社群網站運用數位足跡的政府監理策略探討－以Facebook在台灣的運作實況為例 - 政大學術集成

全文

(1)國立政治大學公共行政學系碩士學位論文. 政治大. 社群網站運用數位足跡的政府監理策略探討－立. ‧ 國. 學. 以 Facebook 在台灣的運作實況為例. ‧. Regulatory Strategy on Social Media's Digital Footprint -. y. Nat. n. al. er. io. sit. A Case Study of Facebook in Taiwan. Ch. engchi. i Un. v. 指導教授：蕭乃沂博士研究生：陳柏安撰. 中華民國 110 年 4 月. DOI:10.6814/NCCU202100464.

(2) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. DOI:10.6814/NCCU202100464.

(3) 摘要劍橋分析事件的爆發，監理社群網站利用數位足跡投放針對式廣告的行為日益重要。筆者嘗試透過檢閱文獻釐清探討監理策略應達成的目標，並透過利害關係人訪談瞭解執行的現狀以及可能遭遇的困難。茲簡述發現如下：首先，監理策略應該達成保護使用者隱私、保護寡占市場下的使用者權益，與杜絕業者欺罔行為的目標。第二，雖然對於通訊監察的疑慮，應不致構成外界反對政府監理的明顯理由，但是懷疑政府是否有足夠能力執行監理事務。目前監理策略也多停留在立法階段，執行不是幾乎沒有開始，就是還在起步，也導致後續執行與評估的探討幾乎無以為繼。第三，經濟部工業局雖然受命為社群網站的個資法主管機關，基於產業推動優先，與監理任務難以與既有業務相容的現實，. 政治大. 監理社群網站的態度趨於被動。第四，仿照歐盟設立資料保護專責機關的芻議，. 立. 看似解決事權不集中的良方，但也將面臨法制與組織面水土不服、設立初期權限. ‧ 國. 學. 與既有監理機關競合，以及任務如何順暢交接等，組織設計過程也宜審慎思量。綜上所述，筆者提出以下建議：首先，政府從事資料治理時，應摒棄效率至. ‧. 上的心態，在日常作業中便應將資料保護完整落實。第二，政府不應拘泥於設立. y. Nat. 形式或組織上的個資保護專責機關，而是從服務設計與傳遞著手，確保使用者與. io. sit. 業者的需求能被立即滿足。第三，雖然本研究尚未證實管制悖論文獻所警示的，. n. al. er. 監理可能扭曲市場機制，並加劇數位廣告產業壟斷的因果關係是否存在；然而數. i Un. v. 位廣告的產業的壟斷卻已廣受矚目，筆者認為後續的重點不是繼續論證該關係的. Ch. engchi. 存在，而是立即就既成事實盡速研擬對策。. 關鍵詞：社群網站、個人資料保護、數位足跡、監理、管制. DOI:10.6814/NCCU202100464.

(4) Abstract The outbreak of Cambridge Analytica scandal has aggravated the importance of regulating social media exploiting of digital footprint on serving targetedadvertisements. I clarified goals of regulatory strategy by reviewing literature and difficulties of implementation by interviewing stakeholders. Findings are briefly discussed below: First, a successful regulatory strategy should protect users’ privacy and other rights under oligopoly, and prevent from firms’ deceiving behaviors. Second, even though concerns of government surveillance are not yet to be main reason for opposing regulatory policy, interviewees are skeptical of government’s capability to run them. 政治大 stage, not ready for further evaluation. Third, though Industrial Development Bureau, 立 Ministry of Economic Affairs, is in charge of social media’s violation of Personal Data well, and most legislated policies are either not implemented or implemented in initial. ‧ 國. 學. Protection Act, their attitudes toward regulation remain passive since promoting industrial development is their priority. Fourth, even though setting specialized data. ‧. protection agency as European Union did is regarded as panacea solving problems of. y. Nat. fragmented responsibility on data protection, it may not be accustomed to our local legal. sit. and organizational practice, including how to cooperate with previous regulatory. n. al. er. io. agency, and how to hand over their mission. These issues may be also crucial to forthcoming organizational design.. Ch. engchi. i Un. v. I suggest, first, our government adapt data protection to their daily work, rather than setting efficiency as supremacy. Second, our government should not be rigid in establishing organizational specialized data protection agency; instead they should focus on service design and delivery to accommodate most users and firms’ needs. Third, even though the monopolization of digital advertising industry aggravated by regulation has not yet proved in this work, the phenomenon of monopolization has received wide attention. It’s time for government to solve it instantly rather than sticking on demonstrating their causality. Keyword: Social Media, Personal Data Protection, Digital Footprint, Regulation. DOI:10.6814/NCCU202100464.

(5) 目錄第一章緒論.................................................................................................1 第一節研究背景與動機.........................................................................1 第二節問題意識與研究目的.................................................................3 第三節研究範圍與重要名詞解釋.........................................................6 第四節研究流程.....................................................................................8 第二章文獻檢閱.......................................................................................11 第一節業者運用數位足跡的可能機制...............................................11 第二節贊成政府監理社群網站利用數位足跡的理由.......................16 第三節反對政府監理社群網站利用數位足跡的理由.......................21 第四節以自律為主的數位足跡監理機制...........................................25 第五節以他律為主的數位足跡監理機制...........................................37 第六節問題盤點與可能改進策略.......................................................53 第三章研究設計.......................................................................................57 第一節研究架構...................................................................................57 第二節研究方法...................................................................................60 第四章研究分析.......................................................................................75 第一節外界對於業者運用數位足跡的行為評價...............................77 第二節外界對於業者自律措施的評價...............................................82 第三節外界對於業者法遵措施的評價...............................................87 第四節政府監理策略的實施與相關議題...........................................93 第五節綜合討論.................................................................................104 第五章結論與建議.................................................................................115 al iv 第一節研究發現.................................................................................115 n Ch 第二節實務建議.................................................................................116 engchi U 第三節研究限制與後續可能精進方向.............................................121 參考文獻...................................................................................................123 附錄個別受訪者訪談大綱.....................................................................139. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. i DOI:10.6814/NCCU202100464.

(6) 表目錄表 2-1：Facebook 資料政策分析結果簡表...............................................12 表 2-2：Digital Advertising Alliance 發佈之自律原則及補充規定.........33 表 2-3：各監理模式之間的比較（摘要）...............................................49 表 3-1：評價現行監理策略的關鍵問題清單...........................................62 表 3-2：訪談大綱題庫列表.......................................................................63 表 3-3：受訪者名單列表與順序...............................................................65 表 3-4：對於公民團體（代碼 A1、A2）的訪綱題目列表....................66 表 3-5：對於公民團體（代碼 A3）的訪綱題目列表.............................67 表 3-6：對於業者委任律師（代碼 B1、B2）的訪綱題目列表.............68 表 3-7：對於國內相似同業（代碼 B3）的訪綱題目列表.....................69 表 3-8：對於主管機關（代碼 C1）的訪綱題目列表.............................70 表 3-9：對於科技法學者（代碼 D1）的訪綱題目列表.........................71 表 3-10：對於傳播學者（代碼 D2）的訪綱題目列表...........................72 表 3-11：對於個資洩密事件受害者（代碼 E1）的訪綱題目列表........73 表 4-1：外界主要關心業者運用數位足跡的手法...................................78 表 4-2：外界關注業者運用數位足跡的主要的影響...............................79 表 4-3：外界對於業者運用使用者數位足跡行為的主要期許與訴求...81. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. ii DOI:10.6814/NCCU202100464.

(7) 圖目錄圖 1-1：數位足跡與個人資料關係圖.......................................................8 圖 1-2：研究流程圖...................................................................................9 圖 3-1：監理策略的整體樣貌.................................................................57 圖 3-2：監理策略法令規範的理想組成要素.........................................58 圖 3-3：理想的執行面各行為者組成與策略.........................................59 圖 4-1：資料分析流程簡圖.....................................................................76 圖 4-2：現行監理策略的實際樣貌.......................................................111 圖 4-3：監理策略法令規範的實際組成要素.......................................112 圖 4-4：實際的執行面各行為者組成與策略.......................................113. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. iii DOI:10.6814/NCCU202100464.

(8) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. DOI:10.6814/NCCU202100464.

(9) 第一章. 緒論. 社群網站提供了嶄新的人際交流管道，使世界更開放，聯絡也更緊密。使用者享受社群媒體帶來的便利的同時，卻也承受資料被蒐集與濫用的風險。由於資料被譽為驅動經濟的新原油，商業網站積極蒐集使用者的數位足跡以輔助決策，也可能轉賣第三方獲利甚至操弄使用者行為。由於利用數位足跡過程可能造成隱私權的侵犯，若被用於不法，造成的傷害也難以彌補。隨著追蹤科技的急速發展，以及隱私侵害事件的接連爆發，要求限制業者利用數位足跡的呼聲也水漲船高，提出適當監理方案，約束業者蒐集與使用資料的行為成為當務之急。長期以來，政府監理業者利用個人資料的工具以立法為主，現存文獻也多專注於立法技術的研討，對於後端的執行與評估，以及其他可能的政策工具則甚少. 政治大方案，外界對於現行個人資料保護法令的施行成效也不無質疑，通盤檢討現有監立. 著墨。且立法費時長、政治阻力大，缺乏彈性等缺點，導致無法單獨成為完善的. ‧ 國. 第一節. 學. 理政策顯得益加迫切。. 研究背景與動機. ‧. 資通科技（information and communication technology, ICT）的發展，為民眾. y. Nat. 帶來空前的便利，卻也可能為業者的濫用大開方便之門。早在網際網路問世前，. io. sit. 業者便廣泛收集消費者個人資料，作為改善服務的參考。資通科技的蓬勃發展，. n. al. er. 則使質與量皆有急遽提升的趨勢，業者不再只是被動地推論與預測使用者的偏. i Un. v. 好，而能配合行為科學技術，意圖將使用者塑造成其想要的樣子，頗類似知名電. Ch. engchi. 影《駭客任務》中人類被科技寡頭支配認知與行為的情節。 Shoshana Zuboff（肖莎娜．祖博夫，2020）稱之為監控資本主義（Surveillance Capitalism），作為一種資本主義病態的變異，資本家將掠奪自然資源的野心擴及對社會秩序的支配，業者賺得暴利滿載而歸，使用者則失去人性與自由。其中最廣為人知的技術，便是針對性廣告（targeted-advertisement），根據對當事人的了解，投放客製化的廣告以提高媒合率與利潤。美國零售商塔吉特百貨（Target）曾成功以消費紀錄研判少女未婚懷孕，以嬰兒用品折價券疲勞轟炸，使懷孕事跡提早敗露（杜希格，2012：216-218; Duhigg, 2013: 436-438）。2018 年 3 月，劍橋分析公司（Cambridge Analytica）涉嫌竊取數千萬名 Facebook 使用者的資料，用於操弄多次選舉。由於過去開發者只要付費，便能在 Facebook 網站上. 1 DOI:10.6814/NCCU202100464.

(10) 開發應用程式，以從中獲取使用者的資料，這也被視為 Facebook 利用使用者個資賺錢的方式之一（布特妮．凱瑟，2020：173）。儘管未有足夠證據斷定，這事件純屬資安漏洞還是出於默許，Facebook 對於劍橋分析事件的爆發，恐怕必須負起相當責任。這也讓民眾驚覺，針對性廣告的應用已從商業擴及政治作戰，也一度引發對 Facebook 的抵制潮。同年 7 月，知名通訊軟體 LINE 一度更新隱私權政策，要求使用者同意 LINE 新版隱私權政策，授權業者較大的資料蒐集與使用權限方可繼續使用軟體（彭慧明，2018；林河名，2018）；儘管使用者點選同意後，能進入軟體設定頁再次勾選關閉（林庭安，2018），仍形同給予 LINE 在撤回同意前的空窗期搜刮數位足跡（新版的 LINE 則已經取消該規定）。由於資訊營運商緊握通訊需求的咽喉，縱使使用者不滿業者的予取予求，卻通常只能概括. 政治大例如主流社群網站 Facebook 坐擁近 20 億使用者，個別使用者又能再細分為立. 承受。. 至少五萬個資料點，並透過資料聚合（data aggregation）技術串接其他資料庫，. ‧ 國. 學. 以及追蹤瀏覽（tracking）近乎全面與即時地剖繪（profiling）使用者，潛在利潤與影響力非常可觀（Christl, 2017a）。數位足跡也可能在使用者上網或使用手機. ‧. APP 時，被各業者和廣告商植入的追蹤器傳送至相關網域（Brandtzaeg, Pultier, &. sit. y. Nat. Moen, 2019; Falahrastegar, Haddadi, Uhlig, & Mortier, 2016; Seneviratne, Kolamunna,. io. er. & Seneviratne, 2015）。又如許多網站使用 Google Analytics 進行流量分析，使用者的瀏覽行為便可能被置於 Google 的監控範圍內。除非採取反監測手段，例如安. n. al. Ch. i Un. v. 裝臭鼬（Privacy Badger）、Facebook Container 等程式，只要連上網路便可能被置於全面監控的陰影下。. engchi. 由於股東權益優先的公司治理現實，使用者對於被蒐集資料的內容、流向與用途通常無從瞭解，也幾乎無權置喙。即使能記憶業者蒐集了哪些自主填寫的註冊資訊、發文動態及上傳的影像，對於自動化監測以及第三方追蹤瀏覽則幾乎防不勝防。即使透過複雜的申訴程序，要求廠商刪除或修正蒐集而得的資訊，業者事後若想暗地重建，恐怕技術上也不困難。業者使用數位足跡的用途不夠透明，也就難以保證多數使用者不會蒙受隱私外洩或濫用，使用者經常也是事後才驚覺受害。且現實上由於獨占與賣方市場的優勢，業者缺乏誘因提出對於使用者較為友善的隱私權政策，隱含使用者與服務提供者的關係，兼具資訊與權力不對稱的性質。除非一開始就拒絕使用有安全疑慮的服務，通常也只能屈服。 2 DOI:10.6814/NCCU202100464.

(11) 由於網際網路的不可或缺，傳統的資訊禁慾手段顯然不切實際。即使完全棄用網際網路，仍可能被物聯網等機制側錄與傳播。若上網時還要擔心言行被側錄且不知將流竄何處，且可能多年後被放大檢視，也將造成寒蟬效應與自我審查（麥爾荀伯格，2015：13-15）。保障隱私權的意義，不僅事關人性尊嚴與社會衡平，還有自由權甚至民主價值的維繫。近來網路服務的市場佔有率、利潤分配均急遽集中化，對於網路安全、公共利益等層面也影響甚鉅。資料保護政策及施行成效的良窳，不再只是企業社會責任，而應以更加嚴格的基準檢視。皮尤研究中心（Pew Research Center）的調查也顯示，美國民眾對於各業者利用個人資料的方式不甚信賴（Auxier, Rainie, Anderson, Perrin, & Kumar, 2019）。即使 Facebook 執行長已宣示不再讓第三方應用程式存取使用者個人資料，然而劍橋分析事件的. 治政付費換取使用者同意安裝追蹤器的醜聞（Constine, 2019），也令人懷疑其對於改大立善隱私權的保護的承諾，只是宣示大於實質。對於社群網站蒐集數位足跡，以及爆發，之後又被發現繼續授予多家公司存取的權限（周峻佑，2018）、以及傳出. ‧ 國. 學. 其衍生的外洩等相關弊害，提出合宜的監理策略成為當務之急。. 問題意識與研究目的. ‧. 第二節. 監理社群網站利用數位足跡與落實資料保護，已成為公共政策的重要問題。. Nat. sit. y. 然而現有研究與實務，對於政策工具的規劃與佈署，多侷限於問題認定，對於後. al. er. io. 端的執行與成效評估則較少著墨。現有文獻多為法學或工程領域學者所撰寫，法. n. 學文獻重點多聚焦於立法正當性來源，從「為什麼管」及「該管什麼」的角度切. Ch. i Un. v. 入，由於監理政策的制定涉及民意對於隱私權的主觀期待、及接受政府介入的程. engchi. 度，探討規範層面的正當性來源固然必要，但是對於「該怎麼管」的細節幫助有限，多讓行政機關自己想辦法處理。工程領域的文獻則幫助我們釐清問題的現狀，特別是追蹤瀏覽的氾濫程度，追蹤網路的業者組成，可能的傳輸機制等。但是對於監理策略如何在技術面落實，及如何從政策角度評價現有監理政策的良窳，以及從台灣的國際現況妥善運用政策工具，監理 Facebook、Google 等大型科技業者，則存在許多未知地帶。工程師若未對公務機關實況有足夠了解，對於資訊技術該如何順利落實於監理程序，也未必摸得著頭緒。這些也讓後端執行的重要性被嚴重忽略。從現象而言，立法雖然成為資料保護最廣為利用的手段，如何在實務徹底落實也存在諸多疑點。例如民眾對於業者的侵權行為，通常是透過訴訟處理，雖然現行我國個人資料保護法（下稱我國個資法）第 29 條，有難以舉證 3 DOI:10.6814/NCCU202100464.

(12) 實際損失時，業者對於每人每事件賠償新台幣 500 元至 2 萬元之規定，但是對於彌補民眾損失與訴訟成本，及嚇阻業者踰矩行為的效果，顯然都非常有限。又如該法第 22 條雖賦予政府行政檢查權，但是合格標準不明確及跨境執法、取得稽核所需資料的困難，造成該權限經常有名無實（林冠佑，2012：30）。從公共行政的視角，重新審視規劃與執行之間的落差並加以矯治，顯得益加迫切。再者，師法境外經驗，固然可能是建置與改善監理策略的途徑。歐盟一般資料保護規範（General Data Protection Regulation，下稱 GDPR），因為制度相對完善，加上歐盟龐大的政經影響力，成為目前主要被仿效的對象。筆者檢閱文獻也大致認為，我國個資法與 GDPR 相比存在甚多瑕疵，而建議與之看齊，然而複製歐盟的經驗也必須慎防水土不服的弊端；加上經歷威權統治的陰影，台灣民眾是. 政治大理的角色，也應納入考慮。且一如歐盟在制定 GDPR 過程中，必須考慮全球主要立否願意賦予政府與 GDPR 相若的職權，顯然不無疑問，若有比政府更適合擔綱監. 的網路服務供應商均為美國公司的現實，以免嚴重影響經濟秩序，台灣在制定監. ‧ 國. 學. 理政策時也必須更為細緻。. ‧. 最後，管制政策文獻已明確警告，意圖干預市場機制的運作，將可能阻礙競爭甚至造成俘虜現象，進而適得其反。許多報導已指出 GDPR 提高法遵門檻與成. y. Nat. sit. 本，造成大量中小企業的消失，由大型科技公司填補真空，進而提高其議價能力. er. io. （Stapp, 2019; Layton, 2019）。GDPR 固然能迫使業者提升對資訊系統的安全性. al. 投資，以降低資料外洩的可能風險（Yuan & Li, 2019），卻也可能同時提高業者. n. iv n C 使用數位足跡的能力，令使用者反而更缺乏保障。且社群網站已逐漸轉型成為高 hengchi U 牆花園式（walled garden）的經營手法，以避免資訊落入他人之手。科技巨擘提高安全性的同時，也降低了資料被其他人運用的機會，進而壟斷資料來源與提高議價能力，業者與使用者之間的權力不對等關係也更形擴大。審慎面對並檢討管制政策的未預期後果，也勢將成為探討監理策略的另一道重要環節。本研究共分為三個階段。第一階段透過文獻檢閱，盤點國內外現有主要監理政策的實施概況，以及各領域對於監理政策的目標與期許。第二階段則就現有可得資料衡量，衡量現行監理政策的施行成效，以及可能的差距或未預期後果，最後據此提出改進之道。並自此建構研究問題如下，並鋪陳往後的研究目的：. 4 DOI:10.6814/NCCU202100464.

(13) 1. 社群網站針對數位足跡有哪些自律行為？成功的政府監理策略，應該達到哪些目標？現行政府監理社群網站使用數位足跡的策略有哪些？ 2. 政府對於社群網站數位足跡監理策略已經獲致哪些成效？目前的成效與上述目標存在哪些差距？造成哪些未預期的後果？ 3. 造成上述差距的原因有哪些？現行對於社群網站的監理策略，應該做出哪些改進或調整？. 一、探討與評價立法與執行之間的可能落差政策制定者遇到的最大困難，不只是訂出法律所認為的理想狀態，還有完成執行的龐大工程。現有文獻對於多聚焦於前端的立法技術，卻可能忽略與執行之. 政治大. 間可能失落的環節。盤點與檢討兩者之間的可能落差也同等重要。. 立. 理想與現狀的落差可謂隨處可見。如商業網站冗長且複雜的隱私權條款長期. ‧ 國. 學. 為人詬病，不僅造成閱讀的龐大時間成本，也徒增舞弊的可能空間。對此 GDPR 於第 12 至第 14 條，要求業者以簡單易懂的格式，對使用者說明各重要事項（張. ‧. 陳弘、莊植寧，2019：177-178）。然而條款冗長的問題迄今依然存在，筆者以社群網站業界中最具代表性的 Facebook 為例，閱讀後除了感覺冗長之外，閱讀數次. y. Nat. sit. 後仍難系統地了解條款的內容。一部條款是否複雜，固然存在許多主觀的詮釋空. er. io. 間，但是懷疑這是否為我們所滿意的現狀。雖然迄今 Facebook 並未傳出被勒令中. al. 止在歐洲業務的消息，歐盟當局短期內也應不至於要厲行 GDPR 的所有內容，但. n. iv n C 是 GDPR 實施已滿兩年，立法與執行的落差也正逐漸被放大檢視，而有必要探討 hengchi U 與評價。二、探討除立法外可能的政策工具. 立法是常用且符合直覺的政策工具，也是政策合法化的必要環節。但是其費時長、政治不確定性高，應用上缺乏彈性等缺點，難以成為單獨的解決方案。且法律雖然能對於業者使用科技工具的方式設下相當限制，然而仍需留意科技本身只是工具和障眼法，「會依照主導的社會與經濟邏輯而有所改變」，單靠傳統的反托拉斯手段，也可能只會讓更多類似 Google、Facebook 等採行監控資本主義的企業出頭，使我們在與科技的賽跑中疲於奔命（肖莎娜．祖博夫，2020：47、58-. 5 DOI:10.6814/NCCU202100464.

(14) 59）。探討除立法外可能的政策工具。重新釐清問題的本質，及探索非傳統解決方案的可能性也亦形迫切。再者，在現行體制下，訴訟事實上已成為法律執行的主要途徑。但在我國受到以和為貴的文化影響下，訴訟通常被視為最後通牒而不被鼓勵。且訴訟程序的高成本與複雜程序，加上台灣缺乏代理訴訟團體，及金額近乎無限的懲罰性賠償實務，也降低被害者尋求救濟的誘因，徒法不足以自行的問題勢將更加明顯。直接從源頭減少數位足跡的濫用，可能是較為理想的作法。. 第三節. 研究範圍與重要名詞解釋. 一、研究範圍：. 政治大行為所衍生，如閱覽權限設定不周造成的隱私曝光或被轉載（極端案例如狗仔立. 目前對於社群網站問題的討論，大致可分成兩大類。第一類是個別使用者的. 隊）、假消息或仇恨言論的傳佈等。本研究則聚焦在第二類，服務提供者利用數. ‧ 國. 學. 位足跡的行為及可能造成的弊害，如大量佈署偵測工具蒐集數位足跡，及將使用者資料與廣告商共享，用以投放針對式廣告，或藉由演算法操弄使用者優先看到. ‧. 的貼文內容等。. y. Nat. sit. 二、社群網站：. er. io. 社群網站常又被稱為社群媒體（ social media ）、社群網站服務（ social. al. n. iv n C h e n UGC）（如貼文與影像）、建立個人識者自主產製內容（user-generated content, gchi U. network（ing） service, SNS）等；學理上泛指技術基於 Web 2.0，介面允許使用. 別系統（自我介紹頁面），及自發連結人際關係與彙流資訊的平台式網站（ Boyd & Ellison, 2007; Obar & Wildman, 2015）。國人常用的通訊軟體 LINE 雖不以網頁形式運作，但是允許建立聊天室與個人產製內容，也可能是廣義的社群網站。由於 Facebook 在台灣與全球均擁有較高的市佔率與使用者人數，營運模式、相關事件也較具有代表性，而作為本研究的主要對象，並聚焦於其在台灣營運的情形。由於社群網站在資料蒐集的手法、強度均有一定代表性，研究結果也可能類推於監理一般網站的資料利用行為。. 6 DOI:10.6814/NCCU202100464.

(15) 三、數位足跡俗話說「凡走過必留下痕跡」。數位足跡顧名思義，為使用者從事網路活動時產生，可供追蹤的檔案或歷程紀錄，包括但不限於 IP 位置、登入與登出紀錄、發佈言論、購買紀錄與存取的檔案等，以及相關詮釋資料（郭戎晉，2012：2627；Christensson, 2014）。筆者參考文獻後發現，數位足跡與法律上個人資料之間的關係，迄今仍不甚明確。例如我國個資法第 2 條對於間接識別的實務判準為何似乎未臻明確，只能含糊地以能否結合其他資料，進而識別特定個人作為指標（郭戎晉， 2012 ： 27-31 ）。截稿前歐盟最新的電子隱私條例（ e-Privacy Regulation ）草案（ Council of the EU, Presidency, 2021; European Parliament, 2021） 1 ，其前言（Recitals）第 14 點也主張對電子通訊資料採取較為寬鬆的解. 治政大取近乎無法窮盡之列舉方式。考慮 GDPR 對於個資的認定方式採取相對我國個資立法嚴格的「任何人標準說」（張陳弘、莊植寧，2019：31），我國為與 GDPR 接釋，包含通訊內容及其（技術上的）詮釋資料，且該文第 2 點對於詮釋資料也採. ‧ 國. 學. 軌並取得跨境傳輸之適足性認證，個資法的認定基準料將只會更嚴格。且受到新興科技的影響，法律界對於個資的認定方式，也從傳統「是否為」的二分法，逐. ‧. 漸轉變為個別衡量其被識別的可能性與程度（張陳弘、莊植寧，2019：40）。由. y. Nat. 於資料聚合技術的應用已成為社群網站運作的常態，且透過人臉辨識等功能與內. n. al. er. io. 人資料的定義。. sit. 嵌詮釋資料，即使是傳統的類比影像，仍可能被用於識別特定個人，進而符合個. Ch. i Un. v. 故本文採取較為寬鬆的基準，將所有數位足跡，即使用者在瀏覽社群網站. engchi. 時，及在站外被其追蹤瀏覽機制利用的所有檔案與歷程紀錄均視同法律上的個資處理。數位足跡與個資的關係如圖 1-1 所示。舉例而言，使用者在 Facebook 留下的照片、文字、瀏覽紀錄等，被視為個資應無疑義。但是也有非數位形式存在的個資，例如紙本病歷、基因等。由此認定個資涵蓋範圍大於數位足跡看似違反直覺，卻可能更符合現況。. 1. 本文使用的版本為 2021 年 2 月 10 日發佈，指定用於與歐洲議會談判的稿件（mandate for negotiations with the European Parliament）。預計將用以取代既有的隱私及電子通訊指令（Directive 2009/136/EC）。. 7 DOI:10.6814/NCCU202100464.

(16) 個資（深色處）. 數位足跡（淺色處）. 政治大. 圖 1-1：數位足跡與個人資料關係圖. 第四節. 學. ‧ 國. 立資料來源：本研究繪製。. 研究流程. ‧. 本研究旨在探討政府監理社群網站運用數位足跡的策略，以及釐清可能遭遇. y. Nat. 的困難或待改進之處，具體操作流程如下（及圖 1-2）：首先於本章緒論說明研. io. sit. 究動機與目的，並建立問題意識，並為文獻檢閱指引方向。第二章分別從多個角. n. al. er. 度爬梳文獻，首先從事實層面了解業者利用數位足跡的可能機制，再分別從規範. i Un. v. 層面探討，外界贊成及反對政府監理社群網站利用數位足跡的相關理據。接著又. Ch. engchi. 繞回事實層面，分別從業者自律、法遵行為切入，探討既有監理機制的施行概況與可能發現的問題，並進行問題盤點。隨後於第三章依據前揭結果進行研究設計，特別是訪談對象的遴選以及題綱的製備。並於第四章撰寫研究分析並闡述結果。最後於第五章提出結論與建議。. 8 DOI:10.6814/NCCU202100464.

(17) 研究動機與目的建立問題意識文獻檢閱與問題盤點研究設計. 學. ‧ 國. 立. 政治大. n. al. er. io. sit. y. ‧. Nat. 執行訪談. C h資料分析 U n i engchi. v. 結論與建議圖 1-2：研究流程圖資料來源：本研究繪製。. 9 DOI:10.6814/NCCU202100464.

(18) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i Un. v. 10 DOI:10.6814/NCCU202100464.

(19) 第二章. 文獻檢閱. 探討政府監理社群網站使用數位足跡的可能角色或策略，顯然需先對於問題的整體背景做系統性的釐清，目的除釐清事實本身，也須留心於外界的評價，以及釐清現有監理策略未能解決的問題。本章依序就業者的運作機制、各界贊成或反對監理的理由，與現有的監理方案及其比較進行文獻檢閱，最後進行綜合討論，並研擬下一步可能改進的方向。. 第一節. 業者運用數位足跡的可能機制. 探討可能策略的第一步，顯然需要對於社群網站運用數位足跡的可能機制有基本認識。最直接的方式，便是查閱業者頒布的資料政策（data policy）或隱私權. 治政大便是條款的冗長與複雜。以社群網站龍頭 Facebook 為例，其資料政策（官方的中立文版本），經文書處理軟體 LibreOffice Writer 計算，文長約 7900 個中文字，且政策（privacy policy）。這方法看似簡單，實作後卻發現困難重重。第一個困難. 2. ‧ 國. 學. 常見非技術使用者難以理解的專有名詞，恐怕非其所能輕易負擔。另一個國人常用的社群網站 Twitter，則甚至沒有提供中文版本。使得這類文件缺乏實質的通知. ‧. 意義，而經常流於取得使用者形式上同意的工具。. Nat. sit. y. 第二，資料政策看似清楚敘明資料的蒐集與利用範圍，但因為收集資料類別. io. er. 與用途的繁雜，且散落於條款各處，筆者閱讀數次後，仍難清楚確認條款的授權範圍，及使用者所能介入或控制的程度等，而需要外界詮釋型文件的輔助3、民間. n. al. Ch. i Un. v. 或政府的研究報告，與學術單位的調查成果等。儘管筆者已盡所能之仔細與注. engchi. 意，卻難免有錯漏之處。對此我們也不妨思考，當使用者對於社群網站的作為有疑慮時，由哪一方負起舉證責任（burden of proof），所造成的整體社會成本最低？是社群網站自證清白比較容易，還是使用者證明社群網站的缺失比較困難？更有甚者，若定型化契約成為幫助廠商能以鄰為壑，轉移舉證責任與損害至弱勢使用者的工具（伯納賽克、蒙根，2015：168；布特妮．凱瑟，2020：166）。在制度設計上便應該讓社群網站負起自證清白的義務，才不至於造成社會更多的無謂損失。. 2. 3. 筆者行文當下引用的資料政策為 2018 年 4 月 19 日的版本，截稿前的最新版則為 2021 年 1 月 11 日。然而筆者使用 LibreOffice Writer 的比對文件功能之後發現，除部份文字修訂之外，內容大致不變。本文仍沿用較舊的版本。如隱私權倡議團體所創設的 Terms of Service; Didn't Read 網站（https://tosdr.org/）。. 11 DOI:10.6814/NCCU202100464.

(20) 為精簡用詞起見，以下對資料政策的探討將業者所蒐集的數位足跡大致區分為（1）使用者自願提供的資料（volunteered/provided Data），例如使用者填具的註冊資料、主動上傳的文字、影像等；（2）企業主動蒐集（observed data），例如利用第三方 cookie 追蹤使用者的瀏覽行為；（ 3）經程式產生的推論資料（ inferred data ）等三大類（ Christl & Spiekermann, 2016: 84; European Data Protection Board, 2020: 12-13）（以下通稱為類型一、類型二...等）。不過實作上前兩種資料的性質並非完全互斥，而常需酌情處理。例如使用者主動上傳的照片本身，視為其自願提供的資料（類型一）應無疑義。然而 Facebook（2018）在其資料政策言明，將收集相片的詮釋資料（metadata）「例如相片的拍攝地點或檔案的建立日期...」，雖然同樣為使用者自主上傳，但由於非技術使用者可能未預. 政治大由於類型一資料的性質相對簡單，使用者填表、或上傳圖片的過程也應相當立. 期 Facebook 也收集這些詮釋資料，因此筆者視之為類型二資料。 4. 程度意識可能的風險，本文將著重在 Facebook 對類型二資料的蒐集（表 2-1）。. ‧ 國. 學. 表 2-1：Facebook 資料政策分析結果簡表. y. er. al. n. 第三部份. io. 第二部份. 是是是是是是否否. sit. Nat. 收集特定裝置資料，特別是唯一識別碼收集個人位置資訊追蹤瀏覽第三方網站自第三方網站收集個人資料使用者發佈的內容可能被傳送至第三方使用者的個資可能被傳送至第三方資料有保存期限/自動刪除機制使用者可要求修改/刪除資料. ‧. 第一部份. Ch. engchi. i Un. v. 資料來源：本研究整理。. 該表格分為三個部份，第一部分是資料蒐集的範圍與強度，特別是若干較敏感的資料如地理資訊、裝置唯一識別碼（類似電腦的網路卡號碼）；以及除站內的追蹤行為外，業者是否追蹤使用者在其他網站的瀏覽行為，也就是常見的追蹤瀏覽，及從第三方如資料仲介（data broker）取得其他使用者資訊的可能性。這些指標主要測量業者進行資料聚合及使用者輪廓剖繪的能力與強度。. 4. 例如使用者在 Facebook 註冊帳號時，Facebook 只要求填具姓名、電子郵件地址、出生年月日等資訊。. 12 DOI:10.6814/NCCU202100464.

(21) 第二部份則是 Facebook 是否可能將取得的數位足跡，不論是類型一或類型二，移交給該組織外的第三方使用；該指標主要測量服務提供者同時扮演資料仲介的能力或強度。而第三部份，則涉及蒐集所得資料是否可能被永久保存，以及使用者對於這些被蒐集的資料，擁有多大的控制權。這也可能同時牽涉 GDPR 的「被遺忘權」（right to be forgotten）。. 一、資料蒐集的範圍與強度第一部分的判讀結果顯示，Facebook 收集了使用者數個較為敏感的識別詮釋資料，特別是裝置的唯一識別碼、瀏覽器類型、作業系統等資訊；儘管為文隱晦，但是使用者不論是否登入 Facebook，均可能會被收集這些資訊。只要交叉比對裝置識別碼與登入紀錄，業者就能判斷個別裝置可能屬於哪一位使用者，並進一步剖析可能的行為模式：. 立. 政治大. ‧. ‧ 國. 學. 廣告主、應用程式開發商和發佈商可以透過他們所使用的 Facebook 商業工具向我們傳送資訊，這些工具包括我們的社交外掛程式（例如「讚」按鈕）、Facebook 登入...這些合作夥伴會提供您在 Facebook 以外網路空間的活動相關資訊，包括您的裝置資訊、您瀏覽過的網站...，無論您是否擁有或登入 Facebook 帳號皆然。（Facebook，2018）. y. Nat. 只要網站植入了 Facebook 相關的應用程式，在未登入 Facebook 的情況. io. sit. 下，Facebook 仍可能透過第三方機制追蹤使用者的網路活動。筆者以臭鼬監測後. n. al. er. 發現，Facebook 在一些沒有明顯設置其社交外掛程式的網站上也設有追蹤器，只. i Un. v. 是程度較 Google 輕微，也懷疑實情遠不只如此。然而官方沒有言明的，還有與第. Ch. engchi. 三方業者的具體互動為何，迄今仍存在許多謎團，外界的詮釋也可能存在多種版本。 Christl （ 2017a ）顯示 Facebook 有從安客誠（ Acxiom ）與甲骨文公司（Oracle）的大型資料庫輸入資料，且從字面看來偏向單方面的輸入行為；美國參議院的報告則指出，資料仲介也可能反過來從社群網站獲取資訊（ US Senate Committee on Commerce, Science, and Transportation, 2013: 21）。雖然究竟實情為何短期內顯然難以全盤了解，但是幾乎可以確定有與資料仲介往來的事實。Facebook 這樣做的動機，應該是希望讓網站成為資訊的高牆花園（walled garden），廣告主必須透過網站內部的中介機制才能在其擁有的服務推播廣告與媒合交易：我們提供廣告主觀看其廣告的用戶類型及廣告執行成果報告，...例如，我們為廣告主提供一般人口統計和興趣等資訊（例如一位年約 25 至 13 DOI:10.6814/NCCU202100464.

(22) 34 歲、住在馬德里、喜歡軟體工程的女性看過廣告），以協助他們更瞭解廣告受眾。（Facebook，2018）而與資料仲介的交易，無非是為了提升預測的精確度，以爭取更多的議價籌碼（伯納賽克、蒙根，2015：216）。鑑於這些資料豐厚的經濟價值，業者當然也有充足的誘因，設立關卡避免資訊落入他人之手。對於現今資料保護的相關立法技術可能造成的衝擊，也有待進一步釐清。. 二、使用者資料可能的流向社群網站既然可能會從第三方網站蒐集數位足跡，當然也可能會讓資料外流他處。Facebook 在其資料政策指稱的第三方為（1）使用我們分析服務的合作夥伴、（2）廣告主、（3）成效衡量合作夥伴、（4）合作夥伴在我們的產品中提. 政治大. 供商品和服務、（5）供應商和服務提供者、（6）研究人員及學者、（7）執法. 立. 機關或法律要求。具體為哪些團體則似乎沒有明確說明，隱含 Facebook 對此擁有. ‧ 國. 學. 非常大的自我裁量權，推定在非法律必須的情況下，資料仍可能被傳送至使用者不確定的第三方。從部份歷史資料，也可看到更複雜的內幕。2010 年至 2015 年 5. ‧. 月之間，開發者只要付費，便能在 Facebook 網站上開發自己的應用程式，以從中獲取使用者的個人資料，甚至其好友資料，也就是後來惡名昭彰的「好友. y. Nat. sit. API」，大致上劍橋分析也是透過該機制，以心理測驗程式取得大量數位足跡，. er. io. 以用於操弄輿情（布特妮．凱瑟，2020：173）。這也可能是 Facebook 具體（但. al. iv n C 前述接口，最新的資料政策也強調「不會也絕不可能向任何人出售您的任何資 hengchi U n. 間接）從使用者個資賺錢的方式。雖然 Facebook 聲稱 2015 年 5 月起已經關閉了. 訊。我們也會嚴格限制合作夥伴使用和揭露我們所提供的資料。」。然而實務上若細看 Facebook 的資料政策，則可合理懷疑該機制仍以某種隱晦的形式繼續存在（粗體為筆者所加）：若您使用的第三方應用程式、網站或其他服務使用了我們的產品，或與我們的產品整合，則他們也能收到您的貼文或分享內容等資訊。例如，當您與 Facebook 朋友一起玩遊戲，或在其他網站上使用 Facebook 的「留言」或「分享」按鈕時，遊戲開發商或網站可以取得您在遊戲中的活動資料，或是收到您從網站分享到 Facebook 的留言或連結資訊。此外，當您下載或使用此類第三方服務時，他們可以存取您在 Facebook 上的公開個人檔案，以及您與他們分享的所有資訊。如果您選擇與所使用的應用程式和網站分享 Facebook 朋友名單，他們就會收到此等資訊，但無法從您這裡收到有關您 Facebook 朋友的其他任何資訊，或有關您 Instagram 粉絲的任何資訊（當然，您的朋友 14 DOI:10.6814/NCCU202100464.

(23) 和粉絲有可能自行選擇分享這些資訊）。這些第三方服務所蒐集的資訊，均受其各自的條款及政策規範，而非本使用條款與政策。（Facebook，2018）表面上 Facebook 封鎖了第三方服務者間接取得使用者好友的相關資訊，但是如果使用者未採用較為寬鬆的隱私權政策，或者第三方服務者取得了較為寬鬆的權限，第三方服務者仍有可能取得前述的隱私訊息。開發者也可能算準了「絕大多數使用者都不願意去讀服務條款，然後就勾選了同意 ...他們（原文指使用者）這麼做的同時還洩漏朋友的個人資料，而這些朋友本人並沒有同意」（布特妮．凱瑟，2020：166）。因此，筆者認為這未能從根本消弭資料外洩的風險，而只是讓 Facebook 和開發者踢皮球，將維護隱私權責任被移轉到使用者而已；不但增加管控的難度，以現行使用者的習慣與模式，資料外洩的風險恐將持續存在。劍. 政治大. 橋分析事件的爆發，及事後被揭露仍有第三方開發者繼續存取資料的狀態下（周. 立. 峻佑，2018；Lindsey, 2019），Facebook 恐怕也難取信民眾能履行諾言。儘管第. ‧ 國. 學. 三方網站如何取得社群網站的資料，已經超出本研究所探討的範圍，然而廠商獲得資料後，若未能將外洩的風險控制在合理範圍，我們便需要思考從源頭監理資. ‧. 料蒐集的可能性。. sit. y. Nat. 三、使用者對於資料的可控制性. io. er. 最後，這些資料被收集之後，將如何被儲存也是觀察的重點。呈現於第三部分的判讀結果顯示，使用者對於被蒐集的資料，控制權可謂非常低落。在. n. al. Ch. i Un. v. Facebook 的資料政策中，雖然有「我們提供您存取、修正、傳輸和清除您資料的. engchi. 功能。請前往 Facebook 設定和 Instagram 設定瞭解更多資訊。」的指示，然而筆者進入設定頁面後發現，能申請更正、刪除的幾乎都是類型一資料，雖然筆者能從活動紀錄（activity log）刪除自己的貼文，但是只能手動逐項刪除，後來則可批次刪除，但是想刪除歷年數以百計的動作紀錄仍然難度頗高；類型二資料幾乎看不到相關頁面，也就無法知道 Facebook 在幕後蒐集了筆者哪些資訊，更別提要找到修正或刪除的功能。. 四、小結以上分析能大致發現社群網站利用數位足跡時的若干重要特徵，以及可能衍生的問題。首先是範圍的廣度與深度，儘管外界對於社群網站如何取得數位足跡的細節或具體手法，尚存在許多未知之處。然而綜合分析使用者條文與相關文 15 DOI:10.6814/NCCU202100464.

(24) 獻，以及觀察近來重大事件，即使在毫無證據的情況下，推定社群網站同時廣泛地與深入地搜刮使用者近乎所有的生活細節，應無太大疑義。第二，是雙方嚴重的資訊不對稱；筆者是使用反追蹤程式，才稍微能描繪追蹤瀏覽模糊的輪廓；一般非技術使用者對於社群網站實際搜尋了哪些資料，可說是毫不知情，社群網站對此也想必多予隱瞞，懷疑實情應遠比能發現的事實嚴重得多。資訊豐富者為追求利潤極大化，以價格歧視或類似勾結行為剝削使用者的情形也可能愈加嚴重（伯納賽克、蒙根，2015；麥爾荀伯格，2015：147）。資訊不對稱的本質也是權力不對稱，若人際的應有平等關係，隨著財務與資訊的落差逐漸流失，也無異為對民主的戕害。在缺乏隱私與遺忘的環境下，人傾向謹言慎行甚至自我審查以自保，也失去了言論自由與行動的自由（麥爾荀伯格，2015：146）。如果我們. 政治大. 認為線上行為受到監控與言論審查不應姑息；線下的行為資料被日趨廣布的監測系統與資料仲介紀錄與轉賣，也就絲毫不應容忍。尋求合宜監理策略以矯正亂. 立. 象，成為當務之急。. ‧ 國. 學. 第二節. 贊成政府監理社群網站利用數位足跡的理由. ‧. 系統性地了解贊成政府監理社群網站的相關論述，既可確立權責界線，也能釐清成功的政府監理措施，應達成何種目標。本研究認為成功的監理措施，應至. Nat. sit. y. 少達到捍衛使用者隱私、維護公共利益、保護寡占市場下的使用者權益及杜絕欺. n. al. er. io. 罔行為等四大目的，茲分述如下：. 一、捍衛使用者隱私. Ch. engchi. i Un. v. 雖然我們身處民主社會，監控通訊的除政府外，另有企業建立的近乎無所不在的追蹤網路。隨著通訊科技的急速發展，方式也從傳統的監聽，進化成為大規模的第三方追蹤瀏覽、與資料仲介的買賣與資料聚合，及個人的輪廓剖繪等（Christl, 2017a）。保護使用者免於上述威脅，以免重蹈威權時代的覆轍，顯然刻不容緩。由於資料蒐集是所有侵害使用者權益行為的開端，若能從源頭限制業者收集使用者的行為，除了能較大程度避免對使用者隱私的侵害，也能直接降低資料外洩的風險。隱私權的內涵主要內涵是人際相處「不被干擾」（the right to be alone）及私人交談免於被宣揚的權利（Warren & Brandeis, 1890: 195）。人在被監視的情況下，出於擔心言行被永久側錄，甚至日後為不知名第三方所評價的恐懼，造成寒 16 DOI:10.6814/NCCU202100464.

(25) 蟬效應甚至行為改變，景況恐怕也與極權體制下的生活趨近（劉靜怡，2006： 42；麥爾荀伯格，2015：146；Christl, 2017b: 25）。業者對於數位足跡近乎無限制的收集、處理甚至轉賣，不僅貶損個人尊嚴，也可能戕害民主體制。儘管許多主要國家並未明文將隱私權寫入憲法，且憲法的隱私權主要是規範政府與人民關係，而非企業與人民之間的互動，使得隱私權在後者的法益地位履受質疑，甚至被批評信念大於實質（Determann, 2012）。但是承認其地位並逐步擴張解釋為人民積極權力的法律學說與實務仍不在少數（劉靜怡，2006；洪家殷，2019）。隱私權的存在與否顯然不應該拘泥於是否有成文法的基礎，而是該以怎樣的形式來表達或實現。然而這問題也轉變為，誰能夠擔綱捍衛隱私的角色？由於政府在歷史上不論. 政治大類問題的時候，仍必須將一般性的管制業務，與履受罵名的犯罪偵防業務甚至特立是濫權的惡名，或其管制的業務特質，均與人民的隱私多有抵觸。儘管在追究這. 務體系適度區分（Loo, 2019: 1606-1614），政府角色的適格性仍不無疑問。但是. ‧ 國. 學. 如果我們同意業者能以自律顯然太過天真，也勢必需要有比政府更適合的人來擔綱制衡的角色。以下探討也會繼續圍繞這個問題。. ‧ y. Nat. 二、保護寡占市場下的使用者權益. sit. 社群網站呈現使用者高度集中化的現象。財團法人資訊工業策進會（2017）. n. al. er. io. 的調查顯示，國人常用的社群網站或類似服務，穩居龍頭的 Facebook 與 LINE 覆. i Un. v. 蓋率大約九成；第三名起則急遽下滑，批踢踢實業坊與 Twitter 則分別未滿四成與. Ch. engchi. 兩成，推得台灣社群網站服務顯然已處於寡占市場的狀態，且考慮 Facebook 已併購 Instagram、WhatsApp 等潛在競爭者的情況下，國人若要滿足日常的社交或通訊需求，幾乎可說別無選擇。保護使用者權益免受業者濫用市場權力的傷害，也成為當務之急：. （一）. 提供使用者實質選擇與消弭權力不對等. 寡占意味著業者與使用者處於高度權力不對等關係，當業者片面給予使用者較差待遇時，使用者也幾乎無法招架，可能衍生業者濫用權力，甚至實施掠奪性定價（predatory pricing）的風險（Bostoen, 2019; Graef, Clifford, & Valcke, 2018; Robertson, 2019）。這不僅挑戰前述對於公平的規範性價值，權力優勢者作惡時也可能更加有恃無恐，如透過權力轉嫁風險與傷害予弱勢的使用者。 17 DOI:10.6814/NCCU202100464.

(26) 儘管在民主體制下，政府不可能以公權力干預個人意志，要求其轉移至其他服務。卻可能促使政府延伸思考資訊應用公共化的議題。從效率的觀點，政府長期倚重特定網路服務作為傳播的窗口看似合理，然而若民眾必須仰賴特定服務的媒介才能接觸重要訊息，業者同時採取資訊高牆的營運策略，也顯然違背公共服務的開放透明精神，也與服務外包應基於公平競爭的原則存在抵觸。當上述網路服務明顯有隱私或資安疑慮時，也可能讓民眾捲入資料濫用甚至剝削的風險。雖然政府無法直接要求業者改變應用數位足跡的行為，仍可能仿照異地備援的精神，在多種不同傳播載體之間靈活操作，例如除了在 LINE 之外，同時在新型通訊軟體如 Telegram 發佈訊息，以增加民眾媒介的選擇減少該風險，或可作為一種嘗試。雖然在新型通訊載體的衝擊下，傳統網頁的訊息傳布途徑，料將面臨業績. 政治大. 慘澹的困境，但就風險分散的考量而言仍不可偏廢。. （二）. 立. 捍衛合理取價信念. ‧ 國. 學. 業者知道使用者的資訊越多，也愈有可能從中得知或推敲其所能或願意支付的最高價格，透過個別定價策略追求最高利潤，結果可能犧牲消費者的福祉；業. ‧. 者也可能操縱消費者可得資訊及排序，如搜尋引擎的顯示內容與排名，以誘導點選利潤較高的廣告或產品（伯納賽克、蒙根，2015：139; Loo, 2019: 1591）。若. Nat. sit. y. 我們對於極權國家控制媒體，只允許報導有利執政者的訊息的作法感到毛骨悚. al. er. io. 然，我們日常依賴用以通訊的社群網站，與資訊主要來源的搜尋引擎，做法恐怕. n. 也很相近，只是以往都是在檯面下進行。魏則西事件使搜尋引擎的競價排名機制. Ch. i Un. v. 及伴隨的風險開始被華人社會廣為討論。劍橋分析事件則讓民眾對於針對式廣告的疑慮延燒至政治場域。. engchi. 使用者人數與資料集中於特定網路服務的趨勢，則可能衍生業者坐擁權力實施掠奪性定價的弊端。若業者挾市場優勢，片面訂立對使用者漸趨苛刻的條約，以便更大限度地利用數位足跡，甚至以增加對使用者推播廣告密度等方式攫取更多利潤，進而降低服務品質，也可能是變相哄抬價格的行為（ Bostoen, 2019; Graef et al., 2018; Robertson, 2019），而與公共利益中合理取價信念嚴重抵觸，成為監理政策急欲解決的問題。. 18 DOI:10.6814/NCCU202100464.

(27) （三）. 確保對使用者的透明. 確保資訊透明有助於避免隱匿有害生產過程與成份，暨舞弊行為造成的危害，現行消費者保護相關法令通說也保護消費者「知的權利」。然而社群網站利用使用者數位足跡的機制，現今仍存在許多外界不清楚之處，不是包裝成各種模糊之術語散置於資料政策之字句，便是被視為營業祕密而拒絕公開。使用者若非對後台演算法之運作機制有相當概念，便無從得知與判斷，社群網站基於使用者資料客製化所為之決策機制，如對動態消息（news feed）之排序、顯示的針對性廣告等，是否構成歧視或其他弊害。此處強調的不限於常見或可直接觀察之歧視，使用者或商家尚可在搜尋引擎輸入關鍵字，得知是否被排在較後面的順位；但是當可操弄之變數一多，且演算法設定者居心不明時，便潛藏舞弊的空間，使. 治政大 1598）。有鑑於使用者與社群網站專業嚴重落差的現實，本文一再強調在制度設立計，應儘可能偏向對使用者有利之舉證責任分配的重要性，當使用者對於社群網. 用者經常已不自覺地受害，或得知時往往已經事態嚴重（ Loo, 2019: 1596-. ‧ 國. 學. 站的作法有疑慮時，宜由舉證較容易（或成本較低）之社群網站來自證清白，業者也始有足夠誘因自律。. ‧. 三、杜絕業者欺罔行為. y. Nat. sit. 商業活動需要專責監理機構，保障交易秩序及弱勢者免於受到欺罔行為的傷. er. io. 害。由於社群網站主要獲利來源為廣告業務，不實廣告也成為重要的問題。第一. al. iv n C 主動生產數位內容，僅提供廣告服務者與使用者之間的媒合機制賺取收益，實則 hengchi U 可能透過演算法，競價排名、甚至特定政治偏好等因素，操弄顯示特定內容的順 n. 類不實廣告主要來自外部，社群網站透過中介機制所媒合的廣告。社群網站雖不. 序，進而剪裁與控制使用者的消息來源，而應以與傳統媒體相似的標準加以檢視。劍橋分析公司涉嫌搜刮 Facebook 使用者資料，投放針對式廣告操弄多次選舉便為顯例。雖然基於法定言論自由權的保護，政府對於廣告的實質內容與投放方式，所能監理的範圍相當有限，但是確保廣告業務關鍵資訊的透明，如資金來源、投放者資訊、錨定對象與議題的揭露等，則為可能的方向（ Wood & Ravel, 2018：1255-1263）。第二類不實廣告則是社群網站本身欺騙使用者之廣告用詞，例如對免費服務的誤導。網路服務常主打免費服務以吸引使用者，然而「免費」一詞應僅限無條件或對價地提供財貨及服務，業者聲稱提供免費服務，卻於後台蒐集使用者數位 19 DOI:10.6814/NCCU202100464.

(28) 足跡並衍生營利行為，便有誤導之嫌疑（Hoofnagle & Whittington, 2014）。許多使用者可能直到劍橋分析事件爆發後，才驚覺自己的數位足跡被用於投放針對式廣告，並衍生嚴重後果。網站對於針對式廣告的說明，也僅限於強調提供個人化服務的優點，但對於後續可能的哄抬價格等剝削行為等風險，則顯然避重就輕（羅鈺珊，2018；麥爾荀伯格，2015）。2019 年 12 月匈牙利政府也以宣稱免費服務誤導使用者裁罰 Facebook（陳曉莉，2019；Szakacs & Fincher, 2019）。如今 Facebook 的登入頁面，吸引註冊帳號的標示只有「建立新帳號。快速又簡單。（Create a new account. It's quick and easy.）」的字樣。儘管對於多數非技術使用者而言，這類廣告用詞的修正還遠不足以達到警惕的效果，且只將「點擊『註冊』即表示你同意我們的使用條款、資料政策和 Cookie 政策」的警語以較為低調. 政治大. 的方式呈現，卻也不失為改變的重要起步。. 立. 四、捍衛公共價值. ‧ 國. 學. 社群網站對於使用者隱私的侵害、利用市場優勢攫取暴利的行為，不僅傷害使用者福祉與尊嚴，也強烈挑戰我們認為日常待人接物應遵守的道德規範，如公. ‧. 平取價（fair price）、童叟無欺（honest dealing）、與顧及旁人安全（safety）等普世信念（Eisner, Worsham, & Ringquist, 2000: 6）；我們早已預期這些想法與商. y. Nat. sit. 業的江湖規矩勢必存在落差，但是如果明知業者的行為不斷違反上述信念，卻無. er. io. 法提出具體方案矯正時，也形同教導大眾這些信念只是空號，可以棄若蔽屣，猶. al. iv n C 值觀的崩解與衍生之問題，部份原因也可能根源與此。鑑於諸多認知限制可能無 hengchi U 形地影響使用者的隱私揭露行為或設定，若完全任其自我管理，將可能引致嚴重 n. 如某知名企業家曾說「民主不能當飯吃」一般。物質文明的蓬勃發展造成許多價. 傷害（Acquisti, Brandimarte, & Loewenstein, 2015; Cho, Roh, & Park, 2019）；且年紀較輕、教育程度較低的使用者，也較容易揭露自己的隱私（Punj, 2019: 146）。除教育使用者基本的資訊安全概念之外，我們也有義務避免避免弱勢族群受到上述監測技術的侵害。倘若社群網站無法嚴守道德與法律的底線，令使用者的尊嚴（dignity）與自主（autonomy）獲得最低限度的保障，以及合法與公正的裁量甚至蒙受傷害時，也是政府必須介入監理的時機。. 20 DOI:10.6814/NCCU202100464.

(29) 五、小結經由一系列文獻探討，可將支持政府監理社群網站利用數位足跡的論點，歸納為保障屈居弱勢的使用者，能享有公平的交易條件，以及免於業者濫用市場權力所造成的侵害。而兼具追求公共利益，並維繫社會價值的穩定的使命。然而仍遺留數個待解決的問題。其中最明顯的是，應該維護個人權利到什麼程度，甚至與經濟發展之間該如何取得平衡？畢竟若對個人權利的主張無限上綱，現存主要的網路產業的商業模式恐將無以為繼，其後果恐也非我們樂見。其他產業在客戶關係管理（customer relationship management, CRM）的經驗或可作為借鏡，仍未能在實務上給予具體的尺度。即使不否認上述目標的社會意涵，也難免令人懷疑論述上是否站得住腳？捍衛公共利益的理由，也容易陷於論述大於實質的窘境。. 第三節. 反對政府監理社群網站利用數位足跡的理由政治. 大. 立. 政府基於保護使用者權益與捍衛公共利益的立場，監理社群網站利用數位足. ‧ 國. 學. 跡，無疑有其重要性。但是問題與反對意見，恐怕也遠比預期效益與支持意見還多。其中最直接的爭議，仍然在於政府角色的定位。既然清楚社群網站不是慈善. ‧. 事業，政府也缺乏立場要求其收斂甚至改變其營利模式，使用者應該反求諸己，自行決定是否停用信譽有問題的服務。況且政府行為對於民眾隱私的侵害也殷鑑. Nat. sit. y. 不遠，監理合法性也令人存疑。管制悖論也嚴厲警告，政府的監理能力不足，也. er. io. 可能導致與企業助紂為虐的悲慘下場，因此制定監理政策時也更應三思而後行。. n. a. l C 一、使用者應善盡的責任. hengchi. i Un. v. 使用者應清楚明白社群網站不是慈善事業，為享受服務勢必需要付出代價，只是該代價是否合理。民眾也不能只是被動地要求政府監理業者，卻對於自身應善盡的責任漠不關心與不願採取行動。隱私悖論（privacy paradox）尖刻批評使用者對隱私的珍視宣示大於實質，5若使用者未能以行動捍衛自身權益，政府也難有置喙餘地（Fuller, 2019）。鑑於政策資源有限的事實及管制悖論的相關風險，監理也不是萬靈丹。使用者與其只出一張嘴，或被動地坐以待斃，不如自動善盡公民責任，並主動學習媒體識讀的相關知識（布特妮．凱瑟，2020：368-373）。使用者應對於社群網站的運作機制有基本認識，並清楚意識到社群網站是經由縝 5. 隱私悖論大致的意義，是指使用者聲稱珍視隱私，實際行為卻犧牲隱私換取特定利益，諸如方便或享受的矛盾現象。對此較詳細的文獻探討，請參見江淑琳（2014：87-90），與陳憶寧、溫嘉禾（2020：35-36）。. 21 DOI:10.6814/NCCU202100464.

(30) 密設計，使其願意花更多時間駐足，以便從中攫取注意力以及行為資訊並轉化為收益，使用者也應學習以聰明的方式使用社群網站、培養有意義的社交與休閒活動方式，而不至任由科技產品擺佈（卡爾．紐波特，2019）。使用者也應避免貪圖一時的方便，而依賴特定業者的服務，果決與信譽有瑕疵的業者斷絕往來，並預擬替代方案以便隨時轉移至其他業者。電子郵件雖然古老，但是格式互通且能將信件分散儲存於不同業者的伺服器，甚至可以自行架設伺服器，避免被單一廠商掌握的風險，可能是個好選項（洪朝貴，2018）。儘管這些論述難免被批評轉移焦點、忽略業者應盡的社會責任，令人難以啟齒的根本原因其實也是知易行難。除了使用者普遍短視近利、經常是一盤散沙的難堪現實，也可能是政策倡議者缺乏毅力鑽營單一議題，經常轉移焦點或者任憑. 政治大. 船過水無痕，最後錯失改革良機（史蒂格勒，1991：223-224）。但是唯有如此才. 立. 算是開始有意義地改善問題。. ‧ 國. 學. 二、可能對於使用者隱私權的侵害. 鑑於政府在歷史上的濫權經驗，使用者也難免擔心業者迫於壓力將其資訊轉. ‧. 交給政府單位（Fuller, 2019: 370）。雖然業者通常有權基於法律的要求與政府分. y. Nat. 享使用者資訊，態度通常也較為謹慎，畢竟要是失去使用者的信任，業者也將失. sit. 去一切。然而我們也應當體認不同業務性質的政府機關，採取的手段必有細微差. er. io. 異：將惡名昭彰的特務機構與犯罪偵防機關6，與日常的產業管制混為一談，難免. al. n. iv n C hengchi U 甚明智（Loo, 2019: 1606-1614）。儘管這不能完全解決監理過程對隱私權侵害的以偏概全；將蒐集組織營業數據，與個別使用者的數位足跡畫上等號，顯然也不. 疑慮，處理相關論述時宜應更加細緻。這也衍生另一個待解的問題，如果政府的確不合適，有哪些更適合的人足資擔綱監理的角色？這也可能是現有文獻尚未能有效回答的空白。. 三、對於風險認知的差異由於政府對於舊的（已知的）風險管制一般較為寬鬆，對於新的（未知的）風險則較為嚴厲（Huber, 1983）。對於社群網站問題解讀方式的差異，也可能造成截然不同的監理策略。業者在認為現有的監理機制對其有利的情況下，勢必需要透過傳播工具引導民眾相信對其有利的認知。例如不斷對外強調，雖然社群網 6. 在原文可泛指如美國國家安全局、中央情報局與聯邦調查局等。. 22 DOI:10.6814/NCCU202100464.

(31) 站看似深奧莫測，其本質仍與既有的商業模式相似。Facebook 雖被公認為網路平台，但是平台經濟早已存在數百年，相關管理經驗亦有跡可循（ Marsden, 2018）。換言之，我們面臨的依然是舊的（已知的）風險，是否非要以全新的治理模式，甚至另立新法限制社群網站業者的行為也就有待商榷。監理者若輕視遊說者對於議題設定的能力及可能造成的影響，只顧著政策規劃而疏於建立主張社群網站是新風險的論述或尋求證據，以鞏固監理的合法性，勢將無法克服政治阻力而招致失敗。. 四、對政府能力的質疑管制政策若要成功，管制者須先具備足夠道德水準與能力，儘可能降低管制失敗的風險與後果，也必須有足夠知識「偵測與證實」違規行為，並熟稔業界的. 政治大. 相關（潛）規則與舞弊的方式，查緝案件也必須切中要害，而不只是巨細靡遺但. 立. 是敗絮其內的統計報表（史蒂格勒，1991：203-204）。然而政府的現況可說是差. ‧ 國. 學. 強人意，美國參議員在劍橋分析事件後，對 Facebook 聽證會上荒腔走板的表現，「似乎連社群網站如何營運的基本概念都沒有」（簡恒宇， 2018 ）便是明. ‧. 證。Facebook 在劍橋分析事件則幾乎是全身而退，聯邦貿易委員會（ Federal Trade Commission, FTC）「重罰」50 億美元也幾乎無法與該公司動輒數百億的營. y. Nat. sit. 收相比，並被揶揄「只是做生意的必要成本，因此違法很划得來」（徐榆涵、黃. er. io. 秀媛，2019）。歐洲的 GDPR 執行近來也屆滿兩年，也不乏研究報告巨細靡遺地. al. iv n C （李億誠，2019；Barrett, 2020），卻對於實施兩年來，Google 是唯一遭 h e n g GDPR chi U n. 闡述統計資料，如 GDPR 推行後政府處理了多少違規案件，罰了多少錢等資訊. 到重罰的科技巨擘的難堪事實難以啟齒，遑論單次違規只被處以十分之一的日營業額的難堪事實，也無怪乎 GDPR 被譏為紙老虎（Satariano, 2020）。這也勢必難以杜攸攸之口，為何中小企業要承受如此沉重的監理壓力，但是許多惡名昭彰的科技巨擘卻似乎能全身而退？政策的失敗恐怕將是自我實現的預言。以下就管制悖論常見的論述，判斷政府可能會在哪些地方遭遇失敗。. 五、俘虜現象與扭曲市場規則即使經過縝密規劃，管制政策仍可能失敗並造成嚴重後果。管制失敗典型的症狀包含俘虜現象（capture）與扭曲市場機制。俘虜現象泛指管制機關的議程設定（ agenda setting ）與利益結構被特定團體掌控，而淪為追求私利的工. 23 DOI:10.6814/NCCU202100464.

(32) 具。Bernstein（1955；轉引自羅清俊，2015：301-302）的管制委員會生命週期理論指出，管制機關被擄獲可歸咎於系統性因素：對內隨時間發生惰性，逐漸忘記為誰而戰，民眾對議題的關注衰減也使機關逐漸失去政治支持，徒增有心人士見縫插針的機會；隨著管制者與業者的互動加深，雙方的專業認知與利益結構也趨於一致，合流成為新的利益集團，最後被業者吸收而淪為階下囚。管制政策也可能扭曲正常的市場機制。常見的形式為貿易壁壘或價格補貼，為弱勢的國內產業阻絕競爭，消費者也可能因此無法享受較便宜的價格或較佳的技術。另一種形式為政策上獨厚特定產業，如 Stigler （史蒂格勒，1991）在名著〈經濟管制理論〉直指：「管制通常是行業主動要求的結果，而且基本上是為了該行業的利益而設計和運作的」（第 145 頁）。或者執意採取社會總成本較高的. 政治大關稅也可能是更經濟的效率工具」（第 146 頁），政府為何還要使用成本較高的立方案：「（就石油進口配額政策而言）...即使國防確實是配額的目標，那麼加徵. 配額政策呢？可能的原因是管制者無需承受失敗的後果，既然痛的是別人也就能. ‧ 國. 學. 無所顧忌（第 204 頁）。筆者懷疑在極端的情況下，這類政策將未能達成整體社會的最大福祉，而讓業者的私利極大化，管制政策也就淪為魚肉鄉民的工具。. ‧. 近來 Facebook 執行長 Zuckerberg 呼籲網路需要被加強管制的論調（Press. Nat. sit. y. Association, 2019; Zuckerberg, 2020）引起熱議，表面上是承認現行自我管制架構. er. io. 的瑕疵，而願意讓渡長期緊抓的網路主導權7；或者在企業營利與社會價值之間難. al. iv n C 吧！」（劉仕傑，2020）。索羅斯（George h e n g c Soros）（2020）則質疑，Facebook hi U 大可直接拒絕刊登政治競選廣告，又何必等到政府出手？筆者推測 Zuckerberg 是 n. 以取捨，「...祖克柏認為每天做這些決定太麻煩了，所以不如讓政府來當裁判. 相當篤定政府介入管制對其有利才會出此言。一種可能是管制能阻礙競爭，其相關原理與後果將詳下所述。. 六、阻礙競爭管制政策的直接後果便是阻礙競爭。優勢者藉由設立進入障礙，或遊說制定只有少數人能達到的標準，美其名是透過淘汰機制提升產業水準，實則打壓競爭者的生存空間（羅清俊，2015：304-305）。受網路效應之影響，大者恆大、勝者全拿向來為網路產業的常態。通常大型企業才有充足的資源與技術，以應對近乎 7. 儘管原文主要是針對網路言論自由，例如政治廣告或爭議內容等（但也有部分觸及隱私），對於本研究的案例應該也尚稱適用。. 24 DOI:10.6814/NCCU202100464.

(33) 苛刻的法遵細節，中小企業也幾乎只能將儲存業務外包給大型雲端業者，也形同創造只適合特定業者生存的空間（Sirur, Nurse, & Webb, 2018: 92-93），自然也助長許多中小企業的消失，以及大廠獨占利益的局面（ Layton, 2019; Stapp, 2019）。我們一方面可能將其單純視為社會變遷的代價，並藉此淘汰法遵意識薄弱的業者，以防堵網路生態中其餘的資安隱患。然而這也勢將加劇社群網站的獨占局面，業者的行為可能也就更難被駕馭。這也迫使我們思考數個麻煩的問題。首先，到底是業者只要有努力便能達到 GDPR 的標準，還是確實只有大型機構能夠企及？此時政府單位及時提供的輔導文件，可能幫助中小企業能加速接軌（Sirur et al., 2018: 93）。此外，是否所有的資料都必須以如此嚴苛的標準處理？在資源有限的事實下，較合理的方式似乎還. 政治大也可能是本研究必須思量的重點。立. 是依照不同資料的機敏程度，施以程度不一的保護方式。這標準又該如何設定，. ‧ 國. 學. 七、小結. 本節就反對政府監理社群網站利用數位足跡的觀點，做出稍具系統性的整理. ‧. 與分析。理由大致可歸納成為對政府角色定位的爭議，與對政府能力的質疑兩大. y. Nat. 類型。政府在制定監理政策時，避免過於樂觀的評估也顯得益加迫切。日後在探. sit. 討監理角色時，也宜著重思考在，首先從規範面的角度來看，政府的角色是否合. er. io. 適？又有哪些更適合的人足資擔綱上述角色？監理的力度該多大，與著重在哪些. al. n. iv n C hengchi U 成最大效益？這同時牽涉到實證層面的問題，究竟現行監理成效又為何？而有待面向與方式，以期避免造成弱勢業者的衝擊，也能以兼顧效率與經濟的要求來達. 進一步釐清。. 第四節. 以自律為主的數位足跡監理機制. 雖然社群網站利用數位足跡的方式，通常不會因為當事人國籍、族群身份的不同，而有明顯的差異，差異也主要體現於後端的決策裁量，如即時動態訊息與廣告的排序與顯示方式。然而對於政府角色定位的分歧，衍生截然不同的監理模式，而可粗略分類為以美國以自律為主，與歐盟、我國以他律為主的兩大模式，本節先探討美國的自我管制模式。顧名思義，自我管制泛指政府不強勢干預，儘量授權被管制者主導與自主執行的模式。不過自我管制並不等同政府完全放棄管制的權力，且完全放任模式在 25 DOI:10.6814/NCCU202100464.

(34) 實務上也極少存在，經常也需要有人在背後施壓業者，與政府保留部份干預的空間，業者才會以較為認真與務實的態度，研擬與執行相關措施。因此在討論自我管制措施時，也應將外部驅策的角色一併考慮在內，並視為動態平衡的關係。業者基於自身利益考量，通常也只會擬定最低程度的自律方案，迫於壓力才會悻悻然地稍微提高標準。邇來有人提出「共同管制」（co-regulation）的第三條路，主張業者與政府共同協調以遂行管制目標，以期互補傳統措施與自我管制各自的優缺點，其本質仍可能是自我管制模式的變體（羅清俊，2015：316；Hirsch, 2011; Wood & Ravel, 2018: 1244-1246）。形式依照干預的強弱，可能從幾乎完全放任或只設定原則性規範，到雙方共同研商可能的具體方案，但是業者保有最終執行的彈性皆有。. 政治大. 一、主張自我管制措施的理由. 立. 雖然政府干預經常被視為處理重大問題直覺且立即的手段。然而基於民主政. ‧ 國. 學. 治與市場經濟的運作原則，通常期待政府只扮演被動的角色；且迫於政府行政資源日益短絀、社會分工日趨複雜的現實，授權產業自主管理，也成為節約行政資. ‧. 源與保持市場機制正常運作的可能手段。也經常因為政治環境的限制，管制政策的立法與推動有明顯困難，自我管制成為唯一可行的方式。長期以來美國不乏有. Nat. sit. y. 志之士欲推動全面性的個人資料保護立法，但經常無疾而終。且認為社群網站使. al. er. io. 用者不應享有隱私權的論述阻力也頗高（Determann, 2012）。這固然可歸因於缺. v. n. 乏政治可行性，特別是利益團體的阻撓，政府濫權的陰影造成民意的敵對卻也是. Ch. i Un. 不爭的事實。特別是九一一事件之後，各國政府為了反恐近乎無限制地利用個人. engchi. 資料時，也就更難有立場要求民間反其道而行（麥爾荀伯格，2015：206-207）。此時授權業者自律與其說是必然，不如說是不得不然。但是主張自律也並非全無理據；管制措施對自由權可能的傷害自不待言，主流民意對於政府施政危害自由權的憂慮，可能遠高於業者的踰矩行為，監理措施勢也將承受更大阻力。管制悖論的探討也已提到，管制政策勢將提高成本；美其名是透過淘汰機制提升總體產業水準，卻也可能造成俘虜現象，大型企業得以雄厚政治資本與以捍衛公共利益之名，遊說政府制定只有少數人能達到的標準，以打壓潛在競爭者，阻礙競爭與加劇社會資源分配的極化（羅清俊，2015：304305；Layton, 2019; Stapp, 2019）。即使法律真能令使用者獲得基本的保障，市場機制終究才是驅策業者採取行動改善的最大動力（麥爾荀伯格、庫基耶，2013： 26 DOI:10.6814/NCCU202100464.