周冠汝/數位發展臨門一腳:台灣有了前鋒,為什麼還缺守門員?
(※ 文:周冠汝,台灣人權促進會數位人權專員)
數位發展部已在8月27日正式掛牌,部長唐鳳比喻數發部的角色就像「踩油門」,並取其英文縮寫MODA諧音,稱新部會為台灣數位發展的「馬達」。數位經濟的布局中,還缺少能避免失分、預防失靈事故的守門員。個資保護機關做為民主國家隱私權的看守者,不只能調查守護個人資料,更能在政策發展中提供獨立意見,在數位浪潮的花花世界中導航,提升資料利用的信任。
這類帶有監理性質的機關,不知為何常與台灣人民有緣無份,或許是在乎隱私的人真的不多,但不能忽視的事實是,台灣是周邊國家與民主陣營中,少數沒守門員的國家。向北望,日本、韓國有 ; 向南望,菲律賓有 ; 西邊,香港有。在歐盟,更是所有成員國都配備守門員外,歐盟本身還有兩大隊守門專屬教練團(EDPB與EDPS)。
隱私,很重要嗎?
試著玩個小遊戲,用紙筆寫下民主國家不可或缺的權利,比如投票權、言論自由、居住權等,天災來臨,請依序放棄一項權利。最先被割捨的,隱私權大概名列前茅。然而回歸現實世界,劍橋分析事件凸顯隱私侵害如何衝擊民主社會。
該公司利用臉書的第三方應用程式,取得使用者遊玩心理測驗作答的內容,進而與買入的其他資料串連分析,描繪個人性格偏好,投放廣告影響英國脫歐公投。假訊息利用隱私弱點,找到相信它的群眾。第二個層面是,即便沒有使用臉書第三方應用程式的人,也因為朋友中有人使用過,而難逃資料濫用的網羅。
資訊社會中,隱私影響的尺度不再止於個人,而在密集的節點與串聯中,成為集體權利。哈佛商學院榮譽退休教授肖莎娜.祖博夫在《監控資本主義時代》一書中指出,把使用者視為原料的營利模式,透過抽取個資,進而回頭修正、改造個人行為是寄生式的經濟邏輯。
換一種台灣人習慣的情境來說,戒嚴時期的監控檔案鉅細靡遺,盡可能搜刮目標的各種資訊,其中真真假假,包含分析臧否,蒐集越多,對這個人的控制力也越強。而現今未必是國家,只要手握監控資本,就握有行為預測、改造與自我證成的力量。
資安無法處理的隱私侵害類型
身為一介市井小民,到底如何奪回隱私,鞏固民主韌性?近年來政府不斷喊出「資安即國安」,本次組改的數位發展部旗下也設立資通安全署。問題是,並不是所有的隱私問題都能靠資安解決。比如,劍橋分析事件就無法靠資安防護預防。資安處理的是系統安全問題,個資外洩、未授權人士登入都是資安事件。而「個資在個人所未知的情況下,被拿去從事其他利用」,屬於個資保護問題。這一大箱黑盒子中,又包含個資保護的不同面向。
比如,台灣《蘋果日報》的資料庫是否會被「個資送中」,屬於「跨境傳輸」的問題。台灣缺乏個資守門員的情況下,本案禁止跨境傳輸仰賴的卻是平面媒體主管機關文化部判斷。
在疫情期間,許多人關心大量留下的實聯制資料,到底有沒有如期刪除。要求行使刪除權,是個人資料保護法賦予實踐隱私保護的權利。其中的稽核與調查也是守門員應有的職權與責任。
近期的健保資料庫案憲法法庭判決中,大法官宣判衛福部與健保署長年將國人健保資料從事目的外利用,甚至禁止個人行使退出權違憲,要求三年內修法。什麼樣的條件下才可以強制利用個資,如何賦予當事人控制權,這些都是個資保護的範疇。
網路使用者有一種說不出的痛,望著包裹式與模糊的使用者條款無奈同意,納悶為何需要蒐集那麼多個資。歐盟試圖在個資保護法規,訂定更清晰的知情同意應具備的條件。基於隱私的設計(Privacy by Design)、隱私列為預設(Privacy by Default)的呼聲也促使更多產品與服務往資料蒐集最小化的方向邁進。透過資料自主權的實踐,讓個人可以控制個資何去何從,從而掌握活在數位時代下的自由。
回到台灣,缺乏個資保護守門員的過去與現在,人們遇到隱私問題,到底可以找哪個機關?上面提到文化部處理《蘋果》跨境傳輸問題,過去台權會針對校園人臉辨識問題則是找教育部。那職場人臉辨識問題呢?台灣直到現在還未有個資保護專責機關。
國發會只是個人資料保護法的解釋機關,各隱私問題,要回到各目的事業主管機關處理。這樣的配置,等於每次都等到快要或已經出事,才讓觀眾拉扯嗓門呼喚前鋒、中場、後衛,拜託回防一下!守門員需要專責,更需要足夠的獨立性,才能撐起民主防衛線,同時抓住控球時機傳回中場,保障數位發展政策確實往民主人權的方向邁進,不落入數位威權的漩渦。
隱私權好姊妹:網路言論自由下一步
數位發展面臨的第二項挑戰,是在網路內容管制中,如何維繫言論自由。近期通傳會公布的《數位中介服務法草案》引起熱烈討論。可惜的是,對於政府和業者現行管制網路內容的依據與手段,一般人可能不太熟悉。不熟悉的根源,來自管制機關透明度不足,或是一般人上網不會特別留意都有可能。聽到色情、暴力、著作權等限制理由,多數人都可以接受。然而實際運作可能產生濫用,仍可能對基本權造成衝擊。
美國比佛利山莊的警察曾蓄意播放披頭四的音樂,利用社群平台自動偵測版權音樂的自律規範,阻擋公民與媒體拍攝警察的影片在網路上傳播。證實民主國家的表意自由,可能輕易地被按下消音鍵。回到台灣,政府管制網路內容的現況,仍可以依據不同作用法要求業者限制特定內容,或是存在機關以業者自律規範檢舉下架的情況。
網路內容並非不能管制,從緬甸線上線下加成迫害羅興亞人的事件,到台灣性私密影像外流求上車等社會問題,都迫切需要多方利害關係人共同遏止,停止傷害擴大。然而另一方面,也一再發生公共討論被誤擋、誤刪的情況。例如分享獨立媒體《公庫》報導南鐵黃春香迫遷貼文,遭臉書以垃圾訊息為由刪除。網路內容管制需要更高的透明度,不管是政府請求或業者自律管制都可透過公開理由、依據、細部統計,提供公眾實質監督的可能。
數位發展部僅只是《數位中介服務法》草案中,負責涉及資料治理事務的主管機關,詳細權責仍不明朗。本文僅點出數位發展下,無法忽略的背景問題。在網路內容管制與言論自由上,各國有不同的嘗試,但目前仍沒有良好意義上較具代表性的做法。在企業方面,臉書聽取公民社會建議,嘗試建立外部監督機制 (Oversight Board),處理誤擋誤刪的申訴救濟,但仍然存在無法有效處理不同文化脈絡下的內容,以及各政府依國內法要求限制的內容申訴。
隱私權議題則不同,獨立專責的個資保護機關被視為一國個資保護的基礎。台灣曾與個資保護機關設立擦身而過,2020年國發會曾表示年底有望成立個資保護機關,其後卻在數發部的出現下,消失在大眾討論中。時至今日,個資保護機關被列入國家人權行動計畫,時程延至2024年,爭取歐盟一般資料保護規則 (GDPR) 的適足性認定也無後續消息。
台灣個資保護守門員長年空缺,讓數位發展的國家隊始終缺少最堅定的後盾,或許是好事多磨,期待我們能建立位階足夠,且有充沛量能與獨立性的隱私專責機關,建立數位環境下的民主韌性。