Facebook 在 2018 年 3 月中公告因「劍橋分析」(Cambridge Analytica)公司及 其關係企業「戰略溝通實驗室」(Strategic Communication Laboratories, SCL)過去 數年間利用串接 Facebook 平臺的心理測驗程式,違法取得使用該心理測驗及其朋 友圈使用 Facebook 的資料,已經遠超出政府與民眾所能容忍的範圍。Facebook 從 自己也是被害者的立場,轉向 Facebook 確實應該為個資遭過度蒐集、濫用等行為 負責。179
一、臉書:只賣廣告不賣個資
臉書執行長祖克柏安然度過聯邦參議院聽證會,44 位參議員拷問近 5 個小時 抓不到重點,加上祖克柏事前經過魔鬼訓練,對棘手問題有一套應對方法,還一度
178 程法彰,前揭註 176,頁 240-243。
179 賴文智(2018),〈我的資料,你的財產?網路個人資料風暴來襲〉,《會計研究月刊》,第 390 期,頁 54。
doi:10.6342/NTU201804062
156
想讓參議員問到飽。美國有線電視新聞網(CNN)報導,提問參議員多數本身根本 不了解臉書(Facebook)的運作、不知道問題的解決方案,甚至不清楚除了搏版面 之外,把祖克柏(Mark Zuckerberg)叫來作證是為了達到什麼目標。
多數情況下,國會議員似乎只在追問祖克柏,臉書是如何運作。有好幾個問題 甚至暴露出,他們連臉書平台最基本的知識與商業模式,都搞不清楚。參議員海契
(Orrin Hatch)問:「使用者沒有為你們的服務付費,你們怎麼維持商業模式?」
祖克柏回答:「參議員,我們靠廣告收入賺錢。」令人印象最深刻的交鋒是,參議 員甘迺迪(John Kennedy)先跟祖克柏說,臉書的用戶協議「爛透了」,接著羅列 臉書應該採取的一系列措施,以改善資料隱私的保護;祖克柏卻回他,這些措施都 已有了。甘迺迪問:「你願意回去好好研究,讓我更有權利刪除個資嗎?」祖克柏 回:「參議員,您已經可以刪除任何資料,或是刪除您的所有個資。」
參議員對臉書缺乏了解,讓祖克柏得以規避沒有回答的重要問題,諸如臉書監 控個資到什麼程度,以及臉書在如何使用與濫用個資上,為何未對用戶更透明。參 議員也沒有打到痛處,他們提出的問題五花八門,包括俄羅斯干預 2016 年選舉、
仇恨言論以及選舉廣告缺乏透明,這些都是這幾個月困擾臉書的議題,但所有問題 都各自需要不同解決方法。就算在資料隱私議題上,參議員也只是逼迫祖克柏解釋 為什麼用戶可以信任臉書,而不是要求說明應該採取什麼具體措施,讓用戶更能控 制自己的個資與分享。這讓祖克柏在槍林彈雨中逮到機會,將風向帶到他的一貫說 詞:負起責任、讓事情變得更好。但大體而言,參議員沒有追問他為什麼沒在前幾 年就把問題解決。唯一讓祖克柏真正感受到壓力的,可能是賀錦麗要他解釋,為什 麼臉書未在 2015 年公布劍橋分析事件,以及臉書為什麼拖到媒體今年爆料,才將 事情公諸於世。賀錦麗問:「在決定不要告知用戶的討論中,你是否知道有臉書領 導階層的任何人在裡面?」「或者你是否認為沒有這類對話?」祖克柏回覆:「我不 確定是否有這類對話。」祖克柏出席聽證會前幾天,已經通過律師、諮詢人員與顧 問的嚴苛訓練。他今天表現沉著冷靜、氣場鎮住全場, 回答問題時帶有歉意並保 持恭敬。只要有國會議員指出臉書哪裡做錯了,祖克柏就說臉書在想辦法改善;遇
doi:10.6342/NTU201804062
157
到無法回答的問題,他就承諾之後將向議員回報。祖克柏有機會休息片刻時,他還 回說,「我們還可以回答一些問題」,充分說明他毫髮無傷地度過這場聽證會。180
顯然您我的個人資料是網路企業經營者存續基礎的財產,應用這些無形財產 獲取廣告或其他商業利益,以支撐我們愛用的網路服務,正是「數位經濟」最重要 的核心。百度李彥宏公開表示:「中國人對隱私問題比較開放,或者說沒有那麼敏 感,如果透過交換隱私,獲得便利、效率及安全。在很多情況下,他們是願意這麼 做的。」這樣的發言雖然被罵慘了,但也赤裸裸地揭示企業端是如何看待「個人資 料」。
個資法第 1 條規定,「為規範個人資料之蒐集、處理及利用,以避免人格權受 侵害,並促進個人資料之合理利用,特制定本法。」立法理由很明確地揭示將個人 資料作為一種資訊隱私權,以人格權的方式保護其避免侵害,但又不得不承認「促 進」個人資料合理利用的社會需求,這種兩難正是此次網路個人資料風暴的本質。
個人資料作為企業的營運財產,最佳的策略就是極大化的利用,而作為人格權的一 環,則應該限制任何可能的侵害行為,最佳的策略則是極小化的蒐集與利用。劍橋 分析的事件,正是個人資料法制威嚇不了企業利用大數據操弄人心的致命吸引力。
只要個人資料的經濟價值存在,就難以完全阻絕企業利用甚或是濫用的風險。181
二、Facebook 有無販售用戶資料
面對 Apple 公司庫克對於 Facebook 藉由販售用戶資料獲利的批評,祖克伯多 次強調「Facebook 沒有販賣用戶資料」。從商業經營的角度,其實可以相信 Facebook 並不會「販賣」用戶的個人資料予其他廠商,因為個人資料是「數位經濟」時代的 金礦,大型網路公司自行掌握發展的命脈才是合理的商業決策。然而 Facebook 自 行利用個人資料的深度與廣度,其影響並不會比「販賣」予他人來得低。沒有「販
180 中央社,〈參議員不懂臉書抓不到重點 祖克柏全身而退〉,載於:
http://www.cna.com.tw/news/firstnews/201804110310-1.aspx#(最後瀏覽日:04/15/2018)。
181 賴文智,前揭註 179,頁 55。
doi:10.6342/NTU201804062
158
賣」用戶資料,並不代表第三人無法自 Facebook 取得用戶個人資料。Facebook 透 過 API 機制,允許第三方合作廠商如劍橋分析,在一定的條件下取得用戶資料,
而 Facebook 卻沒有適當的審核與控管,導致第三方合作廠商可能蒐集超出用戶想 像(或同意)範圍外資料。例如:用戶可能覺得只是做一個心理測驗,但第三方合 作廠商可能藉著用戶一個很簡單的同意動作,就針對使用該心理測驗的結果蒐集 相關按讚、留言的朋友的資訊,再循線蒐集該等朋友在 Facebook 上的活動資訊。
這類的行為早已超出用戶同意的範圍,Facebook 未能有效控管該等過度蒐集的行 為,也使 Facebook 在這次個資風暴中難以再以一個也是「被害者」的形象面對。
目前 Facebook 決定暫時關閉第三方可以透過 API 存取相關用戶資料的管道,
此舉突顯出網路業者在面對個資的議題時,難以如過去著作權或其他法律議題以 僅是「平臺業者」作為免責的依據,包括 Apple 公司的 iOS 或 Google 公司 Android 這樣高度依賴第三方廠商開發應用程式的業者,都必須要重新檢視其 App 上架的 流程或規範,加強對於透過 App 蒐集個人資料的控管,否則恐怕難以避免被 App 開發商牽連。182
三、用戶是否掌控自己資料的權利
祖克伯重複強調用戶擁有控制自己的個人資料是否提供予 Facebook 或第三人 廠商的權利。當我們使用 Facebook 時,我們是否是在正確評估個資可能被蒐集、
利用的情形下而為「同意」?當我們「同意」之後,又真的可能有方法「控制」個 人資料被利用的範圍嗎?個資法對於個人資料的蒐集、處理及利用,大的原則是採 取「告知後同意」,亦即,大多數的情形,只要業者經過當事人的同意,即可對於 個人資料進行蒐集、處理及利用。然而,「告知後同意」的原則卻在科技所帶來的
「資訊不對稱」的大環境中,幾乎架空用戶對於個人資料的控制權利,除非我們選 擇不要使用 Facebook 的服務。
182 賴文智,前揭註 179,頁 55-56。
doi:10.6342/NTU201804062
159
Facebook 並沒有讓使用者拒絕 Facebook 利用使用者上傳的照片進行臉部分析 的權利,只要我們上傳與朋友聚會的照片,會自動跳出建議標示的用戶名稱,通常 都很準,但這有經過用戶同意嗎?用戶可以拒絕同意嗎?這都是祖克伯隱藏在「用 戶一直都有掌控他們自己資料的權利」這樣官樣說詞之下,沒有告訴參議員及公眾 的事實。
第三方廠商透過 Facebook 機制登入提供服務時,我們通常會看到跳出某某服 務將收到「公開的個人檔案、朋友名單和電子郵件」,詢問您是否要以 Facebook 的 身分「繼續」,相信多數人都是直接點選「繼續」,然後我們就將「公開的個人檔案、
朋友名單和電子郵件」,在我們自己同意的情形下提供予該廠商,這似乎已經符合
「告知後同意」的原則。然而,我們真的是在被「充分」告知相關資訊下所為之同 意嗎?我們為了 Facebook 上的互動,可能已經選擇公開自己的姓名、性別、生日、
大頭照等,但我們卻未必希望第三方廠商也拿到同樣完整的資料,但通常這種透過 Facebook 帳號登入,「公開的個人檔案」是無法選擇不提供予第三方廠商的;而「朋 友名單」更是有趣,為什麼我們使用第三方廠商的服務,要連我們的 Facebook 朋 友名單都交給第三方廠商?劍橋分析就是透過這樣的同意取得可以爬取其他 Facebook 用戶名單的門票,你沒有使用特定第三方應用程式,也可能因為你的 Facebook 朋友而導致你的資料被大量抓取、分析。更遑論我們真的都已經清楚被 告知第三方廠商取得這些個人資料是做什麼用途嗎?
這也是網路時代個資法制面臨最大的挑戰,企業不願意或難以講清楚蒐集的 目的及可能的影響或其必要性,而使用者通常因為個人資料的蒐集綁定著服務的 使用,不依業者設計的流程提供個人資料,即無法順利使用服務,通常只能選擇不 使用服務,就像是諸多名人決定刪除帳戶退出 Facebook,不是矯情,只是無奈。事
這也是網路時代個資法制面臨最大的挑戰,企業不願意或難以講清楚蒐集的 目的及可能的影響或其必要性,而使用者通常因為個人資料的蒐集綁定著服務的 使用,不依業者設計的流程提供個人資料,即無法順利使用服務,通常只能選擇不 使用服務,就像是諸多名人決定刪除帳戶退出 Facebook,不是矯情,只是無奈。事