庄薇馨律师[1]
持续为电商及科技巨头赚取高额盈余的商业模式
早在网络兴起之际,商人们便已开始将搜集到的用户数据用于商业分析,想必每个人在打开网页浏览器时都曾有相似经验,你的浏览器不但会记录你过去曾经造访的网站、曾经搜寻过的关键词、各个网站的账号密码,就连推播的广告页面都正好符合你近期内心正想关注的商品或服务,在社群网络崛起后,人们的日常生活更加无法脱离因特网,为此也创造了更大量、更多元的数据数据,数据数据之种类尚且扩及人与人间互动数据、生活轨迹等。
着眼于大数据可能带来的潜在庞大商业价值,常见的商业获利模式之一[2]即是业者以提供各项免费服务予使用者之方式,藉此向服务用户搜集其相关数据,并将搜集到的信息加以分析、利用,以提供各个广告业主更多元、精准的广告曝光方案以赚取营收。业者为招募更多的广告业主,更是想方设法获取更多用户信息[3],甚至,多数业者尚会进一步将搜集到的用户信息与其跨国关系企业或合作之第三方企业互相分享,以更加优化其各自的商业分析结果。
个人信息隐私权益日益被重视,业者恐难再以传统制式地定型化隐私政策搪塞
随着因特网的发达,在大数据时代下,数据数据源越来越多,资料量也较以往倍增,更加凸显个人之资料安全及隐私权益保障之风险及问题,对此,各国政府逐步提高个人资料保护的水平,举例而言,欧盟在2018年即端出史上最严个人资料保护法(General Data Protection Regulation,下称GDPR),在个人资料相关法令祭出严厉之处罚后,对现行已保有大量个人资料之机构而言,无疑提升了该等机构保有个人信息之法律风险[4]。过去,业者多系透过与使用者签署定型化隐私权政策条款之方式,要求使用者包裹式地接受并同意业者单方面提出之隐私权政策条款,藉此「合法」取得任意搜集、处理及利用使用者个人资料之权利。
惟观察近期几大科技巨头为各国个主管机关裁罚之案例,亦多与这份业者自以为合法地「隐私权政策」相关,尤其针对隐私权政策中常见地概括性同意条款,即「我同意以上述描述的方式,以及在隐私政策条例解释的规则,来使用我的用户数据」,已受数个政府主管机关[5]认定这样广泛获取同意的条款,已违反当地个人资料保护法令,欠缺同意之有效性。而这也正与我国大法官释字第603号解释文所阐述隐私权保障之内涵及立场不谋而合,本号解释解释文中,率先肯认个人资料之自主控制受宪法第22条所保障,并进一步阐述,所谓个人自主控制个人资料之信息隐私权,乃保障人民决定是否揭露其个人资料、及在何种范围内、于何时、以何种方式、向何人揭露之决定权,并保障人民对其个人资料之使用有知悉与控制权及数据记载错误之更正权。
除个人资料保护相关法令之议题外,另应注意者系,倘电商或社群网站等业者在一地拥有高度之用户覆盖率,该业者搜集、处理、利用个人资料以巩固其商业模式之行为尚且可能引发竞争法滥用独占地位等问题[6],进一步可能致该企业赖以生存之商业模式因违法而难以继续运行。
台湾法规环境及相关主管机关近期态度
台湾法下,有关个人资料保护之主要法源为个人资料保护法,其中规定事业仅得于契约目的范围内搜集、处理及利用个人资料,针对目的范围外之利用除法律特别规定外均应取得个资主体之同意,且搜集个人资料时,事业亦应明确告知个资主体个人资料利用之期间、地区、对象及方式[7],倘业者违反前述规定,将可能遭处行政罚款。虽我国个人资料保护法之处罚力度未若GDPR,惟考虑用户之个人信息自主权属宪法保障之隐私权范畴,倘受到侵害(或受有侵害之虞)时,使用者亦可能援引民法相关规定,请求法院要求业者除去特定侵害用户信息自主权之条款[8],倘该定型化条款有显然不利于使用者之情形,法院亦可能认定该条款存在显失公平之情形而无效,并请求损害赔偿,对企业而言其风险犹在。
再者,针对电商及科技巨头,台湾公平交易委员会(下称「公平会」)亦表示已展开数字经济研究,将厘清这些数字大咖是否藉其优势地位垄断市场;据新闻报导显示,公平会曾对外透漏,虽这些数字科技巨擘系强调免费服务,但倘使得用户无法控制自己的个人资料如何被使用,即属与用户签订不公平的契约条款,且这些数字数据极具经济价值,相关业者倘再基于其市场优势地位,绑住更多的用户、主宰数字广告市场,将构成滥用市场优势地位之行为[9]。
针对事业滥用市场地位之行为,台湾现行公平交易法第9条第1项4款规定订有一概括性禁止条款,故台湾公平会未来是否会依此针对在台拥有高度之用户覆盖率之电商或社群网站等祭出调查并做出进一步行动,值得我们持续观察。
「取得概括同意式」的隐私权政策之合法性已显有疑虑,业者有必要以「是否已赋予用户充分地个人自主控制个人资料之信息隐私权」为主轴重新检视其现行之隐私权政策
大数据潜在之庞大商业价值已为愈来愈多人所认识,因而民众对自身个资权益保护之意识亦逐渐抬头,各国主管机关对企业搜集个人资料之要求及监管亦愈来愈严厉,相关业者应有必要重新审视其隐私权政策。
参酌前述所举业者之隐私权政策经认定属违法之案例中,主要原因均不外乎是因为业者在提供服务时要求其用户概括式地同意其订定之定型化隐私权政策条款,且用户在同意相关条款后,将无法有效自主地掌控业者处理其个人资料之内容及范围,显然过去企业透过隐私权政策条款「形式地取得当事人概括同意」尚不足以体现用户之「个人自主控制个人资料之信息隐私权」已受到保障。
故建议未来业者应以「是否已赋予用户充分地个人自主控制个人资料之信息隐私权」为主轴重新审视其隐私权政策,举例而言,业者未来搜集、处理、利用用户之个人资料范围宜进行适当限缩并与所提供之服务间存在必要关联、提供用户在概括同意与不同意其隐私权政策以外之其他选择、使用户得依据所需之服务类型自行决定应揭露个人资料之多寡、业者倘将不利用户隐私之选项设定为默认值宜清楚揭露变更设定之方式、业者宜清楚揭露广告商使用的数据信息内容并给予用户选择不提供之权利、业者宜清楚揭露用户信息删除之路径等等,以有效降低业者于争议发生时为法院认定隐私权政策存在显失公平致侵权之不利风险。
—————————————–
[1] 作者为理慈国际科技法律事务所执业律师,惟本文内容为个人意见,不代表事务所立场。
[2] 在物联网时代下,数据来源更加庞大及多元,其数据分析及应用之方式也更多样,应用领域也更多元,银行业、保险业、农业、电信业等各行各业应用大数据分析于其商业模式中之案例俯拾即是。
[3] 常见被业者搜集的用户数据内容包含装置类型、操作系统类型、IP地址、浏览器信息,其中包括类型和语言设定、装置标识符、Cookie数据、广告标识符或行动应用程序标识符、聊天室信息、与官方账号对话、用户之间对话(使用过的贴图、表情贴) 、免费通话内信息(特殊效果和滤镜的信息,以及拨话方、接话方、通话时间、日期和持续时间等信息) 、贴文串信息 (贴文公开的时间和日期、在评论栏内使用的贴图、贴文内容的数据格式、贴文内容的浏览时间以及点阅次数) 、有关使用个人功能的信息、有关浏览网站的信息等。
[4]Gartner Predicts for the Future of Privacy 2019 https://www.gartner.com/smarterwithgartner/gartner-predicts-2019-for-the-future-of-privacy/
[5] The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
[6] German antitrust authority prohibits Facebook from combining users’ personal data https://www.dataprotectionreport.com/2019/02/german-antitrust-authority-prohibits-facebook-combining-users-personal-data/
[7] 法律字第10603509640号函。
[8] 最高法院107年度台抗字第495号裁定意旨参照。
[9] 锁定脸书、谷歌 公平会查数位垄断https://news.ltn.com.tw/news/focus/paper/1264548