社群媒體個資濫用事件所敲響的警鐘 – 台灣聽見了嗎?
2018-04-19
社群媒體的創辦人及遭指控違法濫用使用者個資的英國策略顧問機構,雙雙否認有違法的情事。究竟這次事件除了造成使用者(特別是美國鄉民)產生「被騙了」的感覺之外,在法律上的意義為何?本文特別從台灣現行法制的角度,來反省台灣個人資料保護上的漏洞。
蔡朝安 主持律師 / 張馨云 副總經理 / 鄭鈺璇 律師
近來被揭露某社群媒體其平台之應用程式開發者,將蒐集來的個人資料用於影響美國選民的投票行為,引起廣大的爭議。該社群媒體不僅面臨了股東的集體訴訟、鄉民的批評抵制,以及來自各國主管機關(包含美國聯邦貿易委員會(FTC)、歐盟第29條工作小組(Article 29 working party)以及澳洲隱私委員會等)的調查及裁罰等,最切身的震撼的莫過於其股價在2天內掉了9.5%、市值瞬間蒸發500億美元的衝擊[1]。
此社群媒體的創辦人及遭指控違法濫用使用者個資的英國策略顧問機構,雙雙否認有違法的情事。究竟這次事件除了造成使用者(特別是美國鄉民)產生「被騙了」的感覺之外,在法律上的意義為何?本文特別從台灣現行法制的角度,來反省台灣個人資料保護上的漏洞。
個資爭議始末
簡單來說,英國劍橋大學一位心理學教授透過其所設立的商業組織,在 上述社群媒體平台開發一組心理測驗程式,要求受試者授權其存取受試者本身以及其朋友的在該平台上的個人資料,並於2014年將該等資料賣給由美國保守派人士大量資金贊助的數據分析公司[2],該數據分析公司則將該資料用於分析美國選民對政治議題的傾向,再針對不同傾向選民在上述社群媒體推播廣告,藉此影響選民的投票行為。雖然該教授的受試者只有大約27萬人,但加上受試者在該社群媒體上朋友的數量,其所掌握的美國人在該社群媒體上的個資,多達5000萬人。問題是,這些27萬人並沒有授權,也沒有權將朋友的個資授權給他人,作政治目的的蒐集、處理及使用。
[2] Everything you need to know about the Cambridge Analytica-Facebook debacle, Philip Bump, The Washington Post, March 19 2018
若發生在台灣,這個社群媒體可能全身而退
該社群媒體將濫用個資的法律責任推到上述教授跟分析公司身上,但聲稱作為服務提供者,其有義務調查事情始末,並保證相同事件不再發生。這套說詞對各國主管機關來說是否行的通,在此不予評論。然若同樣事件發生在台灣,這個社群媒體還真的可能只有「道義責任」而已。
首先,以台灣個資法來說,規範的對象為蒐集、處理或利用個人資料的公務或非公務機關。然而這個社群媒體僅是個供他人(應用程式開發商)蒐集、處理或利用個資的平台(工具)。就工具本身,或提供工具的人而言,不會是行為歸責的對象(就跟不會判決殺人的刀子或單純賣刀子的雜貨店老闆有罪一樣)。所以若同樣的事情發生在台灣,台灣個資法對這社群媒體莫可奈何,台灣鄉民必須跨海找那教授或分析公司算帳。
再來,這個社群媒體的使用者是否能依照消費者保護法,主張它的服務「不安全」?答案很不幸的是,不行。暫時先撇開「隱私的安全」究竟是否屬於消費者保護法範疇的問題不談, 社群媒體的使用者是否為「消費者」,就已經有疑慮,因為社群媒體提供給一般社會大眾的服務本身是無償的。換句話說,社群媒體的使用者既然不是「消費者」,就無法主張消費者保護法。此外,在法律體系的適用上,消費者保護法課予企業經營者的無過失責任,不會也不應該拿來對付無償提供服務的人。
最後,受試者(及其朋友)可能主張該社群媒體違反服務合約,在未經本人授權的情形下,任由他人存取個資。但問題在於,主張違反合約的人,在法庭上必須負擔舉證責任,除了要證明當時社群媒體違反哪一條服務條款之外,還要證明社群媒體的行為造成鄉民的損害。前者因屬於證據偏在的情形,律師可以讓法院對社群媒體請求提出特定資料,問題還不大;但後者就尷尬了,對於個人資料被拿來針對特定選民下廣告,是否如何造成選民投票給特定候選人,因果關係已經卡住,加上還要證明當初誰投票給特定候選人,以及因為投票的行為造成選民的損害等等…。這些大概只有「與神同行」的時候,透過業障鏡才有辦法知道了。
借鏡歐盟GDPR
如果台灣的法律保護不周,那國外呢?
本文簡單從下個月25日就要上路的歐盟個人資料保護法(General Data Protection Regulation)來檢視,在GDPR新規定下,受規範的主體分為「控制者」(controller)與「處理者」(processor),前者的定義包括自行決定處理個人資料的目的及手段的法人或其他組織。在該定義下,即便不是自己直接蒐集、處理、利用個資的社群媒體,也會落入GDPR的範疇,而必須建立適當的、科技化且有組織的措施來確保資料的安全性。另根據GDPR的規定,個人的政治意見屬於所謂「特種資料」(special categories),原則上除非該當於例外的情形(例如取得當事人的明示同意) ,否則是禁止處理的。本案中,這個社群媒體很明顯無法證明4973萬名的使用者將個資授權給第三方分析公司作政治目的的剖析與利用。而且該社群媒體雖然在 2015年就已經知道這分析公司把從其平台上拿到的個人資料用於政治用途,但卻只有將該教授所開發的APP下架,以及請分析公司聲明已刪除從其平台上所蒐集到的個人資料,可能難以通過GDPR對於資料安全性的要求。只要建立這些事實,在GDPR下,該社群媒體將面臨歐盟最高2,000萬歐元,或前一年全球營業額4%的罰鍰,以較高者為準,無疑會是很痛的一張罰單,對其他業者應有十足的嚇阻效果。
台灣法制的檢討必要
如前述,現行的台灣法制對無償提供社會大眾網路服務的多數業者(無論國內外),是欠缺約束力的。當務之急,應先檢討將擁有龐大台灣人個資的網路平台服務提供者,納入個資法規範的主體,以及其應負擔的義務及相應的罰則。只有正面回應日益高漲的隱私期待,才能確實保護個人的資料財產不被竊取濫用。尤其在對公平選舉特別敏感的台灣,應針對未來可能發生的選舉爭議先防範於未然,否則若發生同樣的事件,但又找不到企業負責,可能導致的外部成本以及對民主的打擊,才是金錢難以衡量、且社會族群難以回復的損害。
