您的企業網路隱私政策透明嗎?
近日「貪谷歌免費帳號,柯文哲害35萬學童個資外洩」事件,引伸出另有網評指出此指控其實未必有根據;網評說根據Google自己的說明頁面,G Suite教育版不擁有學校及學生的資料,不會販賣這些資料,也不在其上刊登廣告等,進而討論教育現場的師生,乃至於所有個人使用者,到底該不該利用個人隱私資料來換取免費的雲端網路服務?
由於一般用戶甚至是國中小學生,在FB或遊戲網站使用時之註冊資料中所揭示之隱私權聲明、服務條款等內容,一般用戶通常無足夠知識閱讀及了解此些資訊;然後為了方便或免費使用,都僅能貿然同意,等有問題發生之後再說。
當然從落實用戶資安教育出發,是一件愈來愈重要的事情,另一方面是網路服務公司落實隱私權政策,讓隱私權政策更為透明易懂,也是非常重要的一件事情。
本文擬從企業如何強化隱私政策的透明度出發,探討目前企業隱私透明度概況,期待喚起我國企業,尤其是包括未來從事大規模收集個資的IoT企業,應更加重視隱私議題,讓網路服務成為更自在且安全的生活服務。
隱私政策之適法性程度
我國個資法第1條即指出:「為規範個人資料之收集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用。」除保護個人資料以避免人格人受侵害外,也要能促進個人資料之合理利用。但一般個資議題,大都強調個資保護構面,而未強調個資之合理利用。
個資法第3條指出,「當事人就其個人資料得行使查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集處理或利用、請求刪除。」,第8條又指出:「公務機關或非公務機關向當事人蒐集個人資料時,應明確告知當事人哪些事項,包括收集目的、期間等。」
我國個資法的內容要求很多,在網路服務網站上大都以隱私權政策及服務條款方式,揭示其蒐集處理及利用個資情形。但網頁上的隱私權政策,通常需要一定法律程度才能讀懂,且相關的關鍵用詞都模糊不清,當顯示要求是否已閱讀及同意時,只能說「Yes」;而用戶當下心想的是「拿走我的隱私,我不在乎,只要給我免費的服務就好」,當有隱私或安全顧慮發生時,心想的是「我們的資料都被收集了,但不知道要向誰抱怨」等等。
網站的隱私權政策及服務條款,通常需要一定法律程度才能讀懂,且相關的關鍵用詞都模糊不清。
例如有一些基本問題,像是如何刪除個人帳號?如何刪除信用卡帳號、使用紀錄、所有個資資訊?如何要求停止收集及處理利用我的個資?如何管理我的個資及使用紀錄?這些都需要清楚檢視網路服務系統的隱私權政策,是否清楚說明及如何進行,以便檢視用戶對其個資處理是否具有主控權。
另在個資利用方面,如個資是否分享第三方、合約商、集團或附屬機構利用,及個資保留期限、合併或破產時如何處理等,在隱私權政策是否清楚描述或實際執行時是否透明一致,大都甚為模糊或不得而知。企業收集個資後,我們對個人資料及使用紀錄之主控權力,及服務廠商之隱私權政策與服務條款執行時,是否與其宣稱的一致之透明程度,仍待更多檢視與揭露。
隱私保護透明度概況
網路隱私權透明度的議題,主要包括公務或非公務機關之隱私權政策如何制定、隱私政策品質如何、實際是否遵行政策執行等。當然從國家層次,制定個人資料保護法,要求公務與非公務機關遵循個資法要求。從組織層次上,考慮對內要建立個人資料管理制度(Personal Information Management System:PIMS),對外透明揭露隱私權政策,並取得第三方驗證,如BS-10012個資驗證或臺灣個人資料保護與管理制度(TPIPAS)、或隱私保護標章(如dp.mark、日本P-mark、TRUSTe Certified)等。
由於美國史諾登揭露美國政府要求各大公司提供個人資料,並從事大規模監視後,全球欣起一股監視政府取得網路服務公司個資熱潮,亦即所謂推動網路透明度報告,各國的人權組織開始進行該國的網路透明度報告。雖然他們的著眼點是監視政府取得網路服務公司個資情形,但也同時鼓勵科技企業在網路上透明的揭露其隱私權政策之運作細節,對敦促企業網路隱私權透明度上會有很大的促進作用。
台灣網路透明報告
該報告係由台灣人權促進會於2013年7月起所推動,是台灣第一個關注政府在網路隱私及言論自由運作狀況的計畫,除了監督政府的施政外,也提出一份報告,供大眾參與檢視。該計畫主要係從監督政府角度,調查政府向網路業者索取用戶資料及要求移除資料之近年統計,並希望政府能提出一套標準作業流程及法令依據,讓公民理解政府網路監控的實際狀況。
2015年首度提出2012–2014年台灣網路透明度報告,並發行英文版本,並多次進行國際交流。該報告也指出調查政府相關單位,所取得之資料仍甚為不完整,也與台灣政府向Google索取的資料進行比對,這計畫主要目的是監控政府,是否大規模監聽或向網路服務業者不當索取資料,而此一過程是否合法、是否有標準作業流程?
另台權會研究人員多次參加全球資訊人權會議,亦感嘆在台灣那些「專注討論人民權利」的場合,幾乎見不到企業或政府(特別是本土企業)的身影或意見。這種情形相當令人遺憾且不解,為何台灣的企業與政府總樂於談論產業、技術、資料的發展利用,而不願談論人民的資訊人權?對於那些演算法衍生的歧視、資料被目的外使用而造成的隱私侵害、不當搜集資料而引發的監控風險,為何多半避而不談?台灣的中小企業或許無力,但大型企業應可更多關注隱私權及個資保護相關的議題。
科技公司透明度概況
以下概略檢視Google、Facebook、Yahoo等大企業之透明度報告概況。
Google
Google的透明度報告,網路上顯示的資訊稱為「Google資訊公開報告」,主要內容包括:
政府提出的內容移除要求、
Google使用者相關資訊調閱要求、
版權所有權人提出的結果移除要求、
依歐洲隱私保護法規提出的搜尋結果移除要求、
HTTPS報告資訊、
郵件在傳輸過程的加密措施、
安全瀏覽等。
其中第4項係歐盟獨有,2014年五月,歐盟法院針對「Google Spain v AEPD and Mario Costeja González」(Google Spain與西班牙資料保護局和 Mario Costeja González) 一案做出裁決,當中指出個別人士有權要求 Google 等搜尋引擎業者移除與其相關的特定搜尋結果。根據法院裁決,搜尋引擎業者必須評估每個人提出的移除要求,而且除非相關搜尋結果涉及公共利益,否則必須予以移除(不顯示在搜尋結果中,並非真正將其內容移除);此項要求是由個人而非政府提出,此即所謂「被遺忘的權利」。
另2016年一月到六月間,執法機關向 Google 和 YouTube 提出的資訊調閱要求數量,台灣有127件,移除內容(2015年七到十二月)有7件(與其他國家相較不算多)。另外Google隱私權與條款中,包括隱私權政策、服務條款、技術與原則等,對於所收集的資訊、如何使用收集到的資訊、資訊透明化和選擇權、存取及更新個人資訊、分享的資訊、資訊安全、隱私權政策適用範圍、政策執行以及與主管機關配合情形(惟以母公司國家之適用法律)等,可謂非常詳細,但一般人大都無法全部詳細閱讀及了解。
Facebook
在FB透明度網站上揭露,政府官員有時會要求FB提供用戶相關資料,作為正式調查程序之一;其中絕大多數的要求都跟刑事案件(如搶劫或綁架)有關。在許多案例中政府要求FB提供用戶基本資訊,如姓名、註冊日期和使用服務時間長度,其他則也會要求提供IP位址記錄或帳號內容。FB宣稱有嚴格準則,專門用來處理所有的政府資料要求。2015年七至十二月間,來自台灣政府的資料要求計有333件。
FB網站上的使用說明,包括隱私與網路安全、政策與檢舉。政策檢舉項下包括:回報隱私侵犯事項、檢舉濫用、著作權/商標侵害、關於FB政策等。隱私政策包括:我們收集哪些資訊?我們如何使用這些資訊?我們如何分享這些資訊?如何管理或刪除關於我的資訊?我們如何回應法律要求或避免傷害?我們全球服務的運作方式、我們會如何通知您有關本政策的變更?如有疑問,該如何與FB聯繫?
FB之問題聯繫,仍為美國住址,適用法律仍以美國及歐盟安全港架構為主。整體隱私保護內容,可謂非常詳細,但一般人大都仍無法全部詳細閱讀及了解。
Yahoo
Yahoo透明度網站上揭露2015年七至十二月間台灣政府提出要求之件數多達1669件(非內容揭示86%,內容18%,無資料4%,拒絕9%)。該網站上說明政府資料要求及移除要求之政策,另亦揭示Yahoo用戶至上(Users First)政策,包括如何保護使用者資料、如何捍衛使用者、如何促進人權等措施。在中文版Yahoo奇摩隱私權保護政策內容中,包括資料蒐集及使用、資料分享與揭露、Cookie、您查詢/修改及刪除個人帳號資料及偏好設定的能力、機密性和安全性、隱私權保護政策修訂、問題和建議等,亦有非常詳細的隱私權保護政策內容。
AccessNow網路透明度概況
AccessNow是全球非常著名的網路人權非政府組織,它鼓勵全世界的網路服務公司建立透明度報告,與用戶建立互信及強化用戶線上權利。
企業透明度報告首先由Google於2010年起率先製作,隨後由Accessnow持續鼓勵及追蹤,至2016年二月,有九十餘國的61家公司,每半年或一年於線上公布透明度報告。此報告是網路服務公司揭露用戶隱私及言論自由威脅最有力的方式之一,一方面可以教育公民有關公司政策及對抗政府濫用的情形,另一方面也讓公民了解大規模線上監控、網路破壞、內容移除及其它網路基本人權的相關發展之實際情形。
惟這些公司公布之透明度報告涵蓋內容範圍及格式不一,大部分揭露內容都來自至於法律要求或國家安全機關所調閱或要求刪除之資料,也僅止於網路服務公司善盡社會責任,採自願揭露方式,雖然如此,但在促進公司隱私權政策透明度方面,已產生很大助益。
網路隱私透明度之挑戰與建議
各國透明度報告之不完整性
由台權會透明度報告中指出,政府相關單位提供之資料不一致、不完整,甚至宣稱依法拒絕提供;政府未能主動統計及公布資料,並提供機器可讀取之資料格式;政府向網路服務公司要求提供資料,仍缺乏一套標準作業流程及法令依據,讓公民理解政府網路監控的實際狀況等議題等。建議政府應更加配合透明度報告的需要,讓該報告真實反映實際情況。
有待更多企業響應企業透明度報告
目前Accessnow的透明度報告,全球僅有61家響應,其中並無台灣廠商。類似科技大廠,一方面對內建立個資管理制度,一方面對外在網路上明確說明隱私權政策及服務條款內容,並取得第三方驗證或標章之公信力,將可使隱私權透明度大為提高。
台灣各大服務廠商,在網路透明度揭露上,還有非常大的改善空間。
台灣廠商如PCHOME、中華電信、台灣大電信、遠傳電信、各大銀行、各大航空公司、各大醫院、ETC、高鐵等服務導向之大型公司,皆可參酌透明度報告及透明揭露隱私權政策方式,讓隱私權政策更為開放、透明。尤其是未來致力於提供IoT大規模服務之廠商,應及早將隱私權政策融入服務設計中,以取信於民眾,讓大規模之服務成為可行。
科技外商公司應更重視台灣用戶隱私權保護
外商公司之隱私權政策,適用範圍皆以該國適用法律為主,甚至聯繫單位窗口都是該國住址及聯絡方式,且諸多隱私權政策仍以美國、歐盟法律為主。如Google歐盟條款中接受一般人申請移除搜尋清單之作法,仍尚未適用於台灣,科技外商公司仍有部分隱私權政策,在落地符合遵循台灣相關法律部份仍可再努力。
結語:盡力消弭用戶與業者資訊控制能力的不對稱
一般用戶與網路服務公司之資訊控制能力是非常不對稱的,有人從網路服務公司對用戶個人資料之隱私予以欲求,用戶已毫無招架的情勢,斷言「隱私已死」,可是也不用如此悲觀,美國學者最近也開始重新思考過去隱私權保護與合法利用之分際,甚而提出隱私權可能須朝「多一點開放、多一點透明及少一點隱私」(More Openness, More Transparency, and Less Privacy)方向發展,也期待更多的自我規範或監督機制出現。
誠如本文所提,企業在內部建立隱私權(個資)管理制度,對外在隱私權政策及相關服務條款之透明度治理方面,包括取得第三方驗證及標章、積極參與如AccessNow之企業透明度報告等,讓企業可以建構一個更開放、更透明的企業隱私政策環境。