美國政府責任辦公室

有鑑於大眾對於以市場行銷為目的之資料仲介業者存有個資隱私侵害的 疑慮，與個資可能經由社群媒體、行動 App 與其他技術的大量使用等而被蒐 集 ， 再 加 上 國 會 議 員 檢 視 資 料 仲 介 業 者 的 提 議 ， 美 國 政 府 責 任 辦 公 室

（GAO⁵⁶）於2013 年 9 月提出「資訊販售者：消費者隱私綱領需要反應技術

53 2014 FTC Data Broker Report, supra note 9, at 53-54.

54 Id. at 32. 美國聯邦貿易委員會將該類服務分成兩大類：1.身分識別服務（identity verification）：該服務可協助客戶確認特定個人之身分，而根據不同的目的，資料仲 介業者會提供客戶不同種類的服務，例如交易中含有一定風險程度的，可提供評分 格式的資料，或提供客戶具有提問的服務，例如所提供可讓客戶容易瞭解消費者的 特性等等；2.詐騙偵查（fraud detection）：該服務可協助客戶降低被詐騙的風險。例 如資料仲介業者提供客戶查詢特定電子信箱是否存在一段期間，抑或與客戶是否有 交易紀錄存在等等。

55 Id. at 54.

56 舊名為 General Accounting Office，中文譯名為美國審計署或美國審計總署。該名稱 雖早已為公眾所熟悉，但其並未真實準確地反映此一機構所扮演的角色。審計總署 成立於 1921 年，主要負責查核聯邦政府的財務情況；然而，時過境遷，儘管該機構 依然是聯邦政府財務活動的主要審計機構，但財務審計只占其工作量的 15%。目前

與市場變革」報告（Information Resellers: Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace⁵⁷），該報告除對此類以 販售資料產品或服務的產業給予定義外，另外主要先行檢視現行隱私保護各 項規範是否適用於資料仲介業者所持有或維護之資料、現行法對於資料仲介 業者是否有無法適用之處，以及是否有增進消費者資訊隱私的方案或措施建 議⁵⁸。

3.2.1 對於消費隱私尚無一致適用的立法

該報告特別提出現行法制架構可能無法完全解決新興技術所帶來的消費 隱私保護議題，因為這些利用新興技術所生的產品或服務，通常密切地扣合 與消費者個人相關的背景、行為偏好等，使產品或服務更貼近消費者的需 求；然而，所蒐集或使用的個人資料卻常常流入使用個人資料交易的市場，

分享與擴散至第三者手中⁵⁹。

而當進行盤點相關法條之後發現，目前聯邦隱私法並無法管理私人企業 間所進行個人資料的販售，但在各別法律，例如健康保險流通與責任法案

（HIPAA）、金融服務現代化法案（GLBA）、公平信用報告法（FCRA）中 則發現有針對個人資料於特定情形或特定對象管理個人資料的使用、分享與 保護的規定⁶⁰，例如 FCRA 限制蒐集使用或傳遞用以協助確認資格，例如以 信用貸款或工作等目的而蒐集或使用的個人資料，這些個人資料不得使用於 市場行銷；其他例如健康照護提供者、金融機構、錄影帶服務提供者，或於

大部分的工作是負責對聯邦政府進行業績審核、項目評估、政策分析等。2004 年改 名為「政府責任署」更加明確表明其首要任務是提高聯邦政府的工作績效，保證聯 邦政府能夠對國會和美國公眾盡責任。參見美國政府責任辦公室，台灣 WiKi，

http://www.twwiki.com/wiki/%E7%BE%8E%E5%9C%8B%E6%94%BF%E5%BA%9C%

E8%B2%AC%E4%BB%BB%E7%BD%B2（最後點閱時間：2016 年 10 月 31 日）。

57 2013 GAO Report, supra note 6.

58 Id. at 1.

59 Id. at 16-20.

60 Id. at 16.

網路蒐集兒童個人資料的法律，亦有類似規定⁶¹。

3.2.2 對於資料仲介業者規制需求的建議

關於使用資料進行市場行銷，現行聯邦各項法律並無提供消費者知情權 相關規定，亦無對於資料持有人以及資料使用的規定。在大多數的情況下，

消費者對於第三人以市場行銷為目的進行其敏感性個人資料的蒐集或分享並 無法律的主張，也因此導致某些產業認為現行法律外加自律的配套措施⁶²， 對於隱私保護其實已經足夠。

GAO 表示，就其檢視結果在規範面對於此類資訊販售行為的確有差距存 在，且現行法制架構並未完全反映「公平資訊實踐原則」（Fair Information Practice Principles, FIPPs）⁶³，例如公平資訊實踐原則的「蒐集限制原則」

（collection limitation）與「公開原則」（openness），規定個人對於他人所 蒐集其個人資料應有知悉與表達同意的能力，而「個人參與」原則強調個人 有權近用該資訊、要求更正資料，且對於拒絕上述權利可提出法律挑戰。目 前並無任何一部聯邦法律要求資訊仲介業者對其所掌握，而欲利用在市場行

61 Id. at 7-15.

62 Id. at 27. See also Ashley Kuempel, The Invisible Middlemen: A Critique and Call for Re-form of the Data Broker Industry, 36 NW.J.INT’L L.&BUS. 207, 216-17 (2016); Justin Brookman, Protecting Privacy in an Era of Weakening Regulation, 9 HARV.L.&POL’Y REV. 355, 362 (2015); Eugene E. Hutchinson, Note, Keeping Your Personal Information Per-sonal: Trouble for the Modern Consumer, 43 HOFSTRA L.REV.1149, 1160 (2015); Alexan-der Tsesis, The Right to Erasure: Privacy, Data Brokers, and the Indefinite Retention of Data, 49 WAKE FOREST L.REV.433, 466 (2014).

63 2013 GAO Report, supra note 6, at 27. 公平資訊實踐原則（FIPPs）是國際所認可的一 系列保護隱私與個人資料安全的原則，是美國聯邦顧問委員會（Federal Advisory Committee）首次於 1973 年提出，以回應當時對於電腦化資料系統可能對個人資料 隱私方面有所顧慮。當時的 FIPPs 仍與法律規範有所扞格，其提出對隱私需求與其 他利益相互平衡的規範架構。嗣後，經濟合作發展組織（OECD）則於 1980 年發展 出修正版的公平資訊實踐原則而受各界廣泛採納。Id. at 5-6.

銷或資訊檢索目的上的資料，允許個人有使用或修改其內容的控制權⁶⁴。 但對於是否有訂立新隱私法制的需求，仍存有不同的聲音。某些隱私倡 議者認為，訂立一部全面適用的隱私法制雖然可以增進規範的一致性，但卻 可能與現行散見於各產業的隱私規範產生扞格，或對其可能會造成負擔或無 彈性空間。因此，GAO 建議國會應該考慮加強消費隱私保護的法制框架，藉 以反映科技與市場的變化，特別是使用於市場行銷目的有關的消費者資料，

並同時確保任何加諸於資料蒐集與分享的各種限制，任何改變應尋求提供消 費 者 相 應 的 隱 私 保 護 ， 同 時 不 致 過 度 抑 制 商 業 和 創 新⁶⁵。 美 國 商 務 部

（Department of Commerce）對於強化隱私保護，更可能提供消費者保護以及 創新的作法表示贊同⁶⁶。