觀點

從電子商務探討隱私權之重要性

2007 / 12 / 20
編輯部
從電子商務探討隱私權之重要性

建立隱私權保障
隨著網際網路的快速崛起,電子商務的發展,已不再侷限於舊有傳統的模式,如從地區性、區域性、國家性及全球性進階式逐步發展。現在電子商務發展透過網際網路(Internet)已可直接進行全球性的發展,再從世界幾個先進國家的統計,目前各國上網人數已經大約占八成以上,網際網路購物也大幅增加,消費者平均每天上網時間很長,但進行網路金融交易卻不到一成,其原因不外乎為雙方的信任(TRUST)關係,也就是網路電子交易安全基本要素:隱私權的信任機制。

國際上許多網際網路公司鑑於電子交易環境之新興服務所涉之資料蒐集儲存、流通與利用等問題,其複雜性與困難度已經漸漸顯露,如何兼顧鼓勵各項服務之發展與確保民眾資訊之安全,以增進消費者的使用信心,不僅是我國邁入全球性電子商務的重要課題,亦是國際間普遍之規範重點。今年度八月於馬來西亞舉辦的防駭年會(Hacker Halted Event)不但從電子商務的角度來探討資訊安全管理的問題,會中更有一個主題專門說明隱私權於國際上的重要性。

我國對於電子交易及隱私權之環境,除金融業、電信業、醫療業等之交易基礎規範、個人隱私權之重視等方式控管外,都應兼顧「電腦處理個人資料保護法」就隱私權保障等提供基礎規範相關之法制配套。

為因應電子商務及隱私權整合的趨勢,政府相關機關管理機制之建立及民間企業重視隱私權之保護,不只國家應儘速通過「個人資料保護法」的修法,更需要由政府主導,民間企業配合,共同建立及創造電子商務發展、交易資訊安全及隱私權保障等相關事項,以提升台灣於國際社會上的競爭力。



案例:GeoCities洩漏隱私
美國GeoCities網際網路公司,在網路上提供免費的網頁(Web page)空間給使用者使用,但使用者必須提供個人基本資料,包括姓名、住址、電子郵件、個人興趣、教育程度、職業、收入及婚姻狀況等。該公司網站上定有隱私權政策,宣告若沒有獲取當事人的同意,將不會把資料提供給任何企業組織使用。

這家公司的商業經營策略以銷售廣告為主,因此將收集的個人資料進行分析,當使用者登入其網頁時,該公司於網頁上將提供與個人興趣相關的廣告。另外,這家公司也提供特殊的網頁,收集13歲以下兒童資料,這些資料沒有提供相關的家長同意機制。

這家公司是第一家線上網際網路公司受到美國聯邦貿易委員會進行調查,後來控告該公司蒐集獲取到個人資料,雖然有隱私權政策宣告,但卻未經當事人的同意,即將個人可識別的資料進行利用。另外,美國聯邦貿易委員會還特別關注該公司未經父母的同意,就蒐集小孩的個人資料。這件事情經過報紙及媒體批露後,隔天該公司的市場資金就損失了2億5000萬美金。

最後,美國聯邦貿易委員會要求該公司重新公佈新修正的隱私權政策,內容必須可以清楚的說明資訊如何收集及如何利用。另外,關於收集13歲以下兒童資料,都必須獲得家長的同意。另外還要求該公司必須建立一個連結至美國聯邦貿易委員會特別設計的網頁,說明關於消費者隱私權的議題及個人資料保護的權利。

這家公司後來於YAHOO搜尋網站的連結只剩下次要的部份,且影響到投資者對於這家公司的投資,嚴重影響及降低這家公司的整體價值。



電信隱私
美國1996年電信法中規定保護消費者資訊隱私,每家電信傳輸業者有責任保護該電信傳輸業者及其他電信傳送業者、設備製造商、消費者的獨占機密,包含電信傳輸業者轉賣由其他電信傳輸業者所提供的電信服務。在911 攻擊之後,美國通過「無線通訊與公眾安全法」,要求所有在美國境內經營行動電話行動電信之業者,必須在行動電話中安裝GPS,以便定位追蹤。然而消費者消費時,其行動與所在地點亦為其隱私之一部分,如可隨時被定位,亦有隱私遭受侵害之嫌。就此,2001年通過的「位置隱私保護法」,要求提供無線位置服務的公司於收集位置資訊時,須通報用戶。該法案並禁止未經用戶許可而逕行收集或銷售資訊。

在歐盟立法部分,1995年公布的「關於個人資料處理以及此類資料自由流動的個人保護指令」中,即已令要求各成員國應以立法之途徑來管理個人資料,該指令適用於任何有關涉及個人資料之活動,包括蒐集、儲存及發表之行為,且不論是自動或非自動化的資料蒐集方式。

其個人資料定義之範圍則相當寬廣,舉凡足以辨識或可辨識個人身分者皆在內,且不限於文字、圖像、聲音、視像、影訊等。在2002 年公布的「電子通訊隱私指令」中,亦確立了以電子通訊中傳輸個人資料的隱私保障,應採技術中立的原則。該指令第九條明確要求電信業者提供有關位置服務時,須符合客戶選擇同意(opt-in consent)之要求,而且客戶須能隨時撤回該同意。

日本於1998年郵政及電信部公布了行動通訊個人資料保護辦法,對於使用位置資訊的客戶,建立了一套明確的標準,即行動通訊業者在未經客戶的同意下,不得將其位置資訊揭露予任何第三人。另外,在2003年5月通過的個人資料保護法,也確立了對於客戶同意的要求。



金融隱私
美國金融服務現代化法案(FISMA)及消費者金融資訊隱私權法(Regulation P),將金融消費者資訊隱私的保護規範更予細緻化,且提高規範的法律位階,促使金融機構依法執行更為健全的財務隱私權保護措施。美國財政部貨幣金融局(OCC)2005年公告,就第三人非法取得金融機構客戶敏感資料之情形,規定金融機構知悉有未經授權取得客戶敏感資料之情事時,負有立即進行合理調查之義務,以決定該資料是否有可能已被使用,或即將被使用。

目前我國於民國84年所頒布的「電腦處理個人資料保護法」,因應電子商務的快速發展,也同步進行修法程序,但修正法中並未規範專職隱私權保護機構,而各目的事業主管機關也並未針對領域內特殊資料及狀況頒布行政規則或計畫,所以對於行動支付之消費者隱私保障與安全,幾無任何監管法規與機制,建議政府目的事業主管機關應針對行動電話製造業者與電信業者,仿照日本「行動通訊個人資料保護辦法」、「個人資料保護法」、美國「位置隱私保護法」及歐盟「關於個人資料處理以及此類資料自由流動的個人保護指令」、「電子通訊隱私指令」提供個人資料及隱私的保護。



國內企業隱私權執行狀況
我國有關個人資料之保護,散見於各個不同之法律:消費者保護法、電腦處理個人資料保護法、金融控股公司法、電子簽章法、電子交易法(正送審中)以及個人電腦銀行業務及網路銀行業務服務契約範本。這些規定或契約範本看似多元,其實彼此之間的相互勾稽就會造成資訊隱私權防護的漏洞,且保密義務規定不夠詳細,僅作原則性保密規範,似乎無法完全保障消費者資訊隱私權。

隨著行動商務的發展,個人對於通訊內容的需求更為殷切,尤其行動商務的特色在於可以更明確掌握各用戶消費習慣,通訊傳播業業者為滿足消費者個人化之需求,即必須利用所擁有之用戶個人資料與通訊資料,以提供該用戶最適化之服務。但便利用戶的服務,若未謹慎為之,往往也是對個人隱私構成危害的服務。

所以隨著通訊服務的多樣化,個人資料被他人蒐集、利用與處理之機會也隨日俱增,通訊傳播業使用個人資料的行為如果未經適當規範,即相當容易構成對個人資料隱私的威脅,如何將該資料為有利之應用,並能兼顧用戶隱私權之保障,即屬重要。

對於個人隱私權的保護,也不能忽略政府行為。政府因為擁有壓倒性行政資源與強制力量,若沒有適當加以規範,人民秘密通訊自由更是容易受到妨礙。尤其隨著技術的發展,使網路成為通訊的重要工具下,相當輕易對於個人權利產生極大的影響,因此制訂相關法令以維護人權,也已是世界各國的趨勢。

最近國內發生OO購物、OO購物網站皆發生多起詐騙事件,疑是個人資料外洩,已經造成多人受騙,如果是號稱擁有超過百萬名顧客的OO購物、OO購物網站的客戶個人資料外洩,又落入詐騙集團手裡,所造成的影響是無法預期的。另外,曾經入侵總統府網站,宣布愚人節放假一天的駭客蘇OO又再度犯案,這次他和林OO高中生分別入侵OO電信等各大網站主機,竊取內部資料販售,警方估計已有上千萬筆個人資料外洩。初步統計,曾犯妨害電腦使用罪的蘇OO入侵網站,還有台大批踢踢、無名小站、PChome、雅虎、Google、十九所桃園地區國中、EZpeer、台灣深藍網站、艾噹洛學院、卡提諾論壇等,盜取資料轉賣給補習班、詐騙集團等團體,牟取數十萬元的利潤。

從這些案例可以知道,個人資料隱私權的問題,除了法律面、管理面,更涉及到技術面的問題,但是解決根本問題的辦法一定要從法律面及管理面開始著手,再逐漸推行到技術面解決問題。



結論
隨著資訊科技的進步,電子商務交易也正快速轉變及進步,但是對應的相關法律規章也必須隨著建構及頒布,才能建置一個優質信賴的環境。讓民眾可以在政府之政策及管理機制下,其個人隱私等基本權利受到保障。

國內目前的電子商務發展已隨著資訊網路的無遠弗屆,從地域性轉型為全球性,為可與國際接軌及保障民眾個人隱私資料,「個人資料保護法」的修法及「電子交易法」的法案,應儘速於立法院通過,方能提升台灣電子商務於國際上的競爭力。