前幾天,社群網站Facebook被一名愛爾蘭法律系的大學生Max Schrems,控告存有他已經刪除的資料,可能被求償13.8萬美金。根據外電報導,在Schrems向Facebook要求了他的個人資料備份副本之後,他收到了一片CD,內含1,200頁的個人資料,甚至包括了他過去已經刪除的朋友帳號、未標記的照片、訊息串等。
.jpg)
[法律層面]
今天如果是台灣控告Facebook是不是就可以告得成呢?東吳大學助理教授錢世傑說,以這則新聞來看,應該要先把事情簡化,限縮在適用台灣法令的前提下,台灣企業與台灣民眾發生的問題,否則到底該適用哪一國法律,光準據法就要討論許久。
通常如Facebook這類型提供網路服務的公司,會透過定型化契約,讓自己能夠牢牢地掌握所獲得的資料,不輕易放棄。所以,若本案例適用於個資法時,尚難以論Facebook有違反個資法的規定。另外,錢世傑說,以個資法第11條第3、4項規定,當事人可以請求將資料刪除,此一刪除請求權,依據同法第3條規定,不得預先拋棄或以特約限制之。什麼是刪除呢?先看一下施行細則草案中第6條第1項,規定本法第2條第4款所稱刪除,指「使已儲存之個人資料自個人資料檔案中消失」。(施細§6Ⅰ)雖然本刪除之定義,並非解釋刪除請求權之刪除,而是解釋個資法有關「處理」定義中之刪除行為,但仍可以參照其定義。
總之,如果業已行使刪除請求權之後,依據內部資料保護程序,Facebook就不應該在未有法令規定或當事人同意之情況下,將資料加以還原,若違反前開情形而恣意將資料還原者,就屬於違反個資法之規定,而有相關民、刑事及行政責任之探討。
[資訊系統層面]
從法律層面上來看或許有很多爭議也很複雜,但如果從資訊系統層面來推測,則可能很簡單。資安顧問推測也許是因為效能問題。「真的」刪除一筆記錄其實相當拖慢效能,還不如在這筆資料前面加上flag,有點像是隱藏這筆資料,使用者或其他人都看不到,只是,備份系統的規則卻可能只是備下「這個使用者所有的資料」,所以像這種額外的使用者請求狀況,卻不一定會通通照著備。
系統層面上的資料處理控管,或許可以透過稽核檢查出來,但實務上卻很困難。設計備份規則的人,可能跟設計塗鴉牆的人不是同個團隊,甚至有可能是沒有備份規則,只是DBA依照備份需求撈出資料。但資安顧問認為,這從系統管理的角度上來說,可以說是系統弱點,代表的意義是「處理資料的方法不一致」。[註] 不管是將資料呈現在網頁上,或是備份到儲存空間,其實都是「資料輸出」。在進行資料的處理時,其實都應該要確認、檢查清楚才出去。
電腦「刪除」只是代表一個原本儲存資料空間的釋放,未來開放給後續新增的資料擺放,但是在還沒有放入新資料前,舊資料依然存在,這也就是「可復原性」。錢世傑說,本案當事人的刪除,只是讓自己及一般人看不到記錄,但不代表記錄「絕對」的不存在,也不代表完成刪除後,Facebook就沒有保存、備份的權利。總結來說,一般民眾的刪除概念,其實跟電腦的刪除概念不太一樣。
所以提醒大家,資料一旦上傳到網路服務商的系統之後,他們可是不會輕易放棄你最有價值的個人資料唷!
[註]可參考ISO 27001的A.12.2.4 輸出資料的檢核。