當個人資料「殘留」在虛擬空間,會有甚麼風險?

當個人資料「殘留」在虛擬空間,會有甚麼風險?
Photo Credit:AP/達志影像
我們想讓你知道的是

歐盟的《一般資料保護規範》賦予了民眾「可攜權」、「被遺忘權」與「反對權」,讓個人資料及私隱保護邁向前所未有的重要里程碑,也促成當事人在使用個資時更隱密、彈性、平等。

唸給你聽
powered by Cyberon

文:詹孟倫(台灣經濟研究院台灣歐洲研究中心助理研究員)

根據美國網路媒體TechCrunch於2019年1月29日報導,Facebook利用一款名為「Facebook Research」的VPN,獲取安裝者的個人資訊,該應用程式主要鎖定13歲以上的千禧世代與Z世代,以給付安裝者小額款項的方式,獲取其各社交平台上的私人訊息、電子信件、聯絡人資訊、平日瀏覽之議題與習慣等等手機活動。看似合乎常規的企業活動,因違反蘋果App Store的用戶私隱政策而遭強制下架。

而Facebook長期忽略使用者權益的經營方式,不妥當的使用、散發用戶個資資料庫給合作夥伴而引發的蝴蝶效應,經此新聞報導後,使得Facebook原本已受損的企業形象更是雪上加霜,而也帶給用戶們另一響警示鐘:在大數據時代,保障個人資料私隱刻不容緩。

買私隱,換湯不換藥的商業手段

Facebook也公開證實該計畫確實存在,但聲稱符合蘋果的用戶私隱政策。由於「Facebook Research」程式碼與日前因違反App Store用戶私隱政策而下架的Onavo Protect相似度極高,且據傳為同一開發團隊在Onavo勒令下架後,以巧妙的包裝方式,規避蘋果的規範,繼續蒐集iPhone使用戶的數據。然而,針對這一爭議問題,Facebook官方則是以避重就輕的方式回應,並在蘋果撤除企業開發者資格後宣布,該VPN應用早已關閉iOS版本。

雖目前未有參與該計畫的用戶,提出私隱受損的申訴,加上可獲得每月約20美元的誘因,對青少年來說,這項計畫毫無疑問地是個肥美的誘餌——勾引青少年,在保障自我私隱的意識與知識不完全下,交出最寶貴的個人資料,冒著被Facebook監控的高度風險。

門戶大開的數碼安全機制,Facebook從萬人追捧到相繼抵制

以漣漪式的群己關係,整合「弱繫」與「強繫」的經營策略,讓Facebook在網路社群中殺出重圍,不但成功取代其他性質相符的業者,更成為擁有全球最多使用者的社群平台。然而,大量累積「人」的資訊,使得Facebook擁有巨量的使用者個資,為鞏固地位與拓展業務,Facebook在合作夥伴為「自己的延伸」的概念下,允許合作夥伴讀取Facebook用戶的個人資料。

2018年爆發的「劍橋分析」(Cambridge Analytica)案上,不難看到,Facebook在合作夥伴濫用自家用戶個資的事件處理態度,顯得消極且漠視使用者權益。從一開始的選擇隱瞞個資已遭不當應用的事實,到祖克柏(Mark Zuckerberg)出席聽證會時,針對敏感議題的閃爍其詞,加上Facebook用戶帳號遭駭客竊用的事件層出不窮,讓Facebook惡名遠播,種種的出包彰顯Facebook將使用者權益漠然置之,使「#DeleteFacebook」這項抵制活動在歐美間的社交平台蔚然成形。

越是便利的資訊時代,個資越易殘留虛擬空間,Facebook並非單一個案

社群平台儼然成為現代人聯繫情感與獲取訊息的最佳管道,許多企業、組織更是仰賴社群媒體進行商業/非商業行為,在這股風潮下,作為使用者的我們,肯定遺留個人「軌跡」在各個網路平台上。網路巨擘們在面對數碼安全上,也有自己一套的止血方法。

相信許多台灣的Google用戶陸續收到Google寄出的公告信,宣布於2019年4月前全面停止旗下Google+的所有服務。背後的主因除了使用率始終低迷外,還有先前報出的近50萬用戶個資外洩事件,讓Google正視數碼安全的重要性。無獨有偶,世界各地也紛紛傳出用戶資料外洩或遭受駭客竊取的消息,從國際企業到我國公部門、學校、醫院等等,再再顯現於司法與教育兩個層面上,用戶自身與政府機關,還需要多加努力。

歐盟可望透過GDPR,樹立個資保護的典範

民眾普遍對個人資料外洩事件反應冷漠,認為還可容忍甚至忽略私隱外洩的陷阱,直到在「劍橋分析」左右美國總統大選,甚至爆出介入英國脫歐公投後,全球各地的使用者對於個資影響國際局勢才感到驚訝及嚴重性。這使得歐美的使用者們對保障私隱的意識逐漸抬頭。特別是雲端科技日漸純熟所帶動的大數據庫世代,智慧城市、人工智能、物連應用相繼成為我們生活中的協作夥伴,若無完善的規管機構監督,個資洩漏、轉售或竊取等事件恐怕層出不窮。

歐盟於2018年5月正式上路的《一般資料保護規範》(General Data Protection Regulation,簡稱GDPR),以加重「企業責任」、強化「使用者人權」為核心理念,賦予權力給最直接面對威脅的第一線消費者,驚人的罰款金額「提醒」業主,防範個資外洩的重要性,展現出歐盟在大數據庫時代,捍衛人權的決心。而該法也因科技的發達與全球貿易頻繁往來,使其覆蓋率從歐盟區域拉至全球各地。只要業主在歐盟會員國有營運據點,或僱用、提供產品及服務給歐盟會員國公民,皆在GDPR的管轄範疇。

Depositphotos_87112824_xl-20152
Photo Credit: Depositphotos
GDPR突顯台灣個資法的致命漏洞

我國的個資法雖架構完整,但相較於GDPR,顯得執行力道孱弱且專業度不足。其主要原因為:

缺乏專責機關監管

目前在台灣,是由各地主管機關來辦理個資保護的相關條款,這會產生解釋、執行法律時的不一致性,導致專業度受到質疑。

GDPR的規範措施中,要求各會員國成立一個獨立的監管機構,目的在維持法規的一致性並監督GDPR是否實施。這可使GDPR不受任何內、外部因素影響,維持中立性,且可避免發生不同主管機關辦理時,出現的詮釋法規、審判實務等落差。

跨境傳輸的定義不同

在科技社會中,民眾與企業使用數碼平台進行金錢與貿易往來的比率日趨平凡。個資在不同國家間流通已是稀鬆平常之事。舉例來說,消費者透過網路,註冊他國線上購物會員並進行消費,那麼,消費者的資料就涉及個資的跨境傳輸,此一行為將促使個資被有心人士蒐集、竊取的機率增高,用戶的私隱猶如沙漠中的一株仙人掌,地理位置、形狀樣貌等表徵,徹底的暴露,無處躲藏。

台灣與歐盟對於跨境傳輸的界定有著很明顯的不同,前者是「原則允許、例外禁止」;後者是「原則禁止、例外允許」。也就是說,在台灣的規範下,原則上是允許跨境業者蒐集、應用使用者的敏感資料,這跟歐盟的GDPR是完全相反。

GDPR之所以被譽為史上最嚴苛的個資保護法,其中一個原因就是在跨境傳輸上,原則上是禁止業者紀錄並蒐集跨境的個資資料,這不僅包含性別、年齡、IP紀錄、消費軌跡等所謂的一般個資,還包含特種個資,例如種族、宗教信仰、政治傾向與性取向等等。除非個資當事人同意或是該企業之所在國家已取得適足性認定(Adequacy Decision)等,所謂的「例外允許」規範,方可蒐集使用者個人資料。

加強使用者對自我個資的使用權利

有別於台灣與其他國家的個資保護法,GDPR賦予了當事人「可攜權」(Right to data portability)、「被遺忘權」(Right to forgotten)與「反對權」(Right to object)這三個權力,讓個資私隱保護邁向前所未有的重要里程碑,也促成當事人在使用個資時更隱密、彈性、平等。

個資保護需要法規與提升群眾意識相輔相成

台灣民眾對於私隱保護意識較為薄弱,在能獲取便利的誘因驅使下,認為給予個人資料無傷大雅。對於該項權利的反應僅僅在洩漏事件發生時才做出抨擊或回應。個資的重要性因知識不夠普及而顯得虛無飄渺且事不關己,但因資料外洩而影響生活的新形態「獵巫行動」,其實是日日上演。例如使用搜尋引擎或社群平台搜索他人資料的起底行為,或是因過往少不更事的不當言論、不雅照片等導致的工作機會消失。這些看似第三者侵犯私隱的行為,是可以在GDPR立定的「被遺忘權」下被避免的。

我國的個資法並無「可攜權」、「被遺忘權」與「反對權」這三項至關重要的權利,在個資如同數據石油的數碼時代,對應的保護措施值得拉至更高層級來探討與擬定。鄰近國家如日本、韓國,早在2017年開始與歐盟進行討論,如何取得GDPR的適足性認可。這不僅是可促進雙邊經貿往來之便利,降低台灣企業面對GDPR法規時的衝擊,還可提供雙方人員往來之便利,給予民眾更加隱密的網路使用空間,賦予用戶對個資的使用權利。

若我國可獲取GDPR的適足性認可,我們才有機會在數碼時代中,增加與各經濟體協作交流之可能性,建立我國重視個資私隱的信念,強化國情的民主性。然而,要降低個資竊取、利用等事件,除了法令的輔助,還需要透過群眾再教育的方式,加強宣導保障個人私隱的意識,從自身素養出發,才可以達到「自由」不受監控的數碼科技使用權。

相關文章︰

責任編輯:羅元祺
核稿編輯:翁世航