莊薇馨律師[1]
持續為電商及科技巨頭賺取高額盈餘的商業模式
早在網路興起之際,商人們便已開始將蒐集到的使用者數據用於商業分析,想必每個人在打開網頁瀏覽器時都曾有相似經驗,你的瀏覽器不但會記錄你過去曾經造訪的網站、曾經搜尋過的關鍵字、各個網站的帳號密碼,就連推播的廣告頁面都正好符合你近期內心正想關注的商品或服務,在社群網路崛起後,人們的日常生活更加無法脫離網際網路,為此也創造了更大量、更多元的數據資料,數據資料之種類尚且擴及人與人間互動數據、生活軌跡等。
著眼於大數據可能帶來的潛在龐大商業價值,常見的商業獲利模式之一[2]即是業者以提供各項免費服務予使用者之方式,藉此向服務使用者蒐集其相關數據,並將蒐集到的資訊加以分析、利用,以提供各個廣告業主更多元、精準的廣告曝光方案以賺取營收。業者為招募更多的廣告業主,更是想方設法獲取更多使用者資訊[3],甚至,多數業者尚會進一步將蒐集到的使用者資訊與其跨國關係企業或合作之第三方企業互相分享,以更加優化其各自的商業分析結果。
個人資訊隱私權益日益被重視,業者恐難再以傳統制式地定型化隱私政策搪塞
隨著網際網路的發達,在大數據時代下,數據資料來源越來越多,資料量也較以往倍增,更加凸顯個人之資料安全及隱私權益保障之風險及問題,對此,各國政府逐步提高個人資料保護的水準,舉例而言,歐盟在2018年即端出史上最嚴個人資料保護法(General Data Protection Regulation,下稱GDPR),在個人資料相關法令祭出嚴厲之處罰後,對現行已保有大量個人資料之機構而言,無疑提升了該等機構保有個人資訊之法律風險[4]。過去,業者多係透過與使用者簽署定型化隱私權政策條款之方式,要求使用者包裹式地接受並同意業者單方面提出之隱私權政策條款,藉此「合法」取得任意蒐集、處理及利用使用者個人資料之權利。
惟觀察近期幾大科技巨頭為各國個主管機關裁罰之案例,亦多與這份業者自以為合法地「隱私權政策」相關,尤其針對隱私權政策中常見地概括性同意條款,即「我同意以上述描述的方式,以及在隱私政策條例解釋的規則,來使用我的用戶資料」,已受數個政府主管機關[5]認定這樣廣泛獲取同意的條款,已違反當地個人資料保護法令,欠缺同意之有效性。而這也正與我國大法官釋字第603號解釋文所闡述隱私權保障之內涵及立場不謀而合,本號解釋解釋文中,率先肯認個人資料之自主控制受憲法第22條所保障,並進一步闡述,所謂個人自主控制個人資料之資訊隱私權,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。
除個人資料保護相關法令之議題外,另應注意者係,倘電商或社群網站等業者在一地擁有高度之用戶覆蓋率,該業者蒐集、處理、利用個人資料以鞏固其商業模式之行為尚且可能引發競爭法濫用獨占地位等問題[6],進一步可能致該企業賴以生存之商業模式因違法而難以繼續運行。
台灣法規環境及相關主管機關近期態度
台灣法下,有關個人資料保護之主要法源為個人資料保護法,其中規定事業僅得於契約目的範圍內蒐集、處理及利用個人資料,針對目的範圍外之利用除法律特別規定外均應取得個資主體之同意,且蒐集個人資料時,事業亦應明確告知個資主體個人資料利用之期間、地區、對象及方式[7],倘業者違反前述規定,將可能遭處行政罰鍰。雖我國個人資料保護法之處罰力度未若GDPR,惟考量使用者之個人資訊自主權屬憲法保障之隱私權範疇,倘受到侵害(或受有侵害之虞)時,使用者亦可能援引民法相關規定,請求法院要求業者除去特定侵害使用者資訊自主權之條款[8],倘該定型化條款有顯然不利於使用者之情形,法院亦可能認定該條款存在顯失公平之情形而無效,並請求損害賠償,對企業而言其風險猶在。
再者,針對電商及科技巨頭,台灣公平交易委員會(下稱「公平會」)亦表示已展開數位經濟研究,將釐清這些數位大咖是否藉其優勢地位壟斷市場;據新聞報導顯示,公平會曾對外透漏,雖這些數位科技巨擘係強調免費服務,但倘使得用戶無法控制自己的個人資料如何被使用,即屬與用戶簽訂不公平的契約條款,且這些數位資料極具經濟價值,相關業者倘再基於其市場優勢地位,綁住更多的用戶、主宰數位廣告市場,將構成濫用市場優勢地位之行為[9]。
針對事業濫用市場地位之行為,台灣現行公平交易法第9條第1項4款規定訂有一概括性禁止條款,故台灣公平會未來是否會依此針對在台擁有高度之用戶覆蓋率之電商或社群網站等祭出調查並做出進一步行動,值得我們持續觀察。
「取得概括同意式」的隱私權政策之合法性已顯有疑慮,業者有必要以「是否已賦予用戶充分地個人自主控制個人資料之資訊隱私權」為主軸重新檢視其現行之隱私權政策
大數據潛在之龐大商業價值已為愈來愈多人所認識,因而民眾對自身個資權益保護之意識亦逐漸抬頭,各國主管機關對企業蒐集個人資料之要求及監管亦愈來愈嚴厲,相關業者應有必要重新審視其隱私權政策。
參酌前述所舉業者之隱私權政策經認定屬違法之案例中,主要原因均不外乎是因為業者在提供服務時要求其用戶概括式地同意其訂定之定型化隱私權政策條款,且用戶在同意相關條款後,將無法有效自主地掌控業者處理其個人資料之內容及範圍,顯然過去企業透過隱私權政策條款「形式地取得當事人概括同意」尚不足以體現用戶之「個人自主控制個人資料之資訊隱私權」已受到保障。
故建議未來業者應以「是否已賦予用戶充分地個人自主控制個人資料之資訊隱私權」為主軸重新審視其隱私權政策,舉例而言,業者未來蒐集、處理、利用用戶之個人資料範圍宜進行適當限縮並與所提供之服務間存在必要關聯、提供用戶在概括同意與不同意其隱私權政策以外之其他選擇、使用戶得依據所需之服務類型自行決定應揭露個人資料之多寡、業者倘將不利用戶隱私之選項設定為預設值宜清楚揭露變更設定之方式、業者宜清楚揭露廣告商使用的數據資訊內容並給予用戶選擇不提供之權利、業者宜清楚揭露用戶資訊刪除之路徑等等,以有效降低業者於爭議發生時為法院認定隱私權政策存在顯失公平致侵權之不利風險。
—————————————–
[1] 作者為理慈國際科技法律事務所執業律師,惟本文內容為個人意見,不代表事務所立場。
[2] 在物聯網時代下,數據來源更加龐大及多元,其數據分析及應用之方式也更多樣,應用領域也更多元,銀行業、保險業、農業、電信業等各行各業應用大數據分析於其商業模式中之案例俯拾即是。
[3] 常見被業者蒐集的使用者數據內容包含裝置類型、作業系統類型、IP位址、瀏覽器資訊,其中包括類型和語言設定、裝置識別碼、Cookie資料、廣告識別碼或行動應用程式識別碼、聊天室資訊、與官方帳號對話、用戶之間對話(使用過的貼圖、表情貼) 、免費通話內資訊(特殊效果和濾鏡的資訊,以及撥話方、接話方、通話時間、日期和持續時間等資訊) 、貼文串資訊 (貼文公開的時間和日期、在評論欄內使用的貼圖、貼文內容的資料格式、貼文內容的瀏覽時間以及點閱次數) 、有關使用個人功能的資訊、有關瀏覽網站的資訊等。
[4]Gartner Predicts for the Future of Privacy 2019 https://www.gartner.com/smarterwithgartner/gartner-predicts-2019-for-the-future-of-privacy/
[5] The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
[6] German antitrust authority prohibits Facebook from combining users’ personal data https://www.dataprotectionreport.com/2019/02/german-antitrust-authority-prohibits-facebook-combining-users-personal-data/
[7] 法律字第10603509640號函。
[8] 最高法院107年度台抗字第495號裁定意旨參照。
[9] 鎖定臉書、谷歌 公平會查數位壟斷https://news.ltn.com.tw/news/focus/paper/1264548