按前分析,FTC 對於資料仲介業者有以下定義:「資料仲介業者係指從 各種管道蒐集資料(包括消費者個人資料)的公司,其目的在於轉售這些資 訊,提供其消費者包括驗證個人身分、區分紀錄、行銷產品,以及預防金融 詐騙等目的。」但從 FTC 主席 Brill 的公開談話,似乎針對自我標示為資料 仲介業者的企業,或可明顯分類為資料仲介業者的企業,才被視為規制對 象。然而,一般認為企業營運模式為持有或維護大量的資料,且對於個人資 料進行分析應用、市場行銷與其他目的之使用,例如 Google、Facebook、
Yahoo!等,卻不包含在規制對象範疇內。這種看法似乎是以消費者為出發 點,對於透明度不足,或非與消費者進行直接接觸(指消費者不知情)的企 業進行規制。
然而,以販售或分享資料產品或服務的企業也相當眾多,其資料產品或 服務也很多元化,是否以「透明原則」及「消費者知情」的角度進行規範即 可保護隱私,抑或可以單純「資料販售」或「分享行為」作為規制角度,容
116 Julia N. Mehlman, If You Give a Mouse a Cookie, It’s Going to Ask for Your Personally Identifiable Information: A Look at the Data-Collection Industry and a Proposal for Rec-ognizing the Value of Consumer Information, 81 BROOKLYN L.REV.329, 342 (2015).
有討論空間。以透明原則而言,由衛生與公共服務部所頒布的「HIPAA 隱私 規則」(HIPPA Privacy Rule),似有參考空間,其中的「開放與透明原則」
(Openness and Transparency Principle)117當中的「受保護健康資訊的隱私實 踐告知」(Notice of privacy practices for protected health information)118,除 團體健康保險或囚犯外,資料當事人對於受保護健康資料之使用與揭露具有 知的權利119;相對地適用實體(covered entities)對於資料當事人亦須有受 隱私實踐告知之義務(Notice of privacy practice);條文並進一步規範「隱私 實踐告知義務」所需包含的內容(例如權利、實踐方法),以及實施之細節 規定120。
6.2 個人資料保護法制
從資料仲介業的運作模式來看,其對於消費者個人資料的蒐集、處理、
利用,包括資料再販售、資料分享、資料統計分析等各項行為環節來看,皆 須符合個資法的規定。由於個人資料與隱私保護之議題,美國係採取分散式 立法方式,與我國制定不分個人、產業全面適用之個人資料保護法有顯著差 異。
由於資料仲介業者在蒐集個資時,無法得知或無法可得而知未來資料將 如何被使用,因此若按我國個資法規定,資料仲介業在直接蒐集、間接蒐集 資料的過程中,均需踐行相關程序,除非另有規定,否則最重要的問題仍可
117 U.S. DEP’T OF HEALTH &HUM.SERV., OPEN AND TRANSPARENCY, http://www.hhs.gov/sites/
default/files/ocr/privacy/hipaa/understanding/special/healthit/opennesstransparency.pdf (last visited Oct. 31, 2016).
118 45 C.F.R. § 164.520; Notice of Privacy Practices for Protected Health Information, U.S.
DEP’T OF HEALTH & HUM. SERV., http://www.hhs.gov/hipaa/for-professionals/privacy/
guidance/privacy-practices-for-protected-health-information/index.html (last visited Oct. 31, 2016).
119 45 C.F.R. § 164.520(a)(1).
120 45 C.F.R. § 164.520(b).
能會落在「是否具備特定目的」以及「是否容許目的外之利用121」。新個資
(2014)。See generally Porat & Strahilevitz, supra note 2; Margaret Hu, Small Data Surveillance v. Big Data Cybersurveillance, 42 PEPP.L.REV. 773 (2015); Dennis D. Hirsch, The Glass House Effect Big Data the New Oil and the Power of Analogy, 66 MAINE L.REV. 373 (2014); Neil N. Richards & Jonathan H. King, Big Data Ethics, 49 WAKE FOREST L.
REV.393 (2014); Omer Tene & Jules Polonetsky, Big Data for All: Privacy and User Con-trol in the Age of Analytics, 11 NW J.TECH.&INTELL.PROP.239 (2013); Michael Birnhack, SMLXL-Big-Data as a New Informational Privacy Paradigm, SSRN (2013), http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2310700. 另關於各該原理原則的探
一項新增「有利於當事人權益」要件後,更可能讓資料仲介業者取得目的外 利用的正當性123。
另外,我國個資法關於遵法程序的種種規定,對於以販售與分享資料的 資料仲介業者及買受人而言,在實務運作上可能產生許多不敷成本的支出,
這可能成為資料仲介業發展過程的羈絆,實有必須重新審視每項遵法程序。
6.3 產業注重隱私的意識
FTC 認為立法將有助監督與查核資料仲介業的運作,但最重要的,仍是 資料仲介業者(尤其是以資料為資產的創新技術應用產業,例如物聯網124、 巨量資料等)必須重視消費者隱私。資料仲介業者在資料的蒐集、利用與分 享上需主動採取保護隱私的行動,並採納「隱私始於設計」原則,藉此與消 費者建立以信任為基礎的關係。產業界應以上述共律或自律的方式推動建置 注重消費隱私的文化,以建構與消費者之間的信任關係。至於法律,本文認 為應僅為最後涉入的手段,政府於有必要時,方以法律的強制方式加以規
123 新修正第 20 條第一項將原公共利益條款增加了「必要」條件,且增加第七款「有利
於當事人權益者」,似乎有與公務機關特定目的外之利用(第 16 條)作相同規定,
查法務部修正草案立法說明:「三、非公務機關對於個人資料為特定目的外利用 時,若客觀上有具體特定情況能證明係有利於當事人權益者,應可允許之,爰增訂 第一項但書第七款。」然而,這樣的說明仍不是很清楚,容有討論的空間。也因 此,倘若資料仲介產業能符合「蒐集時」之特定目的規定,而另採取「有利於當事 人權益」進行個資之利用,單純從法條操作而言,似乎對資料仲介產業較為有利;
但此款規定究竟何謂對當事人權益有利?其相關判斷標準尚未明確,當事人對於適 用此規定而進行個資特定目的外之利用的接受度為何,亦需有進一步的研究。近 來,就利益或公共利益等爭議,臺北高等行政法院 103 年度訴更一字第 120 號判決 有以下相關文字:「……然各類個人資枓經蒐集處理成檔案後,如能妥善利用,不 論在政府行政、經濟發展、學術研究等各方面,均能發揮莫大功能,有效達成公益 目的……」然而,其並未進一步討論其利益的判斷主體與相關判準。
124 廖淑君,「智慧聯網之發展與個人資訊隱私保護課題:以歐盟之因應為例」,科技
法律透析,第 23 卷第 11 期,頁 18-42(2011);蔡博坤,前揭註 106,頁 56-72。
See generally Scott R. Peppet, Regulating the Internet of Things: First Steps Toward Man-aging Discrimination, Privacy, Security, and Consent, 93 TEXAS L.REV. 85 (2014).
制。例如美國聯邦行政法規對於未經資料當事人同意或授權而必須分享受保 護健康資訊的情形125,適用實體於特定情況下必須分享(揭露)受保護的健 康資訊的義務,例如因法律明文規定(聯邦法、州法、行政命令或法院命 令)、為配合主管機關辦理公共衛生相關活動、為提供受虐、遺棄或家暴案 件之被害人資訊、為配合醫療監管、為配合遂行法院或行政程序、為配合執 法目的、為配合調查死亡之人、以協助器官、眼睛或皮膚組織捐贈之目的、
為防止或減輕(對個人或公眾)可能產生之健康或安全的嚴重威脅、為執行 特定政府職務,以及為提供職災賠償等。
6.4 公開透明的消費信賴建構機制
FTC 指出,其推動立法並非在打壓與否定資料仲介業者對於社會與經濟 的角色與功能,而是關注於其運作與產品或服務的提供不夠透明可能帶來的 影響126。另外,為鼓吹建構消費者之信賴,資料仲介業者於集中網站中公開 身分、說明其蒐集資料的過程、揭露其資料販售的對象、資料近用權,以及 提供連結將消費者導向資料仲介業者的網站並得選用其他功能,以更高的透 明性增進消費者的信賴,第三方也可確認自資料仲介業者所購得之加值資料 係業已通過適當透明管制機制的把關。
此外,Acxiom 所推出的 aboutthedata.com 網站也是另一種信賴建構的表 現,使消費者知悉其資料,並提供更新資料檔案內容的機會,並賦予其行使 選擇退出產品或服務的權利。這種業者自律的方式,或可參考HIPPA 安全規 則(Security Rule)127之要求。公民與權利辦公室(Office for Civil Rights)
負責建置 HIPAA 安全規則遵循指引128,協助適用實體採用有效和適當方
125 45 C.F.R. § 164.512 (Uses and disclosures for which an authorization or opportunity to agree or object is not required).
126 2014 FTC Recommendation, supra note 50.
127 45 C.F.R. § 164.302-318.
128 Guidance on Risk Analysis, U.S.DEP’T OF HEALTH &HUM.SERV., http://www.hhs.gov/
hipaa/for-professionals/security/guidance/guidance-risk-analysis/index.html (last visited
式,以識別與實施相關行政、物理和技術保障措施進行風險分析,用以保護 受保護健康資訊的機密性、完整性和可用性。此外,適用實體為遵循 HIPAA 安全規則,亦可採用自我評估(self-assessment)129或查核(self-audit)130等 方式,相關作法有盤點單、查核表等,或可採用NIST HIPAA 遵循工具131、 HHS SRA(Security Risk Assessment)風險檢測工具132等,以自律的方式,
確認法規遵循。
Oct. 31, 2016).
129 HIPAA Compliance-Self-Assessment Checklist, U. OF CHI., http://hipaa.bsd.uchicago.edu/
Self_Assessment_Checklists_and_Instructions.pdf (last visited Oct. 31, 2016).
130 HIPAA Compliance Reviews-Audit Protocol, ASSURED PARTNERS (Apr. 25, 2016), http://www.assuredptrnl.com/apr-25-2016-compliance-observer-alert-hipaa-compliance- reviews-audit-protocol/7074.
131 HIPAA Security Toolkit, NAT’L INST. OF STANDARDS &TECH., https://scap.nist.gov/hipaa/
(last visited Oct. 31, 2016).
132 HHS Releases Security Risk Assessment Tool to Help Providers with HIPAA Compliance, U.S. DEP’T OF HEALTH &HUM.SERV.(Mar. 28, 2014), http://www.hhs.gov/about/news/
2014/03/28/hhs-releases-security-risk-assessment-tool-to-help-providers-with-hipaa- compliance.html.