當個人資料「殘留」在虛擬空間，會有甚麼風險？

文：詹孟倫（台灣經濟研究院台灣歐洲研究中心助理研究員）

根據美國網路媒體TechCrunch於2019年1月29日報導，Facebook利用一款名為「Facebook Research」的VPN，獲取安裝者的個人資訊，該應用程式主要鎖定13歲以上的千禧世代與Z世代，以給付安裝者小額款項的方式，獲取其各社交平台上的私人訊息、電子信件、聯絡人資訊、平日瀏覽之議題與習慣等等手機活動。看似合乎常規的企業活動，因違反蘋果App Store的用戶私隱政策而遭強制下架。

而Facebook長期忽略使用者權益的經營方式，不妥當的使用、散發用戶個資資料庫給合作夥伴而引發的蝴蝶效應，經此新聞報導後，使得Facebook原本已受損的企業形象更是雪上加霜，而也帶給用戶們另一響警示鐘：在大數據時代，保障個人資料私隱刻不容緩。

買私隱，換湯不換藥的商業手段

Facebook也公開證實該計畫確實存在，但聲稱符合蘋果的用戶私隱政策。由於「Facebook Research」程式碼與日前因違反App Store用戶私隱政策而下架的Onavo Protect相似度極高，且據傳為同一開發團隊在Onavo勒令下架後，以巧妙的包裝方式，規避蘋果的規範，繼續蒐集iPhone使用戶的數據。然而，針對這一爭議問題，Facebook官方則是以避重就輕的方式回應，並在蘋果撤除企業開發者資格後宣布，該VPN應用早已關閉iOS版本。

雖目前未有參與該計畫的用戶，提出私隱受損的申訴，加上可獲得每月約20美元的誘因，對青少年來說，這項計畫毫無疑問地是個肥美的誘餌——勾引青少年，在保障自我私隱的意識與知識不完全下，交出最寶貴的個人資料，冒著被Facebook監控的高度風險。

門戶大開的數碼安全機制，Facebook從萬人追捧到相繼抵制

以漣漪式的群己關係，整合「弱繫」與「強繫」的經營策略，讓Facebook在網路社群中殺出重圍，不但成功取代其他性質相符的業者，更成為擁有全球最多使用者的社群平台。然而，大量累積「人」的資訊，使得Facebook擁有巨量的使用者個資，為鞏固地位與拓展業務，Facebook在合作夥伴為「自己的延伸」的概念下，允許合作夥伴讀取Facebook用戶的個人資料。

2018年爆發的「劍橋分析」（Cambridge Analytica）案上，不難看到，Facebook在合作夥伴濫用自家用戶個資的事件處理態度，顯得消極且漠視使用者權益。從一開始的選擇隱瞞個資已遭不當應用的事實，到祖克柏（Mark Zuckerberg）出席聽證會時，針對敏感議題的閃爍其詞，加上Facebook用戶帳號遭駭客竊用的事件層出不窮，讓Facebook惡名遠播，種種的出包彰顯Facebook將使用者權益漠然置之，使「#DeleteFacebook」這項抵制活動在歐美間的社交平台蔚然成形。

越是便利的資訊時代，個資越易殘留虛擬空間，Facebook並非單一個案

社群平台儼然成為現代人聯繫情感與獲取訊息的最佳管道，許多企業、組織更是仰賴社群媒體進行商業／非商業行為，在這股風潮下，作為使用者的我們，肯定遺留個人「軌跡」在各個網路平台上。網路巨擘們在面對數碼安全上，也有自己一套的止血方法。

相信許多台灣的Google用戶陸續收到Google寄出的公告信，宣布於2019年4月前全面停止旗下Google+的所有服務。背後的主因除了使用率始終低迷外，還有先前報出的近50萬用戶個資外洩事件，讓Google正視數碼安全的重要性。無獨有偶，世界各地也紛紛傳出用戶資料外洩或遭受駭客竊取的消息，從國際企業到我國公部門、學校、醫院等等，再再顯現於司法與教育兩個層面上，用戶自身與政府機關，還需要多加努力。

歐盟可望透過GDPR，樹立個資保護的典範

民眾普遍對個人資料外洩事件反應冷漠，認為還可容忍甚至忽略私隱外洩的陷阱，直到在「劍橋分析」左右美國總統大選，甚至爆出介入英國脫歐公投後，全球各地的使用者對於個資影響國際局勢才感到驚訝及嚴重性。這使得歐美的使用者們對保障私隱的意識逐漸抬頭。特別是雲端科技日漸純熟所帶動的大數據庫世代，智慧城市、人工智能、物連應用相繼成為我們生活中的協作夥伴，若無完善的規管機構監督，個資洩漏、轉售或竊取等事件恐怕層出不窮。

歐盟於2018年5月正式上路的《一般資料保護規範》（General Data Protection Regulation，簡稱GDPR），以加重「企業責任」、強化「使用者人權」為核心理念，賦予權力給最直接面對威脅的第一線消費者，驚人的罰款金額「提醒」業主，防範個資外洩的重要性，展現出歐盟在大數據庫時代，捍衛人權的決心。而該法也因科技的發達與全球貿易頻繁往來，使其覆蓋率從歐盟區域拉至全球各地。只要業主在歐盟會員國有營運據點，或僱用、提供產品及服務給歐盟會員國公民，皆在GDPR的管轄範疇。

Photo Credit: Depositphotos

GDPR突顯台灣個資法的致命漏洞

我國的個資法雖架構完整，但相較於GDPR，顯得執行力道孱弱且專業度不足。其主要原因為：

缺乏專責機關監管

目前在台灣，是由各地主管機關來辦理個資保護的相關條款，這會產生解釋、執行法律時的不一致性，導致專業度受到質疑。

GDPR的規範措施中，要求各會員國成立一個獨立的監管機構，目的在維持法規的一致性並監督GDPR是否實施。這可使GDPR不受任何內、外部因素影響，維持中立性，且可避免發生不同主管機關辦理時，出現的詮釋法規、審判實務等落差。