我個人還蠻喜歡 Global Partners Digital 從人權角度探討言論自由與隱私、數位安全、網路治理所編寫的出版品。原因是他們整理歸納的工夫非常好,用字行文非常淺白清晰,插圖非常賞心裞目地可愛。對該主題或領域陌生的新手,往往可以透過 GPD 這一系列小書整理的資訊,找到不錯的學習起點。
GPD 最新出版品,探討分享的主題即是個人資料保護課題— Data protection for human rights defenders,內容從最基本的:何謂個人資料,為何需要保護個人資料,個資保護的簡史發展,進入互聯網時代後又該如因應個資保護的巨大挑戰?
當個人資料被大量搜集與拼湊(即一整套處理過程 processing ,包括一開始的搜集、儲存、利用和傳播),讓他人可以知道一個我並不想讓其它人知道的自己;讓他人可以洞悉一個連我自己也不認識的自己。當個人的想法越來越透明,行為越來越可以被準確預測斷定,隱私不再只是個人享有獨處不被打擾的權利,而是闗乎個體自由與國家控制、市場調節等權力之間的拉扯。這就是為何個人資料能否自主控制會大大地關乎於隱私權的實踐與侵害。在現代一個法治社會,基本人權的肯認當然得借重實質、優質民主程序,對國家權力進行必要的約束節制,才能相對確保人民權利的保障落實,這個程序簡單說就是「立法」,複雜來看就是「徒法無以自行」,故該報告約莫用了一半篇幅在討論個資保護的法治標準。當然另一方面,隨著市場獨佔型大企業的興起,有權有勢力的一方恐怕不只是公權力政府,這也是為何在討論網路自由數位人權時,不能不提企業產業的角色。
總之,蠻還推薦對於個人資料課題有興趣但不知如何入手的讀者,可以先從這份報告讀起。隨手譯了一下其它所列的個資保護十大基本要求:
- 公平與合法性:個資收集處理過程要合理公平,須合法取得當事人同意或是立於其它合法授權基礎
- 品質適切:搜集、應用個資應考量其適當與相關性,不得逾越原本揭示之目的。
- 特定目的:個資搜集、儲存和使用限於合法目的,不可移作原目的不相符之用途
- 告知:當事人在個資被搜集前,應被明確告知要搜集何種資料及其使用目的。
- 使用限制:除非取得當事人同意或是具法律正當授權,個資不得用於非最初搜集時明示之特定目的。
- 安全:若個資遺失、外洩,將對當事人隱私造成嚴重傷害,故個資保護法規須要求個資操控者採取適當的安全措施
- 開放: 鑑於個資可能在當事人未知悉的情況下被收集,個資保護法規應設立監管機關(不管其為公務或非公務機關),知會個人其資料被搜集的狀況。
- 當事人取用:在不被延宕與合理費用下,當事人有權請求其被搜集處理的個資
- 更正或刪除:當事人可更正或要求刪除違反上述原則,不正當被他人搜集的個人資料
- 問責,制裁與救濟:個資操控者須遵循個資保護法之責任。
本書中從人權與相關利害關係者的對話視角,提供了這些之所為成為個資保護普遍性原則的脈絡,但是請記住,以上這十個條件只是個資保護最低要求,若以此低標來評斷台灣現況,我就不要再重提那個老掉牙、被學者和人權團體批評台灣個資法無明確主責機關,部會各行其事多頭馬車的情況(第7點)。試著先簡單地套用上述低標來看看台灣網路 ISP 龍頭中華電信的隱私權條款,其關於搜集使用者個人資料之目的文字陳述為:
「中華電信股份有限公司(含各分公司、電信研究院及電信學院,以下簡稱本公司)得於本公司營運地區範圍及營運期間內,基於「行銷」、「消費者、客戶管理與服務」、「信用卡、現金卡、轉帳卡或電子票證業務」、「訂位、住宿登記與購票業務」、「個人資料之合法交易業務」、「消費者保護」、「調查、統計與研究分析」、「資(通)訊服務」、「資(通)訊與資料庫管理」、「資(通)訊安全管理」、「會員管理」、「經營電信業務與電信加值網路業務」、「其他經營合於營業登記項目或組織章程所定之業務」及「其他諮詢與顧問服務」等合理關連之特定目的範圍內,蒐集、處理及利用包含但不限於客戶本人(或其代表人)之姓名、身分證字號、其他足資辨識身分之證明文件、住址、聯絡電話、電子信箱、指配號碼及通信紀錄(申請書欄位所載之個人資料及通信紀錄),俾利本公司得提供電信服務、加值服務、各項優惠措施、行銷、活動訊息或辦理市場調查。因業務所需,服務廠商受本公司委託者,亦同。您得自由選擇填具個人資料,惟若其提供之資料不足或有誤時,本公司將無法核准申辦或提供完整服務。」(Hinet 隱私權保護 : 第二章個人資料保護暨蒐集告知條款第一條)
黑體粗字糾結連成一團的部份,即為中華電信搜集使用者個資的目的,勉勉強強算得上符合[第4點. 敍明資料搜集之使用目的]的半套要求。之所以說只有半套符合昰因為從這段文字裏,消費者並無法知道自己具體被搜何種個資類型及該資料對應的特定使用目的
相較於在今年三月初 Ranking Digital Rights 2018 十家跨國電信業者隱私權政策評比,其中得分在中後段班的 Bharti Airtel,人家的寫法如下:
Airtel does collect your personal information for a variety of regulatory and business purposes. These include, but are not limited to:
- Verify your identity
- Complete transactions effectively and bill for products and services
- Respond to your request for service or assistance
- Perform market analysis, market research, business and operational analysis
- Provide, maintain and improve our products and services
- Anticipate and resolve issues and concerns with our products and services
- Promote and market our products and services which we consider may be of interest to you and may benefit you; and
- Ensure adherence to legal and regulatory requirements for prevention and detection of frauds and crimes.
各位覺得哪一家比較清楚?
我無法確認 Bharti Airtel 是否受到今年五月 GDPR 生效的影響而在近期已更新其隱私權政策。但如果當初 RDR 研究團隊是以這份文件來打分數的話, Bharti Airtel 在[第4點.資料搜集時是否明確告知要搜集何種資料及其使用目的。即 Privacy Indicator P5.1 :For each type of user information the company collects, does the company clearly disclose its purpose for collection?], 得到分數是零分
那麼對比之下,各位覺得中華電信的表現能夠拿到幾分呢?