GPEN 的「網路隱私搜查｣

3.3.1.1. GPEN 的「網路隱私搜查｣簡介

鑑於三十年來隱私權保護型態的轉變，OECD 於 2007 年提出「跨境合作執 行 隱 私 保 護 法 建 議 書 ｣ （Recommendation of the Council on Cross-border Co-operation in Enforcement of Laws Protecting Privacy），建議會員國之隱私執行機關 互相交換經驗和合作，並於2010 年 3 月成立「全球隱私執行機關網絡（the Global Privacy Enforcement Network, GPEN），以下簡稱 GPEN｣，目前共有 32 個國家或 地區的隱私執行機關參與，藉由資訊交換平台，以落實雙邊、多邊合作¹⁹⁰。

GPEN 進行第一波「網路隱私搜查｣，以「隱私操作透明度（Privacy Practice Transparency）｣為主題，在 2013 年 5 月 6 日至 5 月 12 日期間，評估網站或行動 應用程式是否適當公開隱私操作政策，讓使用者知悉業者如何利用、處理和傳輸 其個人資料。針對「網路隱私搜查｣，GPEN 聲明此行動並非深入地分析各網站 或各個行動應用程式的隱私權政策內容，亦非調查網站或行動應用程式業者是否 有隱私侵害事由。本行動的調查方式是以使用者的角度出發，模擬使用者在瀏覽 網站或下載行動應用程式時，探究使用者是否可能接近、了解業者的隱私權政策 之情況¹⁹¹。

190 OECD Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy, O^ECD, http://www.oecd.org/internet/ieconomy/38770483.pdf (last visited Nov. 29, 2013);

About the Network,G^LOBAL P^RIVACY ENFORCEMENT N^ETWORK, https://www.privacyenforcement.net/

(last visited Nov. 20, 2013).

191 See Global Privacy Enforcement Network Internet Privacy Sweep Questions and Answers, THE

OFFICE OF THE PRIVACY COMMISSIONER OF CANADA, http://www.priv.gc.ca/media/nr-c/2013/nr-c_130506_qa_e.asp (last visited Nov. 20, 2013); Results of the 2013 Global Privacy Enforcement Network Internet Privacy Sweep, THE OFFICE OF THE PRIVACY COMMISSIONER OF CANADA, http://www.priv.gc.ca/media/nr-c/2013/bg_130813_e.asp (last visited Nov. 20, 2013); Results of the first GPEN Internet Privacy Sweep,COMMISSION FOR THE PROTECTION OF PRIVACY,

http://www.privacycommission.be/en/internet-privacy-sweep-2013 (last visited Nov. 20, 2013);

Privacy Commissioner: Website privacy policies are too long and complex,THE OFFICE OF THE

AUSTRALIAN INFORMATION COMMISSIONER, http://www.oaic.gov.au/news-and-events/media- releases/privacy-media-releases/privacy-commissioner-website-privacy-policies-are-too-long-and-complex (last visited Nov. 20, 2013); Global Privacy Enforcement Network Internet ‘Privacy Sweep’, OFFICE OF THE DATA PROTECTION COMMISSIONER,

http://www.dataprotection.ie/documents/GPEN2013.pdf (last visited Nov. 20, 2013). 同時參考澳門個 人資料保護辦公室，“互聯網私隱風險搜尋”報告，

http://www.gpdp.gov.mo/cht/forms/sweepreport_ch.pdf（最後瀏覽日期：2013 年 11 月 20 日）；個

人資料私隱專員公署，「全球私隱執法機關網絡」聯合公佈各地網上私隱政策透明度檢視結果，

http://www.pcpd.org.hk/tc_chi/infocentre/press_20130814.htm（最後瀏覽日期：2013 年 11 月 20 日）。

53

所發現可供網路業者作為範本之「最好的隱私保護作法（Best practices）｣¹⁹⁶。

192 10 個國家、19 個隱私執行機關，包含：澳洲的澳洲資訊委員辦公室，Office of the Australian Information Commissioner）、加拿大的加拿大隱私委員辦公室（Office of the Privacy Commissioner of Canada）和英屬哥倫比亞資訊和隱私委員（Information and Privacy

Commissioner of British Columbia）、愛沙尼亞的個人資料保護檢察署（Estonian Data Protection Inspectorate）、芬蘭的個人資料保護行政監察官署（Office of the Data Protection Ombudsman）、

法國的國家資訊技術與自由委員會（Commission Nationale de l'Informatique et des Libertés）、德 國的聯邦個人資料保護委員會（Federal Data Protection Commissio）、柏林個人資料保護委員 會、（Data Protection Commissioner of Berlin）、萊茵蘭-普法爾茨個人資料保護委員會（Data Protection Commissioner of Rhineland-Palatinate (Rheinland-Pfalz)）、巴伐利亞個人資料監督機關

（Data Protection Supervisory Authority of Bavaria）、黑森個人資料保護委員會（Data Protection Commissioner of Hesse）和布蘭登堡個人資料保護委員會、香港的個人資料私隱專員公署

（Office of the Privacy Commissioner for Personal Data）、愛爾蘭的個人資料保護委員辦公室

（Office of the Data Protection Commissioner）、澳門的個人資料保護辦公室（Office for Personal Data Protection, Government of Macao）、紐西蘭的隱私委員辦公室（Office of the Privacy Commissioner）、挪威的個人資料保護機構（Data Protection Authority）、英國的資訊委員辦公室

（Information Commissioner's Office）、以及美國的聯邦交易委員會（Federal Trade

Commission）。 See Global Privacy Enforcement Network Internet Privacy Sweep Questions and Answers, THE OFFICE OF THE PRIVACY COMMISSIONER OF CANADA, http://www.priv.gc.ca/media/nr-c/2013/nr-c_130506_qa_e.asp (last visited Nov. 20, 2013).

193 GPEN 這裡所稱之隱私權政策，即本文所指之隱私聲明，惟為忠於 GPEN「網路隱私搜 查」之用語，於此部分均使用「隱私權政策｣之用語，併與敘明。

194 See Global Privacy Enforcement Network Internet ‘Privacy Sweep’, OFFICE OF THE D^ATA PROTECTION COMMISSIONER, http://www.dataprotection.ie/documents/GPEN2013.pdf (last visited Nov. 20, 2013)。另參考香港個人資料私隱專員公署，「全球私隱執法機關網絡」聯合公佈各地網 上私隱政策透明度檢視結果，http://www.pcpd.org.hk/tc_chi/infocentre/press_20130814.htm（最後 瀏覽日期：2013 年 11 月 20 日）。

195 Privacy Commissioner: Website privacy policies are too long and complex, THE OFFICE OF THE

AUSTRALIAN INFORMATION COMMISSIONER, http://www.oaic.gov.au/news-and-events/media- releases/privacy-media-releases/privacy-commissioner-website-privacy-policies-are-too-long-and-complex (last visited Nov. 20, 2013).

196 主要參考加拿大隱私委員辦公室所公布之「網路隱私搜索｣全球報告。 See supra note 192.

54

第一部分：調查結果的量化分析

1. 現在仍有相當比例的網路和行動應用程式業者（以下簡稱網路業者）未提供 隱私權政策

網站和行動應用程式未提供隱私權政策聲明的比例佔21%。從 77%提供隱私 權政策的業者可發現，相較於中小型企業，大型的網路業者大部分都會提供隱私 權政策。

2. 高達1/3 隱私權政策的內容未提供相關資訊

1/3 的抽查個案未適當地提供相關資訊，許多都未「量身訂做」地編寫符合業 者隱私操作的隱私權政策，僅提供有限的資訊告知使用者業者如何蒐集、利用和 揭露使用者的個人資料。甚至部分個案中，隱私權政策的內容過分概括，並未交 代業者如何蒐集和利用使用者的個人資料。

3. 大約1/3 的隱私權政策的閱讀性堪慮

大約33%的隱私權政策難以閱讀，大部分只抄襲相關的法律用語。對一般使 用者而言，業者未能清楚且簡明的說明其隱私操作的內容，讓使用者難以清楚地 理解個人資料是如何蒐集及利用。

4. 行動應用程式隱私權政策的情況較傳統網站落後

調查結果顯示高達 92%的行動應用程式在隱私權政策的呈現方式上，出現 多種疑慮。54%抽樣行動應用程式未提供隱私權政策，而有提供隱私權政策者，

有部分個案僅提供超連結，供使用者點選後得以在業者的網站上瀏覽隱私權政策。

更甚者，隱私權政策並未交代行動應用程式開發業者，如何透過行動應用成蒐集、

利用使用者的個人資料。

第二部分：「最好的隱私保護做法（Best practices）｣之範本

1. 易於查閱、簡單好讀而且含有隱私相關的資訊內容，使使用者有興趣去了解、

閱讀，註明使用者的權責，清楚交代如何蒐集資料、業者的使用目的，以及 資料是否會與第三方業者分享共用。如此作法，可確實達到隱私權政策的透 明功能。

2. 部分的隱私權政策會以好懂、容易理解的方式，使一般的使用者可理解隱私 權政策的內容，例如：用語淺白、簡明易懂的解釋、善用標題、簡短的段落、

常見問與答、以及以表列的方式表達隱私操作之內容和重點。

3. 將近八成的網路業者在隱私權政策中，列明聯絡人資料，讓使用者可向其查 詢隱私相關的事宜。此外，更會提供不同的聯絡方式，例如：地址、電話、

及／或電子郵件，確保使用者和網路業者間的溝通沒有障礙。

55

4. 部分的網路業者，針對行動應用程式和行動網站，特意編寫相應的隱私權政 政策，具體說明業者的隱私操作，而非只是單純提供超連結連接到現有的網 站隱私權政策。此外，為了配合行動裝置的小尺寸螢幕，GPEN 鼓勵業者研 發可妥善傳達隱私權政策的方法，方便行動裝置使用者閱讀。

3.3.1.3. 小結

GPEN 發起「網路隱私搜查｣行動，其目的是為了試水溫（temperature gauge）， 藉由廣泛的搜查以初步了解未提供隱私權政策的網站和行動應用程式比例仍偏 高，且大部分有提供隱私權政策者，隱私權政策都有不易接近、不易閱讀和未能 清楚揭露業者隱私操作的情況。

GPEN 的宗旨是藉由網站和行動應用程式隱私權政策的抽查結果，促使公眾 和業界加強對隱私權保護和責任的意識，並遵守隱私保護相關法律的規範。此外，

更希冀藉有本次行動，提升各國隱私執行機關的合作，共同確定推廣教育和執法 行動的方向。經過本次調查，多個隱私執行機關（例如香港¹⁹⁷、澳門¹⁹⁸和澳洲¹⁹⁹） 開始針對其管轄範圍內，持續關注網站和行動應用程式業者提供隱私權政策的情 況，並提出相對應的政策以解決網路隱私、行動隱私的問題。甚至於香港個人資 料私隱專員公署，在2013 年公布手機程式「起你底」的調查報告，認為該行動 應用程式讓使用者得以搜尋個人的訴訟案件及破產資料，已嚴重侵犯資料當事人 的隱私。因此，香港個人資料私隱專員公署發出執行通知，要求資料庫營運者 Glorious Destiny Investment Limited（GDI）停止向應用程式提供系爭資料，GDI 已於2013 年 8 月 7 日起遵從指令²⁰⁰。