一、資訊隱私
美國在資訊隱私的保護議題上,一直以來都是針對個別不同的資訊,作較爲零 碎的保護模式。雖然目前並未有聯邦立法針對數位足跡的資訊隱私保護,但美國聯
174 維基百科,社群網路服務,載於:https://zh.wikipedia.org/wiki/社群網路服務(最後瀏覽日:
02/20/2018)。
175 Daniel J. Solove(著),林錚顗(譯),前揭註 172,頁 54-55。
doi:10.6342/NTU201804062
151
邦貿易委員會在 2010 年底所提出的建議報告中,有對於運用數位足跡資訊的「追 蹤式廣告」,作出保護數位足跡資訊隱私的相關說明,藉由主管機關依個案處分,
數位足跡的資訊隱私保護槪念的方式,顯然已爲美國所接受。
歐盟對於追蹤裝置 Cookie 的出現,早在個人資料保護 2002/58/EC 指令中第 25 點說明中,已明確認識到 Cookie 裝置對於數位足跡資訊隱私所可能產生的傷害,
因而要求對於資訊被蒐集者應賦予拒絕的權利。176
我國個資法雖未明文對數位足跡、資訊保護作規範,但主管機關解釋第 2 條 第 1 款「其他得以直接或間接方式識別該個人之資料」即係數位足跡內容規範。
二、數位足跡
數位足跡指的是網路中的使用紀錄或資訊,其雖未必與使用者身分直接連結,
但可藉由其他資訊的連結追溯到使用者本身。
Cookies 的基本運作模式,係只要某一特定網路使用者拜訪或進入設有 Cookies 裝置的網站,此一網站的伺服器便會主動要求網路使用者本身所使用的瀏覽器出 示一個特定的 ID(即 Cookies),如果使用者的測覽器無法提供 ID,網站伺服器便 會自動送出 ID 到使用者的硬碟裡,以記錄該網路使用者日後在網站上所從事行為,
換言之自此之後,使用者要再度造訪時,該網站即會自動偵測出使用者所特有的 Cookies,以准許使用者進入該網站。Cookies 在網際網路上所扮演的角色,基本上 無異於一種針對不同網路使用者特性而予以「個人化」的過濾機制,網路使用者一 旦「植入」Cookies 一次,下次再進入該網站所屬的領域時,Cookies 即可發揮自動 讀取的功能。對於網路使用者而言,Cookies 不但形同再度造訪該網站的「入場券」, 甚至有如牢牢標示網路使用者身上的條碼,發揮記錄使用者進出特定網站以及其 所從屬之網路活動的功能。正如同who’s call 具有追蹤電話撥號者來自何方的功能 一般,使用 Cookies 的公司,也可以透過 Cookies,追蹤使用者的使用習慣,甚至,
176 程法彰(2017),〈數位經濟時代下個人資料保護的衝突與歐盟個資保護規則顯示的意義〉,《月旦 法學雜誌》,總號:264,頁 231。
doi:10.6342/NTU201804062
152
Cookies 所扮演的角色,可能是屬於網路分區管制的功能。換言之,Cookies 能夠幫 助各式網站對網路使用者進行標示的工作,並且透過對其網路活動類型的分析,例 如該使用者習於拜訪哪些類型的網站,篩選出該公司潛在的消費者,進而發動廣告 攻勢。
目前所有的瀏覽器均支援 Cookies 的功能,對於網路使用者來說,Cookies 就 如同現實世界中的旅行者,在進入不同國家疆域時,所持的護照蓋上海關入境戳印,
旅行者造訪過哪些國家便不難察知。Cookies 本身可以和網站所收集到的網路使用 者資料,例如所使用的電腦型式、電子郵件地址、該網站停留的時間、瀏覽該網站 的哪些部份以及在該網站上從事何種交易等資料互相結合,並透過其他電腦程式 程度不同的輔助,據以形成龐大而具有無邊利益的消費者資料庫。
因應網路商業需求而發展出來的類似資訊科技,除了 Cookies 之外不勝枚舉,
這類資訊科技的主要功能,可以區分為記錄造訪者進行再度造訪次數、以及記錄網 路使用在網路上所瀏覽的特定網頁或某一網頁中之特定部份兩種。此種具有追蹤 與歸納網路使用者特定網路興趣或所需網路資訊內容之功能,或其他具有偵測與 記錄網路使用者個人相關資料的軟體技術,諸如記錄網路使用者所使用之硬碟的 詳細、記錄網路使用者瀏覽過的網站名稱、以及前述研發出 Cookies 的 DoubleClick 公司所發展出來的其他鎖定網路廣告對象的類似技術,均具有侵入個人私密領域 的能力,只是程度有所差異而已。177
三、資訊隱私數位足跡的保護
(一)歐盟將數位足跡納入資訊隱私的內涵
歐盟法院(European Court of Justice)的判決中,明確表示在網路活動過程中 的網路 IP 位置,即使其需要其他的相關資訊,仍應認爲其爲個人資訊隱私的範疇。
相較於我國的個人資料保護法施行細則中規定,個人資料以代碼、匿名、隱藏部分
177 劉靜怡(2002),〈網際網路時代的資訊使用與隱私權保護規範—個人、政府與市場的拔河〉,《資 訊管理研究》,第四卷第三期,頁 140-141。
doi:10.6342/NTU201804062
153
資料或其他方式,爲無從辨識該特定個人,顯然我國對於網路的數位足跡資訊在未 連結特定個人資訊之前,認爲其並非屬於個人資訊隱私保護的內涵。這樣的作法對 於網路電子商務業者而言是一大福音,因爲業者可以其對於數位足跡並未連結特 定個人資訊爲由,而不受個人資料保護法的約束。同時由於我國並未如同歐盟將個 人資訊隱私定位爲核心基本人權,前述規範亦可以免去在衡平個人資訊隱私保護 與商業發展法益所可能產生憲法上的爭議。本文認爲資訊隱私的保護,在網路快速 發展的數位時代下,有鑑於其受侵害的嚴重與保護的急迫性,應逐漸朝向憲法核心 基本人權的方向前進,對於未來可能產生的憲法爭議,不宜亦不應爲了一時的權宜 之計而犧牲個人資訊隱私定義的完整性。更何況目前我國個人資料保護法明文規 範任何得以直接或間接方式識別個人的資料,皆屬於個人資訊的定義,前述以施行 細則的方式而明顯違反法律本身明文規定的作法,在法規的邏輯架構上亦屬不妥。
(二)數位足跡資訊隱私保護,結合「網路保護隱私機制設計」趨勢
對於同意的例外規定是否採取「選擇退出」或是「選擇加入預設」的機制,則 容或有討論的空間。相較於本次歐盟個人資料保護規則中,對於同意的定義增加
「明確」的字眼,並在其說明中,認爲沉默、預設的選項或不作爲不得構成同意,
我國個人資料保護法中並未有如此嚴格的定義。依照我國個人資料保護法的規定,
公務機關或非公務機關對於個人資料的蒐集或處理的同意例外規定,指的是當事 者經告知本法所定應告知事項後,單獨所爲允許的意思表示。而公務機關或非公務 機關對於個人資料的特定目的外利用的同意例外規定,指的是當事者經告知本法 所定應告知事項後並提供個人資料,則推定其爲同意。由於我國在意思表示的解釋 上,可分爲明示與默示的意思表示。因此在解釋上可以認爲「選擇退出」的方式即 可以符合我國意思表示的規定。至於個人資料保護法中所謂推定的意思表示與前 述蒐集或處理的同意意思表示相較,除了不同於民法中推定指的是舉證責任倒置 規定外,在同意的機制設計上亦如同蒐集或處理時的「選擇退出」方式即可以符合 我國的規定。本文認爲資訊隱私槪念在走向核心基本人權的路上,雖然不應在個人 資訊隱私定義的完整性上退縮而爲權宜之計,但是在保護的方式上則可以有所折
doi:10.6342/NTU201804062
154
衷。而符合「網路保護隱私機制設計」趨勢的「選擇退出」制度,除了部分高度敏 感的個人資訊外(例如我國的個人敏感資訊保護),在能確保使用者友善(user-friendly)的前提下,應是我國目前可行的做法。此外,歐盟對於個人敏感資訊同意 的例外規定,並未如同我國個人資料保護法中要求書面同意,我國甚至在施行細則 中要求若是爲電子文件,必須依電子簽章法的規定爲之。本文認爲電子簽章的書面 同意規定本爲慎重的目的,但考量到網路業者所可能增加的成本,似可考慮取消符 合電子簽章法的書面要件要求。
(三)歐盟對於個資蒐集、處理利用有「正當利益」例外規定
本次的歐盟個人資料保護規則在說明中有舉出相關的說明(直接銷售、詐欺、
僱傭關係、網路資訊安全、犯罪行爲或公共安全威脅),同時在規則中亦有對於會 員國相當明確的適用彈性(例如國家安全、公共安全、刑事案件調查、強制執行、
保護資訊當事人、保護言論自由等例外規定)。雖然在正當利益的例外規定,以及 會員國適用彈性上,皆有「公共利益」的字眼,但是合理利益例外規定特別指的是 歐盟或會員國的經濟或財政利益(包括稅收、公眾健康或社會安全),而會員國適 用彈性的公共利益,指的是該公共利益會因爲個人資訊隱私的保護而無法保護或 嚴重受到傷害,同時該公共利益的保護必須犧牲個人資訊隱私的保護。前述的說明 代表本次歐盟個人資料保護規則,回應了本文前述說明中對於之前的歐盟個人資 料保護指令「正當利益」或是「公共利益」槪念糢糊的觀察。由於本次規則所爲相 當明確的定義或說明,使得具有高度商業價値的數位足跡資訊隱私,無法藉由「正 當利益」或是「公共利益」予以正當化其使用。反觀我國在個人資料保護法中,對 於公務機關的特定目的外利用,以及非公務機關的蒐集、處理以及特定目的外利用,
皆有「公共利益」的正當化事由。我國是否會將「公共利益」的正當化事由,運用
皆有「公共利益」的正當化事由。我國是否會將「公共利益」的正當化事由,運用