輔助3、民間 或政府的研究報告,與學術單位的調查成果等。儘管筆者已盡所能之仔細與注 意,卻難免有錯漏之處。對此我們也不妨思考,當使用者對於社群網站的作為有 疑慮時,由哪一方負起舉證責任(burden of proof),所造成的整體社會成本最 低?是社群網站自證清白比較容易,還是使用者證明社群網站的缺失比較困難?
更有甚者,若定型化契約成為幫助廠商能以鄰為壑,轉移舉證責任與損害至弱勢 使用者的工具(伯納賽克、蒙根,2015:168;布特妮.凱瑟,2020:166)。在 制度設計上便應該讓社群網站負起自證清白的義務,才不至於造成社會更多的無 謂損失。
2 筆者行文當下引用的資料政策為2018 年 4 月 19 日的版本,截稿前的最新版則為 2021 年 1 月 11 日。然而筆者使用 LibreOffice Writer 的比對文件功能之後發現,除部份文字修訂之外,內 容大致不變。本文仍沿用較舊的版本。
3 如隱私權倡議團體所創設的Terms of Service; Didn't Read 網站(https://tosdr.org/)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
為精簡用詞起見,以下對資料政策的探討將業者所蒐集的數位足跡大致區分 為(1)使用者自願提供的資料(volunteered/provided Data),例如使用者填具的 註冊資料、主動上傳的文字、影像等;(2)企業主動蒐集(observed data),例 如利用第三方 cookie 追蹤使用者的瀏覽行為;( 3)經程式產生的推論資料
(inferred data ) 等 三 大 類 ( Christl & Spiekermann, 2016: 84; European Data Protection Board, 2020: 12-13)(以下通稱為類型一、類型二...等)。不過實作上 前兩種資料的性質並非完全互斥,而常需酌情處理。例如使用者主動上傳的照片 本身,視為其自願提供的資料(類型一)應無疑義。然而Facebook(2018)在其 資料政策言明,將收集相片的詮釋資料(metadata)「例如相片的拍攝地點或檔 案的建立日期...」,雖然同樣為使用者自主上傳,但由於非技術使用者可能未預 期Facebook 也收集這些詮釋資料,因此筆者視之為類型二資料。
由於類型一資料的性質相對簡單4,使用者填表、或上傳圖片的過程也應相當 程度意識可能的風險,本文將著重在Facebook 對類型二資料的蒐集(表 2-1)。
表2-1:Facebook 資料政策分析結果簡表
第一部份 收集特定裝置資料,特別是唯一識別碼 是
收集個人位置資訊 是
追蹤瀏覽第三方網站 是
自第三方網站收集個人資料 是
第二部份 使用者發佈的內容可能被傳送至第三方 是
使用者的個資可能被傳送至第三方 是
第三部份 資料有保存期限/自動刪除機制 否
使用者可要求修改/刪除資料 否
資料來源:本研究整理。
該表格分為三個部份,第一部分是資料蒐集的範圍與強度,特別是若干較敏 感的資料如地理資訊、裝置唯一識別碼(類似電腦的網路卡號碼);以及除站內 的追蹤行為外,業者是否追蹤使用者在其他網站的瀏覽行為,也就是常見的追蹤 瀏覽,及從第三方如資料仲介(data broker)取得其他使用者資訊的可能性。這 些指標主要測量業者進行資料聚合及使用者輪廓剖繪的能力與強度。
4 例如使用者在Facebook 註冊帳號時,Facebook 只要求填具姓名、電子郵件地址、出生年月日 等資訊。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二部份則是Facebook 是否可能將取得的數位足跡,不論是類型一或類型 二,移交給該組織外的第三方使用;該指標主要測量服務提供者同時扮演資料仲 介的能力或強度。而第三部份,則涉及蒐集所得資料是否可能被永久保存,以及 使用者對於這些被蒐集的資料,擁有多大的控制權。這也可能同時牽涉GDPR 的
「被遺忘權」(right to be forgotten)。
一、 資料蒐集的範圍與強度
第一部分的判讀結果顯示,Facebook 收集了使用者數個較為敏感的識別詮釋 資料,特別是裝置的唯一識別碼、瀏覽器類型、作業系統等資訊;儘管為文隱 晦,但是使用者不論是否登入Facebook,均可能會被收集這些資訊。只要交叉比 對裝置識別碼與登入紀錄,業者就能判斷個別裝置可能屬於哪一位使用者,並進 一步剖析可能的行為模式:
廣告主、應用程式開發商和發佈商可以透過他們所使用的 Facebook 商 業工具向我們傳送資訊,這些工具包括我們的社交外掛程式(例如
「讚」按鈕)、Facebook 登入...這些合作夥伴會提供您在 Facebook 以 外網路空間的活動相關資訊,包括您的裝置資訊、您瀏覽過的網站...,
無論您是否擁有或登入Facebook 帳號皆然。(Facebook,2018)
只 要 網 站 植 入 了 Facebook 相 關 的 應 用 程 式 , 在 未 登 入 Facebook 的 情 況 下,Facebook 仍可能透過第三方機制追蹤使用者的網路活動。筆者以臭鼬監測後 發現,Facebook 在一些沒有明顯設置其社交外掛程式的網站上也設有追蹤器,只 是程度較Google 輕微,也懷疑實情遠不只如此。然而官方沒有言明的,還有與第 三方業者的具體互動為何,迄今仍存在許多謎團,外界的詮釋也可能存在多種版 本 。Christl ( 2017a ) 顯 示 Facebook 有 從 安 客 誠 ( Acxiom ) 與 甲 骨 文 公 司
(Oracle)的大型資料庫輸入資料,且從字面看來偏向單方面的輸入行為;美國 參議院的報告則指出,資料仲介也可能反過來從社群網站獲取資訊(US Senate Committee on Commerce, Science, and Transportation, 2013: 21)。雖然究竟實情為 何 短 期 內 顯 然 難 以 全 盤 了 解 , 但 是 幾 乎 可 以 確 定 有 與 資 料 仲 介 往 來 的 事 實。Facebook 這樣做的動機,應該是希望讓網站成為資訊的高牆花園(walled garden),廣告主必須透過網站內部的中介機制才能在其擁有的服務推播廣告與 媒合交易:
我們提供廣告主觀看其廣告的用戶類型及廣告執行成果報告,...例如,
我們為廣告主提供一般人口統計和興趣等資訊(例如一位年約 25 至
‧
他處。Facebook 在其資料政策指稱的第三方為(1)使用我們分析服務的合作夥 伴、(2)廣告主、(3)成效衡量合作夥伴、(4)合作夥伴在我們的產品中提以用於操弄輿情(布特妮.凱瑟,2020:173)。這也可能是 Facebook 具體(但 間接)從使用者個資賺錢的方式。雖然Facebook 聲稱 2015 年 5 月起已經關閉了
Facebook 的「留言」或「分享」按鈕時,遊戲開發商或網站可以取得 您在遊戲中的活動資料,或是收到您從網站分享到 Facebook 的留言或 連結資訊。此外,當您下載或使用此類第三方服務時,他們可以存取 您在 Facebook 上的公開個人檔案,以及您與他們分享的所有資訊。如 果您選擇與所使用的應用程式和網站分享 Facebook 朋友名單,他們 就會收到此等資訊,但無法從您這裡收到有關您 Facebook 朋友的其 他任何資訊,或有關您 Instagram 粉絲的任何資訊(當然,您的朋友
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
和粉絲有可能自行選擇分享這些資訊)。這些第三方服務所蒐集的資 訊,均受其各自的條款及政策規範,而非本使用條款與政策。
(Facebook,2018)
表面上Facebook 封鎖了第三方服務者間接取得使用者好友的相關資訊,但是 如果使用者未採用較為寬鬆的隱私權政策,或者第三方服務者取得了較為寬鬆的 權限,第三方服務者仍有可能取得前述的隱私訊息。開發者也可能算準了「絕大 多數使用者都不願意去讀服務條款,然後就勾選了同意...他們(原文指使用者)
這麼做的同時還洩漏朋友的個人資料,而這些朋友本人並沒有同意」(布特妮.
凱瑟,2020:166)。因此,筆者認為這未能從根本消弭資料外洩的風險,而只
凱瑟,2020:166)。因此,筆者認為這未能從根本消弭資料外洩的風險,而只