國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
網站使用者相關個人資料,相較於指令第 7 條規定,TMG 系爭規定有更為嚴格 的範圍限制。266詳言之,指令允許資料蒐集者、第三人,以及資料揭露之對象,
以追求正當利益作為處理個人資料的合法事由,但 TMG 系爭規定只允許服務提 供者在促進電子媒體的使用或收費的必要範圍內,蒐集、利用使用者的個人資料,
禁止服務提供者在使用者網路媒體的瀏覽行為結束後,全面地儲存個人資料以確 保媒體服務的運作。267因此,TMG 的規定違反了指令第 7 條第(f)項。268
歐盟法院並強調,有鑑於指令第 7 條第(f)項的規定,會員國不得以全面或類 型化的方式,排除在具體案件中進行利益權衡後處理特定個人資料的可能性,因 此會員國不能針對特定類型的個人資料,預先禁止依據個案情形為利益權衡。269 由於 TMG 系爭規定,排除了網路媒體基於「確保網路媒體一般性運作」與「使 用者受指令第 1 條第(1)項保護的基本權利自由」二者進行利益權衡以處理使用 者個人資料的可能性,限縮了指令第 7 條第(f)項的適用範圍,因此與歐盟個人資 料保護指令的規定相違背。270
第三節 美國法與歐盟法的比較分析
第一項 個人資料保護規範架構
美國法對於個人隱私保護採部門式立法,依據不同類型的資料,因此存在保 護客體(如:為了保障兒童網路隱私的 COPPA)、保障範圍(如:針對收視行為 制定的 VPPA」)、規範對象(如:針對有線電視業者制定的 CTVPA)等等不盡 一致的個人資料保護標準;歐盟法則以如歐盟個人資料保護指令、GDPR 等一般 性的個人資料保護規範為原則,並制定有 e-privecy 指令,除了個人隱私外,兼 保障通訊的秘密性,以在保障自然人的隱私權利之餘,也確保法人的資料利益,
266 Id. at para..59.
267 Id. at para. 60.
268 Id. at para. 61.
269 Id. at para. 62.
270 Id. at para. 63.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
但關於個人資料保護方面,仍以一般性的個人資料保護標準為準繩。雖然從上述 立法模式的角度觀察,美國與歐盟的個人資料保護規範架構大相徑庭,但從兩方 的法規發展來看,仍可以發現有許多共通的規範重點,例如皆要求資料控制者必 須主動向當事人揭露相關個人資料蒐集、處理或利用的資訊;必須提供適當的資 料安全維護措施;以及必須提供當事人簡便的個人資料近用管道…等等,與 OECD 及 APEC 等國際組織所訂定的個人資料保護原則大致相仿。
會有此一趨勢的原因,一方面是這些保護原則已在許多擁有個人資料保護法 制的國家施行多年,逐漸被奉為個人資料保護的圭臬;另一方面,很可能是源自 於資料跨境傳輸的需求與日俱增,因此越來越多國家在訂定本國的個人資料保護 規範時會傾向避免閉門造車,參考國際組織所提出的個人資料保護原則與措施。
如此一來,不僅能調和國內法與國際個人資料保護標準間的法規落差,對外創造 更友善的經營環境,鼓勵他國企業投資;對內,也能降低本國企業進行全球貿易 的法遵成本、有助提昇企業的全球競爭力。
第二項 個人資料的價值
歐洲與美國因為長久以來歷史文化的差異,對於個人隱私保障似存有不同的 思考脈絡。有論者認為歐洲向來以「人性尊嚴」作為隱私保障的核心價值,認為 隱私權是控制個人包含形象、姓名及地位等資料如何對外揭露,以避免產生情感 羞辱的權利,也就是德國法所稱的「資訊自決權(informational self-determination)」;
反之,美國則傾向以「自由」為導向來詮釋隱私權的內涵,特別是強調免於國家 對個人家宅侵犯的自由,並由此衍生出「合理隱私期待(reasonable expectation of privacy)」作為隱私權保障的界線。271應說明者,這樣的區分方式並非絕對,美 國對於「隱私權」的概念主要是經由案例法累積而來,其中不乏汲取歐洲經驗者,
271 James Q. Whitman,” The Two Western Cultures of Privacy: Dignity versus Liberty” (2004). Faculty Scholarship Series. p1161-1162. available at:
http://digitalcommons.law.yale.edu/cgi/viewcontent.cgi?article=1647&context=fss_papers (last visited Jun 13, 2017).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
如有引述英國案例,認為「隱私權」蘊含有「自己決定於何範圍內向他人溝通其 個人思想、情緒及感情的意涵」;272或是如 Andrew J. Cobb 法官認為隱私權是「個 人被賦予選擇其生活方式的自由,不論是其他個人或是公眾皆不得任意奪取之」;
273又或有如學者 Alan F. Westin 定義「隱私權」為「個人決定於何時、以如何的 方式,及於何範圍內向他人揭露資訊的主張」。274從以上資料我們可以發現許多 概念其實與歐盟多所重疊,顯示美國與歐盟對於隱私雖有各自的發展歷史與脈絡,
但在「隱私權」的詮釋上似非完全截然可分。
另有鑑於二次世界大戰時期,納粹利用對德國全境進行人口普查來追蹤鎖定 猶太人的歷史教訓,歐洲傾向於以「政府管制」的「全方位」立法來處罰個人資 料的濫用者;美國則無類似歷史背景,因此仍然擁護「市場機制」模式,將個人 資料的蒐集與使用問題交由資料主體與資料蒐集者自行透過市場機制自由協商,
政府不積極介入管制,僅在有重大個人資料濫用情形發生時,始介入訂定適用特 定領域的隱私規範,以彌補自律機制的不足。275
上述歐洲與美國對於個人隱私保障不同的思考脈絡與發展背景,不僅反映在 對於個人資料保護的規範架構與方法取向的差異上,似乎也影響其對於個人資料 價值的看法。例如在 Gannett 案中,第一巡迴上訴法院特別指出,雖然原告使用 APP 收視視訊內容並未支付任何價金,但其並非無償接取該等內容,因為原告同 意提供的相關個人資料(手機識別碼、GPS 定位),對於 Gannett 公司來說確實 是「具有價值」;又如在 FCC 所發布的 2016 隱私命令中,也特別針對「隱私的 對價(pay for privacy)」機制要求電信業者必須加強資訊的揭露,明文承認電信 業者可以提供經濟性誘因方案,促使消費者提供個人資料以換取折價或其他優惠;
此外,美國也早已普遍存在專業的資料仲介公司(data broker),如:Acxiom、
272 See Samuel D. Warren & Louis D. Brandies, The right to Privacy, 4 HARV. L. REV. 193 (1890).
273 See Pavesich v. New England Life Insurance Co., 122 Ga 190, 195-96, 50 SE. 68, 70 (1905).
274 SeeALAN F. WESTIN PRIVACY AND FREEDOM 7 (1967).
275 參見范姜真媺等,同註 225,頁 159。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
Experian、Equifax 等,出售個人資料報告以換取商業利益。276相較於歐洲強調隱 私與個人資料保障屬於維護人性尊嚴不可或缺的一環,277攸關個人的私人與家庭 生活、思想自由、意見表達自由等等,因此少見政府機關以「財產」角度看待個 人資料的價值;278上述判決、法規與商業模式,卻反應了在美國法上,個人資料 具有一定的財產權性質,而得為商業交易的客體,相當程度地呼應了美國、歐盟 不同的個人資料保護思維與模式。
第三項 關於可識別(間接識別)個人資料認定標準
除了前述關於個人資料保護規範架構、個人資料價值上的差異性,法院對於 具體個案中「可識別(間接識別)個人資料」的認定標準也有明顯的不同。以前 揭美國第三巡迴上訴法院及歐盟法院對於 IP 位址的判決為例,美國第三巡迴上 訴法院對於資料是否屬於 VPPA 所定義的可識別個人資料,認為應該立於「一般 人(average person)」的觀點,判斷資訊是否能使一般人輕易或毫不費力地識別 出特定個人;279而如 IP 位址的數碼資料,在沒有網路接取服務提供者提供其他 資料比對的情形下,對於一般人而言實難以與使用者身分作連結,因此不屬於可 識別個人資料。280雖然上述見解在美國上訴法院間仍有不同看法,不過多數法院 仍然傾向將數碼資料解釋為非 VPPA 所保障的可識別個人資料。281相反地,歐盟 法院則認為在判斷資料是否可識別特定個人,並不要求所有足使特定個人被識別 的資料都由同一人掌握,重點是應考量所有「可能」、「合理」的方法,如非為法 律所禁止,或需耗費不符比例的成本以致於事實上不可識別,即屬可識別個人資
276 See VIKTOR MAYER-SCHÖ NBERGER &KENNETH CUKIER,BIG DATA,100(2013).
277 European data protection supervisor, Towards a new digital ethics:Data, dignity and technology, 4 (Sep. 11, 2015 )https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_en.pdf (last visited June 14, 2017)
278 See GDPR (2016/679) recital 4.
279 Supra note 116.
280 Id.
281 See also Robinson v. Disney Online, 152 F. Supp. 3d 176 (S.D.N.Y. 2015), Locklear v. Dow Jones
& Co., 101 F. Supp. 3d 1312 (N.D. Ga. 2015).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
料;282而 IP 位址仍有可能經由法律程序向網路接取服務提供者取得資料進而比 對出特定個人,因此為可識別個人資料。比較二者,前者的認定標準顯然較後者 嚴格許多。
此外,在 Hulu 案中,加州北區聯邦地方法院將案件的重心聚焦在原告必須 證明被告 Hulu「知悉」Facebook 可能結合相關被揭露的 Facebook ID 及收視頁 面網址進而產生 VPPA 所稱的「可識別個人資料」,283而非相關資料相結合究竟 是否「客觀上」可能識別出特定個人,此一見解更是在原來可識別個人資料的定 義上額外加入資料控制者的主觀要件,讓原告負擔相當嚴苛的舉證責任(只要資 料控制者分離提供「非」可直接識別的資料,幾乎就能脫免責任)。這些似乎都 呼應著美國傳統上並非以個人資料作為隱私核心的價值取向,因此法院於個案判 決中也傾向於限縮可識別個人資料的認定範圍。
第四項 個人資料保護與個人資料利用的適度平衡
最後,關於收視行為紀錄,比較前述歐洲與美國之間的保護規範卻可以發現 其間的差異並未如想像中的巨大。前述各個規範都允許服務提供者基於提供服務 的目的,進行資料的蒐集與處理;而如果要以當事人同意為基礎,對所蒐集的收 視等行為紀錄為服務契約目的「外」的進一步利用,歐盟與美國原則上都是採取
「事前同意(Opt-in)」的機制(如附表一),輔以課予服務提供者完整、清晰的 告知義務,以保障當事人對於相關個人資料的自主決定權。
值得注意的是,過往多數人印象中對於個人資料傾向採取較嚴格保護手段的
值得注意的是,過往多數人印象中對於個人資料傾向採取較嚴格保護手段的