文/江雅綺(英國杜倫大學法學博士候選人)
社群網站的興起,為現代社會忙碌的人們提供一個便利的人際交流管道。人們可以隨時在網頁上更新生活動態,分享生活近照,找回久已失聯的親人或朋友;但也可能因為在網頁上抱怨工作,洩露自己對老闆的不滿或是和異性的對話,而被解僱或是引發婚姻危機。社群網站已成為現代人不可或缺的社交溝通管道,對人們的生活影響愈來愈大,而各個社群網站中,由Mark Zuckerberg創辦的facebook (臉書)網站使用者最多,至今臉書註冊使用者已超過五億人口,成為世界「第三大國」,可以說是社群網站的代表。但是,當人們勤於在臉書上「交友、閒聊、八卦、討論、分享、玩遊戲、偷菜、做心理測驗……」時,一個由使用者創造內容的網站,使用者也可以掌控個人隱私的流向嗎?答案恐怕未必是肯定的。
臉書的隱私權模式
臉書雖然歷經多次改版,但分析臉書提供讓人們分享個人資訊的主要功能,不外乎下列幾種:一是有關使用者主動建立的靜態個人資訊部分:例如建立個人檔案,或張貼訊息在牆(wall)上。二是使用者與其他使用者互動的功能:讓使用者可以請求其他使用者「成為朋友」,或接受其他使用者的交友邀請「成為朋友」。這個功能讓使用者在臉書上建立的靜態個人資訊,具有動態互動的可能。而使用者對個人資料的掌控問題即在此開始。因為一旦使用者和另一使用者同意成為朋友,則朋友之間可以互相檢視彼此的臉書檔案,也可以互相檢視對方在牆上張貼的訊息或圖片。
讓我們看一下臉書現有的隱私權模式[1],它將使用者提供的個資,分為「所有人」、「朋友和朋友的朋友可看」、「僅限朋友」「其他(指定的人或僅限本人)」的選項。換句話說,雖然「成為朋友」之後可以互相檢視個人檔案和牆上訊息,看似使用者可以預先由「是否成為朋友」的決定,來掌控自己的隱私資料。但其實不然,由於「朋友的朋友」和「所有人」也是臉書隱私權模式之一,且「朋友的朋友」在一些情況下是臉書上的預設模式,換句話說,倘若使用者沒有刻意更改臉書帳號的隱私權基本設定,則即使使用者a未選擇和另一使用者b成為朋友,也可能在下列兩種情況下,b 和a 得互相檢視對方的個人檔案或看到對方張貼的牆上訊息:一、a 和b 有共同的朋友,而a 和b的隱私設定為「朋友的朋友」選項,因此a和b 可因為具有「朋友的朋友」身份得以檢視對方的資料。二、a 和b 的個人資料設定為「所有人」,例如臉書對個人檔案的預設設定,即為「所有人」。雖然不是朋友,只要透過搜索功能找到對方的臉書帳號,即能瀏覽對方的個人檔案中的所有資訊。
使用者和網站服務提供者均可能是隱私權的破壞者
2010年,創辦人薩克柏在一場訪問中提到:隱私權的時代,已經結束了。薩克柏的意思是臉書沒有隱私權規範嗎?並非如此,臉書的隱私權功能是所有社群網站中最複雜的,字數比美國《憲法》本文還多,常看得使用者頭昏腦脹。但根據2008年一項針對校園學生使用者的研究指出,雖然臉書提供使用者設定個資的公開程度,但87%的校園學生,直接適用臉書預先設定的隱私權設定,對其提供的多種隱私權管制選項毫無所覺。更有趣的是,雖然研究已經顯示,多數使用者對自己在臉書上的穩私揭露有所警覺,但這並不影響他們對隱私權的設定。少於一半的使用者沒有更改臉書網站預設的隱私設定。這是一項有趣的現象。即臉書的使用者雖然意識到自己所揭露的個人資訊可能帶來危險,例如由於在個人檔案中揭露聯絡住址或電話,引來惡意第三人在實體世界的「騷擾」(stalking)或是由於揭露個人生日,導致個資外洩,被第三人不法使用。但人們的「理解」,並未影響「隱私設定」的決定。由上述研究指出,多數人仍然消極地的選擇了遵從臉書的預設設定,忽視自己隱私外洩可能帶來的危險。此外,根據今年5月美國《消費者報導雜誌》的一項調查顯示,20%的使用者說,他們完全不曾更動過臉書預設的隱私選項。而在臉書上大量發布個人資訊的同時,23%的活躍使用者還承認,他們並不是很了解他們臉書上的「朋友」。其結果是使用者以為自己張貼的訊息和資料「僅限於朋友之間流傳」,卻連「朋友是怎樣的人都不知道」,或者其實「所有人」或「朋友的朋友」都看到了。
除了使用者自己,臉書另一個侵害隱私的疑慮,在於也可能受隱私設定寬鬆的「朋友」拖累,不小心洩露自己的個資。例如自己從不使用「打卡」功能,但在留言討論串中,朋友卻提及自己的所在位置;或自己總是使用風景照做為大頭貼,但朋友卻在大合照中標誌(tag)出自己的身分,結果「所有人」或「朋友的朋友」,也都知道了自己一些原想保密的個資。雖然隨著隱私權議題一一浮出表現,使用者對臉書隱私權模式的重視有增無減,研究指出,臉書使用者比從前更頻繁的造訪隱私權模式的頁面[2],但一般而言,能夠完全了解臉書上所提供的隱私權選項、並充分掌握自己和他人個資的使用者,仍然是少數。
易言之,由於使用者的習慣與心態,結果不僅是網站服務的提供者握有大量的使用者個資,可能侵害使用者的隱私權; 即使是使用者本人,也常常在有意無意之間,侵犯其他使用者的隱私權、或者坐視自己個資外洩。因此,在社群網站興起時代,有侵害隱私疑慮的不僅是保留大量使用者個資的網站服務提供者,每一個製造資訊、與他人互動流通訊息的使用者,也可能是潛在的破壞隱私者。
社群網站的隱私權法律規範:由歐盟指令看台灣個資法規定
歐盟在1995年時通過了資料保護指令(Data Protection Directive)[3],該指令確認了「隱私權是「基本人權」,而蒐集個人資料只能在明示且合法的目的下為之」。最重要的,是該指令提供「opt in」的制度,要求在蒐集和使用個人資料時,必須事先徵得該個人的同意。本於這項指令,許多歐盟的會員國陸陸續續提出個資保護法令。英國於1998年通過資料保護法(Data Protection Act 1998), 該法對個資的定義相當廣泛,同時禁止將個資轉送至保護個資程度未達歐盟程度的國家(包括美國),除非已提供一定的資料保護指施。
但是,該指令固然為個人資料提供了相當完善的保護規範,但由於它在1995年時建立,並未將社交網站的新興現象考慮在內。社交網站服務的提供者和使用者,是否為該指令規範的主體?就該指令第2條規定,有關個資可分為「個人資料主體」(Data subject)及「個資控制者」(data controller)。社交網站服務提供者是否可定義為「個資控制者」,答案應該是肯定的。因為社交網站服務提供者於提供網站平台時,即「決定了處理這些個資的目的及方式」,就目的來說,即是讓使用者可以進行社交網絡的互動。就方式來說,社交網站服務提供者以網站的設定決定了處理的方式。
而使用者的部分呢?答案應該也是肯定的。因為使用者可以選擇個資揭露的程度與內容,使用者在網站提供的功能內,也可以決定這些個資揭露的方式(例如以照片或文字描述)。但使用者的部分需要考慮「家庭除外條款」,如果這些社交網站上的個資揭露行為純屬私人活動,則可免責。歐洲法院曾經對此除外條款做出解釋:「…必須有關個人的私人或家庭活動,因此在網路上發表的資訊不在此限,因為在網路上公開的資訊將可讓不特定的多數人接近。」
因此社交網站使用者的行為究竟是否適用除外條款頗有爭議。在歐盟隱私權Working Party第29條的解釋文件中,認為應該以該使用者的帳戶是私人或公開的以決定這使用者是否可為指令中的「個資控制者」。如果使用者的個人檔案資訊可以被所有該網站的使用者得知,而且可以在網路被搜索引擎找到,那麼這就不是私人帳戶。假設該使用者不適用家庭除外條款,則這位使用者就成為「個資控制者」,而必須遵守歐盟資料保護指令處理個資的一切規範,例如使用者若提到第三人的個資,就必須得到這個第三人的明示同意。舉例而言,如果這位使用者想上傳和朋友的合照並使用「標籤」(tagging)功能,則首先他要得到合照朋友的同意才能上傳照片,其次在「標籤」時也應再次得到朋友的同意。
台灣於2010年通過修正後的「電腦處理個人資料保護法」,依照該法的規定,理論上社群網站服務提供者和使用者都可以為該規範的客體。但在第51條第1項規定中,提到「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料」。而依據法務部的新聞稿中,「有關臉書、部落格等張貼有他人合影的照片行為,如屬社交活動或家庭生活之目的範圍內,依新修正通過之個資法第51 條第1 項規定可排除本法適用,回歸民法適用。另外,對於在公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料,基於便利性及合照本身之共同使用合法目的亦甚明確,故亦排除在本法之適用範圍外。」台灣的規定相當近似歐盟的個資保護指令的精神,即網站服務提供者和使用者在解釋上均可為規範的客體,但若是屬於私人和家庭的活動,則除外。因此未來若出現相關的案例,可以由歐盟相關的判決和解釋中,參考其論理。
[1] http://www.facebook.com/settings/?tab=privacy, visited on August, 30, 2011.
[3] Data Protection Directive 95/46/EC (DPD). |