法扶報報
- 被窺視的網路活動?由數位足跡與個人資料保護的觀點說起/劉邦揚
- 2022/09/27
-
被窺視的網路活動?由數位足跡與個人資料保護的觀點說起文/劉邦揚(國立政治大學法律學系博士候選人)編按:本文改寫自:劉邦揚,個人資料保護的刑法問題──以數位足跡為例,法律扶助與社會期刊,第8期,頁187-225。讀者諸君如果希望更加理解完整的論述,建議可參考前述論文。壹、前言現代人的生活之中,幾乎很少有人能夠離得開網際網路的世界,上網這件事情從早期90年代被視為「高級技術」,普及至現在智慧型手機興盛時期的人手一機,都在在地實現了科技對於人類生活的影響層面與日俱增。而當代社會,無論你是使用電腦、平板、或是智慧型手機上網活動,可能是單純瀏覽新聞、享受便捷的購物服務,或是使用社交軟體等,這些都早已成為稀鬆平常的事情,但在我們享受科技便捷的同時,讀者是否想過,自己在網路上的一舉一動有可能被人紀錄,甚至進而加以分析?若果真這個現象存在,請問您願意提供自己的網頁瀏覽紀錄給某個機構或企業,讓他們進行資料分析嗎(請注意,這些資料不是單日或片面的,而是連續性的)?這個提問聽起來或許有些讓人錯愕,但並非空穴來風,而是與本文所要傳達的數位足跡的保護概念息息相關,以下,筆者則會嘗試解釋數位足跡這個專有名詞的概念。貳、什麼是數位足跡在學術的定義上,所謂的數位足跡(Digital footprint)指的是使用者利用網際網路從事瀏覽、購物、曾經發表的言論,甚至是對於某篇報導、社交軟體中的貼文表達喜歡與否的一切紀錄。這些資訊,可能包括了你在購物時所輸入的出生年月日、所住的城市,乃至信用卡號,當然也會蒐集使用者瀏覽網頁的偏好。舉例而言,筆者最近可能想要購入一台筆記型電腦,因而不斷地在搜尋引擎中輸入各家廠牌的筆電型號與規格,想要藉此進行比較,前述這個「不斷搜尋筆電型號與相關效能查詢」的舉動,便會被你所使用的網頁瀏覽器給記錄下來成為cookie,這些搜尋資料原本的設計,僅存於你所正在使用的這台裝置上,不過隨著科技的開發,開始出現第三方cookie的服務,特定廠商提供了追蹤使用者在各個不同網站瀏覽紀錄的功能與服務,並且將之用於商業銷售行為,其中最廣為人知的第三方cookie廠商便是眾所皆知的google。這些被蒐集的網路活動資料可以提供給市場上任何有行銷需求的廠商,藉此讓他們達到廣告效益的最大化,而這也是為什麼第三方cookie技術,在歐洲等對於個人隱私極為注重的國家,會一再受到監理部門或是網路使用者挑戰的原因。
Image by phoenixsierra0 from Pixabay
參、數位足跡對生活的影響姑且不論使用者在知道自己的瀏覽紀錄可能被蒐集、進而分析,並做成商業行銷的參考依據時是什麼心情。毫無疑問的是,第三方cookie技術的出現,將會讓商業活動的運作事半功倍。回到前述筆者所提的例子,相信你也會有相同的經驗,當頻繁地利用搜尋引擎查找筆記型電腦的資訊後,往往之後就會在其他網頁頁面,例如新聞版面的邊欄、社群軟體的動態欄中,看到極其接近的商品廣告,而這也是第三方cookie技術所正想要達到的目的:「精準投放」。讓需要的人看到這些「剛好」是他們所需要的商品資訊。第三方cookie除了在各個伺服器之間蒐集網路瀏覽者的足跡之外,同時也採取了大數據分析技術,因此有能力精準地計算出坐在電腦螢幕前你我的偏好。這樣的蒐集與分析能力,將會讓商業活動的運作更有效益,可以將原先如同大海撈針一般的廣告預算,投資在最精準的傳送渠道上。但寫到這邊,不曉得讀者們是否也與筆者有著相同的疑問:第三方cookie廠商藉由蒐集我們的網路足跡獲益、購買廣告的企業主也因為廣告的精準投放,達到獲利的目的,但是提供足跡的網路使用者呢?他們有沒有說不的權利?又或者換個方向討論:網路足跡應該被這樣被使用嗎?在我國,有沒有什麼規定可以用來來保護使用者的網路足跡呢?肆、個人資料保護與數位足跡的關係前述問題,筆者則認為網路足跡應該被承認是「個人資料保護法」的對象,即便依照目前個人資料保護法第2條第1項第1款的規定,並沒有正面規定網路足跡屬於個人資料,但前述規定也提及了:「其他得以直接或間接方式識別該個人之資料」也應當被認為是個人資料的一種類型。而每個人的數位足跡,正是有機會能夠在大量蒐集的前提之下,被識別為特定個人的一種個人資料,也因此必須受到個人資料法的保護。換句話說,筆者的觀點認為,數位足跡屬於一種新興的資訊,而其所乘載的內容是屬於每個人在網路上的活動紀錄,這些紀錄,應該被視為一種隱私,而不是他人得以透過技術任意取得的對象。但筆者也必須承認,在當前我國社會,這種觀點並不普及,也尚未受到大眾的關切,不過毫無疑問的是,當你知道在網路上的一舉一動都可能遭到蒐集並分析時,想必感受不會太好──特別是在沒有取得正面同意的情況之下。在筆者的觀點中,個人的數位足跡除了應當被看作個人資料的一種,並且受到個人資料的保護之外,相關廠商例如蒐集第三方cookie的機構,也必須正面且明確的獲得使用者的同意。換句話說,目前的個人資料保護法第7條存在所謂的「推定同意」規定,實在有修法刪除的必要。所謂的推定同意,就是指資料蒐集者在符合特定要件之下,即便資料擁有者──如同本文中的數位足跡擁有者,不表達正面同意的態度,也會因為時間的經過,而「推定」你已經同意對方使用你的個人資料了。這樣的規定無疑讓個人資料的使用開了一個後門,進而使得法律保護個人資料的用意被架空,實在有重新修法研議的必要存在。伍、代結論──數位足跡應成為個人資料的一種類型整體來說,筆者對於數位足跡這個少有人討論的研究素材上,所抱持的立場是:由於數位足跡早已密密麻麻的記錄了使用者長期以來的瀏覽紀錄、購買紀錄、網路社交活動,所以說,由數位足跡回推到特定人的身上,並非難以做到的技術。而在這個情況之下,依照我國個人資料保護法第2條第1條第1款的規定,數位足跡應該是受到法律保護的,而違反相關保護規定,除了有民事的賠償問題之外,也存在嚴厲的刑法規範。而即便如此,在個人資料保護法中,長期以來都存在「推定同意」的規定,這種規定無疑讓資料蒐集者取得較為優勢的地位,畢竟資料擁有者的你我,除非明確表達拒絕的態度,否則這些蒐集者都可以在經過一段時間後,主張已經取得推定同意,並且進而得以使用你我的個人資料,此種規定在強調個人自主權(autonomy)的當代社會下,實在有必要重新檢討與修正。最後,筆者誠摯期待各位讀者都能更加注意個人隱私,便利資訊社會固然讓每個人都更加方便的取得你我所需要的資訊,但若以犧牲個人隱私為代價,堆砌資本社會中的經濟效益時,請問,你的看法會有所改變嗎?
