第六章 結論與建議
第一節 行動應用軟體隱私標準發展趨勢
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第六章 結論與建議
第一節 行動應用軟體隱私標準發展趨勢 第一項 國際隱私標準發展趨勢
從隱私標準發展歷史觀察,過去對於是否應制定隱私標準,曾出 現許多歧見。1996 年在ISO的消費者協會委員會(the consumer associations' committee, COPOLCO)施壓之下,ISO總理事會建議展 開國際穩私保護標準發展後,反對聲浪接踵而來。有人認為,如果基 於資訊隱私是源自於基本人權的觀念,那麼隱私標準應該是偏向於管 理方面的標準,而比較不是技術上的標準。跨國文化不同,國際隱私 標準很難協調一致。有人認為OECD已經提供相當好的原則性範本,
歐盟也有隱私保護指令,又何必有其他不相容的隱私標準工具。推動 隱私保護者,宣稱對隱私保護友善的企業可降低消費者疑慮,但對企 業電子商務來說,隱私保護卻不利於消費者參與,哪會有企業要用國 際隱私標準。有人說沒有一個標準可以適用全體。一開始有人就認為 在美國是行不通的,結果後來美國還是需要透過「安全港協議(Safe Harbor Framework)」調和歐盟的標準。美國為解決與歐盟間跨國個 人資料流動之問題,經過與歐盟之談判協議後,於 2000 年與歐盟簽 訂安全港協議,該協議建立關於個人資料保護之 7 項原則,以協調雙 方對個人資料保護之不一致。而安全港協議所揭櫫之 7 項隱私權保護 原則亦與FTC的「公平資訊原則」相契合205。
大多數國家和利害關係人對於建立國際隱私標準是有興趣的,也 認同個人資料之國際交換,的確是需要一個國際性的隱私標準規範。
但我們必須面對現實,剛開始僅會有少數幾個國家的獨立主管機關,
會有動機去遵循歐盟的資料保護法令模式206。如今,中國大陸也開始 重視到網路個人資料保護。中國大陸「關於加強網路資訊保護的決定」
在第十一屆全國人大常委會第三十次會議上審議通過並開始施行 後,中國大陸首個個人資料保護國家標準―「資訊安全技術公共及商
205 刁仁國,淺論美國與歐盟《乘客姓名記錄(PNR)協議》對我國國境執法的啟示第一屆「國
境安全與人口移動」學術研討會,2007 年,頁 80~81。
206 Colin Bennett, An International Standard for Privacy Protection: Objections to the Objections, Jurisdiction II: Global Networks/Local Rules, Internet Law and Policy Forum, , September 11~12, 2000, http://www.ilpf.org/events/jurisdiction2/presentations/bennett_pr/#f2(last visited 2013/5/30)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
用服務資訊系統個人資料保護指南」於 2013 年 2 月 1 日起實施207。 雖然中國大陸發布的個人資料保護指南,並沒有法律的強制力,但對 中國大陸而言是一項很重大的進展。當全世界各國幾乎都動了起來,
產業界能做的,除產業自律之外,即是遵從法令規制,推動個人資料 保護和隱私保護標準,以免觸犯法律和規定遭受處罰。
標準是可以用來捍衛國內產業競爭力,標準在國際市場競爭具有 相當之重要性,重則影響到國際貿易,輕則影響產品發展與行銷。標 準建立是長期且耗費人力的,國際標準組織的運作強調嚴謹和透明 化,需要在產業和政府支持下,累積標準制定經驗,長期堅持投入,
始得取得領先主導標準之先機。在政府法制的施壓下,國際標準的推 動,將會由市場主導,轉為政治主導,尤其從歐盟個資保護和美國隱 私標準發展歷程得以窺知;國際標準組織也不得不加快腳步,配合法 案的推出,不斷提出新的標準建議討論案。
第二項 隱私保護標準之全球化發展
因各國訂定之個資或隱私保護法制標準不一,在國際貿易與電子 商務交易頻繁的情況下,個人資料跨境傳輸面臨應如何適用各國標準 之困境,遂有人開始倡議應建立全球性隱私保護標準。Google向來是 主張隱私保護者眾矢之的,2007 年Google的全球隱私法律顧問Peter Fleischer認為,美國隱私保護法令在各州、不同產業各異、太過複雜,
歐盟個資保護法令太過官僚、沒有彈性,APEC的隱私保護綱領則被 批評為過於包容,以至於到歐盟和美國都不適用,企業在面對國際上 殘缺不全的隱私法令標準下,如聯合國組織應建立全球性的網際網路 隱私標準供各國遵循,最終目標是建立最低標準的隱私保護,以滿足 消費者、企業和政府之要求208。
歐盟採取政府管制為主,市場機制為輔之全方位或全面適用式
(comprehensive)個人資料保護模式,由上而下強制推動實施;美國 則是採取市場機制為主,政府管制為輔的部門式(sectoral)隱私保護 模式,透過自律規範,政府不高度介入,授與產業自律。由於美國隱 私保護標準未能達到歐盟之標準,但歐盟個資保護指令又將會威脅美
207 "金錢損失"和"隱私洩露" 網路安全亂象如何治?,解放日報,2013 年 2 月 13 日,
http://www.ce.cn/cysc/tech/07hlw/guonei/201302/13/t20130213_21336538.shtml。
208 Peter Fleischer , The need for global privacy standards, September 14, 2007,
http://portal.unesco.org/ci/fr/files/25452/11909026951Fleischer-Peter.pdf/Fleischer-Peter.pdf;Google Calls for International Standards on Internet Privacy, September 15, 2007,
http://www.washingtonpost.com/wp-dyn/content/article/2007/09/13/AR2007091302248.html(last visited 2013/6/19)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
國跨國企業之利益,因此提出安全港協議。安全港協議是一項不尋常 的法律機制,因歐盟個資保護專責機構對美國公司在美之行為並無管 轄權,美國公司倘欲輸入歐盟之個資,須在自願參與基礎上,經獨立 第三方驗證符合安全港協議之隱私原則,配合第三方驗證之建議加入 自律規範隱私計畫,惟僅適用歐盟和美國間之個資傳輸,但有些重要 的產業如金融業,卻是被排除在適用範圍外209。對從事電子商務的跨 國公司或組織而言,適用歐盟資料設備處理所在地法之機會,應該會 高過於援引安全港協定。落在安全港原則範圍以外之境外傳輸,則未 受到保護210。在執行成效上,由於附屬於安全港的自我規範隱私計 畫,多不具備有效的損害賠償請求機制,如遇有隱私侵害爭議,仍需 向FTC提出申訴211。
在互惠平等原則下,國際間透過訂定雙邊和多邊之跨境隱私協 議,釐清跨境隱私問題之責任歸屬。大國具有較強的貿易談判力,如 美國與歐盟訂定之安全港協議,但對歐盟各國主管機關而言,其實是 削弱其對於個資保護之嚴格程度212,簽訂之雙邊協議勢必會對第三國 造成差別待遇。除此之外,歐盟的標準契約條款模式,用於因應個人 資料流通至未有充分個資保護之第三國時,得將標準契約保護條款納 入保護標準較低的第三國企業的契約之內。最受爭議之部分是在,簽 署該條款之資料進口者須同意歐盟會員國對於資料處理有管轄權,包 括歐盟得對於非歐盟的資料進口有查核之權213。
相較於雙邊協定,區域組織之多邊協定談判,有相當之複雜性。
如歐盟通過的個資保護指令,因應各國個資保護之取向不盡相同,最 後版本仍具有相當開放性,包含許多妥協性例外條款,可得規避某些 指令之執行,並得以包容各國之歧見。歐盟得以資料禁運為後盾,迫 使某些國家提高其個資保護標準,例如加拿大於 2001 年通過的個人 資料保護與電子文件法(Canada’s Personal Information Protection and Electronic Document Act, PIPEDA),強制加拿大境內的公司將資料 傳輸至境外公司時,須要求將加拿大的個資保護納入契約之內214。亞 太經合會之隱私保護綱領,柔性法無拘束強制力,仍屬於規範雛型,
亞洲各國政經條件差異更大,難以整合成為同一套個資保護法令標 準。為解決各國或國際組織之個資隱私保護規範不一致問題,運用現
209 翁清坤,論個人資料保護標準之全球化,東吳法律學報第 22 卷第 1 期,2010 年,頁 23~30。
210 劉靜怡,資訊隱私權保護的國際化爭議 – 從個資保護體制的規範到國際貿易規範的適用,月
旦法學雜誌,第 86 期,2002 年,頁 200。
211 周慧蓮,隱私標準保護爭議之國際化,月旦法學雜誌第 104 期,2004 年 1 月,頁 124。
212 劉靜怡,資訊隱私權保護的國際化爭議,前揭註,頁 201。
213 翁清坤,前揭註,頁 30~31。
214 周慧蓮,前揭註,頁 127。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
有信賴標章之自律規範,發展出具有全球效力之民間個資保護標準,
或透過多邊組織如WTO,建立一套適用全球之個資保護基本標準,
以降低跨國企業為遵從各國法規之所帶來營運業務成本,並促使個人 資料得以合法安全地流通國際間215。
第三項 行動應用軟體隱私保護標準之折衝發展
企業推動資訊科技標準發展之驅動主因,是基於商業利益之判 斷。最受到矚目的行動軟體隱私標準「不被追蹤」,即是廣告商利之 衝突所在,因而導致 W3C 遲遲不能通過標準定案,可見該項標準對 於產業的衝擊與影響將會很大。然而,消費者是取得廣告收益之源 頭,既是服務受益者,也是隱私的受害者,企業對客戶的聲音不能不 聞不問,但想要從中獲利,又要能夠掌握消費者的心,不去侵犯隱私,
於是乎陷入兩難。
處在手機、平板電腦不離身的世代,行動軟體侵犯隱私的案例不 勝枚舉,從行動裝置開機起,到軟體下載、使用、網站瀏覽和使用通 訊軟體聊天,隱私問題防不勝防。從歐盟等國、美國到中國大陸政府,
相關個人資料保護、隱私保護法制紛紛出籠,對產業造成相當之壓 力,業界希望透過訂定產業自律,抵擋政府強力推行的措施,全球業 界大老紛紛訂定行動應用相關隱私標準尋求自保,但國際標準組織受 到既得利益業者之施壓,卻又遲遲無法將相關隱私標準定案。
歐盟係以單一保護指令對個人資料進行通盤性的保護,美國則是 散見於不同部門的隱私保護立法。美國對於私領域的商業組織如何使 用個人資料,是傾向於鼓勵產業自律的態度,至 1997 年所發表的全
歐盟係以單一保護指令對個人資料進行通盤性的保護,美國則是 散見於不同部門的隱私保護立法。美國對於私領域的商業組織如何使 用個人資料,是傾向於鼓勵產業自律的態度,至 1997 年所發表的全