網站個資保護比較好的作法是透過簡單明瞭的階層化設計(Layered Design)以落實「告知後同意」的保護機制,避免用長篇艱澀文字及「我同意」按鈕就取巧帶過,採取讓會員選擇加入(opt-in)優於選擇離開(opt-out),逐項同意優於概括同意。
交友是人類社會生活的基本需求也是社交網站的主要功能,網站的會員越多,能交到的朋友越多,網站就越有價值越有人氣,能吸引更多人加入會員,產生正向的網路效應,已有十?億以上會員的臉書可為代表。社交網站為獲取信任,多會聲明對個資的保護,但也不能唬人。如果對個資保護不周,除了會違反個資法外,也可能構成詐欺違法。
個資是社交網站發展基石
社交網站的類型很多,其中有以約會戀愛為主的交友網站,如台灣的愛情公寓,國際知名的be2、Match等,甚至有標榜以偷情為主的Ashley Madison。Ashley Madison是全球最大的婚外情交友網站,卻於今年(2015)8月間發生駭客入侵事件,據傳有高達3千多萬筆的會員個資遭外洩,其中還有來自政府官員、學校教職員的個資。可以想見,瞞著配偶偷情的會員看到這則消息一定非常驚恐,除了害怕另一半知道外,也會擔心雇主發現其員工偷情,更憂心這些被外洩的個資遭有心人士利用作為恐嚇勒索或詐欺取財的工具,事實上確實有會員因此自殺,也有會員委託律師提起集體訴訟。
Ashley Madison於2013年在台灣開站,把「人生苦短,及時行樂」的成語當作商標,其網頁上標榜:「我們是已婚個人中隱秘外遇的最著名網站。已婚約會從來沒有這麼容易過」,並聲稱其已獲得可信用安全獎「100%保密」。然而駭客組織不僅成功突破安全網,甚至指控Ashley Madison是個騙局,大批的女性會員檔案根本就是假的,真實會員大多數為男性,也就是意圖外遇的丈夫在網站上偷情的對象其實是虛擬的雲端情人。對此指控,Ashley Madison雖加以駁斥,但此駭客事件已嚴重影響Ashley Madison的聲譽,也打亂其本來準備在倫敦IPO上市的布局。
網路效應與個資安全措施
社交網站從創辦到上市之路上,最擔心發生個資安全事件而影響原訂的上市計畫。臉書於2012年風光上市前曾遭美國聯邦貿易委員會(FTC)指控臉書欺騙會員,使其以為在臉書的資訊可保持隱私,卻仍有未經會員同意而公開分享的情事。所幸臉書與FTC經過協商而達成和解,使其上市計畫能順利進行。
FTC指控臉書涉嫌欺騙的行為諸如:臉書聲稱會員可透過隱私設定將會員資訊公開的對象限定在朋友或朋友的朋友,然而臉書平台上的第三方App仍可獲得該會員資訊;臉書原本提供會員的隱私設定可使其限制他人瀏覽其朋友名單與搜尋會員資訊等,然而在2009年12月更新的隱私政策雖標榜給會員更多的控制權,卻讓許多原本得隱密的資訊變成公開;臉書聲稱第三方App只可接觸到該App運作所需要的會員資訊,然而實際上卻連不必要的會員資訊也提供給第三方App;臉書違反承諾而將會員個資提供給廣告商等等。對於上開指控,臉書雖有辯解,但最後還是與FTC達成和解,該和解方案並不認定臉書確有構成詐欺違法情事,也未加以處罰,但臉書承諾於未來二十?年間將強化個資隱私保護措施,清楚告知會員權益並取得其同意,且不得對個資隱私安全保障有虛偽陳述,臉書另將每兩年接受獨立公正的第三方稽核上開措施之實際執行情形。
網路效應(Network Effect)是指參與者越多則效益越大的作用。社交網站為擴大會員規模促進網路效應而採取的資訊分享機制,主要有以下幾種模式:鼓勵會員提供關於其個人的更多資訊、鼓勵會員提供其朋友的資訊以及將蒐集之資訊提供給第三方App業者、廣告廠商等,藉此擴大網站平台供給面的規模。
然而社交網站促進網路效應同時,亦須維護個資安全,才能建立信任關係而把會員留住。這可分成兩大面向:一是技術面,強化資安措施防止駭客入侵系統而竊取個資;二是權益面,不僅要讓會員知悉網站的隱私政策以及哪些個資將被如何搜集與利用,更要賦予會員同意權。實務上發生的駭客入侵事件(例如前述Ashley Madison案),須藉由打造數位安全城牆以抵禦外賊,更多的個資糾紛則源起於網站資訊分享機制未能確實賦予會員應有的隱私權益,如前述臉書舊版隱私設定爭議,以及串流音樂網站Spotify最近因擴大蒐集會員資訊範圍(如會員相片、通訊錄)而更改隱私條款致引發抗議。
比較好的作法是透過簡單明瞭的階層化設計(Layered Design)以落實「告知後同意」的保護機制,避免用長篇艱澀文字及「我同意」按鈕就取巧帶過,臉書經過數度更新進化而採取的隱私設定可供業界參考。就個資保護而言,固然採取讓會員選擇加入(opt-in)優於選擇離開(opt-out),逐項同意優於概括同意,但卻可能增加業者成本與降低資訊分享的規模,必須綜合考量。
個資保護不能唬人而違法
幾乎所有的社交網站都會聲明並強調自己重視會員個資的保護,但是否華而不實,通常要等到發生資安事件才會知道。對於未採適當的個資安全措施卻以廣告或聲明唬人者,可能構成刑事詐欺與民事侵權,亦可能違反公平交易法第21條關於不實廣告或第25條關於足以影響交易秩序之欺罔或顯失公平等規定。前述FTC對臉書隱私保護涉嫌詐欺的指控即是依據類似我國公平交易法的制度。
公平會規定網路廣告應符合真實表示原則(確保廣告內容與實際提供情形相符)、及時更正原則(如其廣告內容錯誤、變更或已停止銷售該商品或服務,應及時更正)及限制條件充分揭示原則(避免以不當版面編排及呈現方式,致消費者難以認知限制條件內容,而有產生錯誤認知或決定之虞)等,實務上認為廣告宣稱線上付款服務具保密機制,但與實際情形不符,即屬不實廣告。因此,倘社交網站吹噓其對於會員之個資隱私100%保密卻言過其實,亦可能違反公平交易法而受到行政處罰。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>