《大數據－隱私篇》書摘：比起走過必留下痕跡，「刪去」是必要的美德

《大數據－隱私篇》書摘：比起走過必留下痕跡，「刪去」是必要的美德

 

可行、可接受的執法機制，是維護資訊隱私權的重要條件。資訊隱私權可能有各種不同的形式和外貌，但核心都是同樣的原則：為個人資料訂出法律認可的個人權利，使得個人能夠維持對個資的控制。

面對數位記憶侵害資訊權及控制權的情況，主張資訊隱私權似乎是個合適的對策。最基本的資訊隱私權，就是有權選擇是否分享資訊。如果有人未經許可而窺探取得個資，就會觸法，必須接受制裁。

最早提倡資訊隱私權的人士是波士頓的沃倫（Samuel Warren）和布蘭戴斯（Louis Brandeis，後來成了最高法院大法官）兩位律師，他們在1890年於《哈佛法律評論》期刊發表〈隱私的權利〉一文，基本上就是希望能認定某個案例是侵犯隱私。據說，起因是當地的報紙對於沃倫舉辦的晚宴，有一些不友善的報導， 也難怪他們文章的主題是針對非常特定的一種威脅：隱私的侵犯，或以資訊時代的說法，就是未經個人同意而使用個資。

這裡也揭露了資訊隱私權所面對的一項基本挑戰：能否有效保護個人對個資的控制權，要看隱私權究竟是如何架構的。我可能同意讓郵局有我的新地址，但並不希望郵局將它交給第三方。我該怎樣阻止這種情況發生？如果個資只算是簡單的財產權，也就代表一旦移轉到他人手中，就已經放棄了對這些資訊的任何控制權；但這不是我們希望的。因此，資訊隱私權還需要搭配經過精心設計的法律機制；特別是因為在實際上，要確實找出洩漏的源頭、因而知道究竟該告誰，是非常困難的事情。

例如「某人正服用抗憂鬱症藥物」這件事，可能洩密的人包括醫師、藥劑師、保險公司（的任何員工），甚至是朋友、配偶或知情的同事。想要抓到罪魁禍首加以懲罰，幾乎是天方夜譚。也因為如此，全球許多司法制度都認為，資訊隱私權不應只適用於最初取得個資的對象，應該對後續所有使用者都有拘束力。

然而，會讓人失去資訊控制權的危險，並不只有合法資訊接收人未經同意將資訊傳給第三方而已。有時候是當初同意給與個資做為某種用途，但後續卻被用於其他用途。舉例來說，如果當初銀行表示為了審核客戶的貸款資格，而蒐集並儲存客戶的個資，之後卻在未經客戶明確同意下，就將資料用來做為信用卡直效行銷，可能就會讓客戶不太高興。正因如此，比較進步的資訊隱私權會遵守目的限制原則：除了原定經過同意的目的之外，個人資料的接收者不得將該個資用作他途。

各國對於資料隱私權的範圍規定也大有不同。在美國，1974年的聯邦隱私法只涵蓋聯邦機構對個資的使用。除了對聯邦政府之外，美國人民在資訊隱私方面對其他任何主體都不具有成文的一般權利。

歐洲的各國議會則較為大膽（也許是由於歐洲的二十世紀太過暴力及殘酷，陰影至今未去），因此個人擁有的資訊隱私權不限於對中央政府，還包括所有各級政府及民間資訊業者。此外，自從1980年代中期由德國開頭，歐洲人的資訊隱私權概念也變得更為廣泛，已超過當初沃倫與布蘭戴斯對隱私的概念。

如果說原本的資料隱私權側重於個人同意的問題，現在則是將資訊隱私看做是「形塑個人參與社會時的形象」的權利。由於現在的世界緊密相連，不能再將資訊隱私權只視為同意與否的二元劃分，而得考慮得更為細緻；除了同意與否之外，還得考量特定的使用目的，以及資訊處理的方式。這項權利要決定的是分享資訊的方式、而非是否要分享資訊。這個更廣泛的概念也常常稱為資訊自決權，目的是讓人能夠在各階段都能控制個資的使用方式。

這是一個細緻但也複雜的機制。過去的資訊隱私權只提供了簡單的「是否同意他人使用個人資料」選項，執法也就相對簡單；資訊業者就是得讓每個人都同意就是了。但演變成資訊自決權之後，概念比較廣泛，所謂的個人同意還必須基於特定的目的和資訊處理情境。於是，資訊業者除了得搞清楚誰已經同意，還得記得同意的使用目的為何。這些規定也適用於個人受法律強制要求資訊的狀況（像是因超速被攔下，警察請你出示駕照；或是在聲請破產的時候，需要交出財務資訊）。

資訊自決權的兩大阻礙：政治與法庭

結果形成一個強大的組合：範圍較廣的資訊隱私權，搭配限定特定用途的限制規則。比起數位禁慾法，這種做法有兩大優點。首先，個人正式有了辦法（法律制度）能夠執行對資訊的控制權。第二，有了目的限制規則，資訊就無法在未經個人同意下重複使用及分享。

但是很遺憾，這種法定的隱私保護機制也有三大缺點：第一是執法困難（至少在美國）；第二是出人意外的，未完全發揮功用（至少在歐洲）；第三，我們的社會必須願意在未來仍然遵守現在訂下的資訊隱私原則。

讓人有權控制自己的個資，也就代表限制對他人進行資訊蒐集、儲存、處理及傳播——但有人認為這些活動也應該是受保護的基本權利（類似言論自由），或者起碼應該算是基本的經濟自由（而且這又是市場經濟的核心）。正因為各方的角力拉扯，美國至少到目前為止，除了政府及少數民間企業用途之外，要對資訊隱私有完善的立法，還是一項政治上的奢望。

在過去三十年間，雖然美國國會已針對更完善全面的資訊隱私法案進行辯論，卻沒有激起廣大的群眾迴響。政治學家或許有個大致的解釋：能夠通過立法，常常背後是有組成明確、動機高昂、資金雄厚的團體支持，而且大多數公民的損失小到讓他們不會起身反抗。但全面的資訊隱私立法卻正好完全相反：大多數公民可以得到少許好處（但少到不構成起身支持），但那些動機強烈、資金雄厚的團體卻得擔心損失慘重。當然，由於後果可能影響深遠（及造成高額損失），數位記憶有可能最後還是足以激起民眾的支持運動，要求國會推動全面的資訊隱私法。但看看過去幾十年來的政府情勢，我對此並不樂觀。

目前在美國，還沒有任何聯邦法案賦與人民廣泛的資訊隱私權，原因之一就在政治。至於另一個原因，則在於對這種法案功效的懷疑。在歐洲國家，賦與人民確保資訊隱私權已有數十年歷史，其中又以德國居首。但是在1990年代初期，我曾經遍詢德國所有的資料保護委員，想知道有哪些案例是個人控告資訊業者未經個人同意便進行個資蒐集、儲存或處理，而要求財務賠償。但回應令人意想不到，他們都沒聽說過這種案例，一個都沒有！

當然，有可能只是他們恰巧不知道，但這個結果仍然令人十分疑惑。民眾究竟為什麼不行使他們的資訊隱私權，原因之一可能在於走法律程序還是有些風險，而且耗時耗力。試想，要到法庭上主張資訊隱私的相關賠償，反而得親自出來拋頭露面，很多人也不想走到這一步。此外，由於德國責任法的規定只能就「實際損害」部分給與賠償，但在資訊隱私的案例中，這實在太難計算，也就使得告上法庭的利益太過有限。

這樣說來，要保障資訊隱私權，或許該做的事情就是改善司法程序。可能的做法包括：將舉證責任由個人轉移到資訊業者，將案件從民事改列為刑事，或是降低訴訟費用以鼓勵個人提出資訊隱私訴訟。歐洲已有多國議會相信這麼做會有幫助，因此修改了資訊隱私法規，納入其中部分措施。然而，修法已經過了十多年，我私下詢問全歐洲資訊隱私機構，卻發現相對之下改變並不大，個人控告資訊業者的案例仍然鳳毛麟角。當然，有可能是資訊業者已經全面遵守個資隱私權的規定，也就沒有訴訟的必要；又或是有其他的法律行動，並不屬於民事賠償責任的範圍。不過，仍然有可能是這些措施執行不力，或是與大眾的溝通還不足。不論如何，面對這種結果，大西洋兩岸資訊隱私權的提倡者一定也有些氣餒：個人（至少在歐洲）似乎不願付出足夠的時間和精力來捍衛自己的資訊隱私權。

資訊隱私權還有第三種固有的不利條件，與信任有關。如果與他人分享個資，其實也就是失去了自己對這些資訊的直接控制權，因此這個過程中一定要有信任才行。個人有兩種選擇，第一是信任資訊業者，相信他們不會濫用個資；這裡的概念類似於數位禁慾。第二則是信任社會機制（也就是法律）會讓大家遵守規定；這裡的概念類似資訊隱私權。

資訊隱私權的優勢在於，就算已經與他人分享個資，個人仍然能保有部分的法定控制權。然而，這樣的控制權要落實，就必須確保不只是現在、就算在未來也要能有效執行。如果才過了一年，資訊隱私權就會中止，讓資訊業者坐享大批個資，能夠隨意運用，那麼現在辛苦追求這些權利又是所為何來？因此，某些國家已經為資訊隱私權賦與憲法保障，讓資訊隱私權難以在未來遭到中止。話說回來，這些權利的落實還是取決於政府執行的魄力，否則就算沒有實際中止，也只是徒具虛文。如果政府不認同資訊隱私權的概念，處置消極，個人也就容易受到傷害。

雖然乍聽之下可能覺得不可思議，但二十世紀就有這樣的實例。在1930年代，荷蘭政府就已經完成全面的人口登記，記載每位公民的姓名、出生日期、住址、信仰和其他個人資料，被認為是提升政府管理效能以及福利計畫的一大利器。

但是後來納粹入侵荷蘭，掌握這些人口登記，就無情的運用這些資料，從數百萬荷蘭公民中，找出猶太人和吉普賽人，進行迫害和謀殺。正因為人口登記資料完整詳細，猶太人在荷蘭被納粹找出、驅逐和殺害的比例（73%），要遠高於比利時（40%）、法國（25%）及任何其他歐洲國家。諷刺的是，因為難民不會出現在人口登記上，所以當時逃到荷蘭的猶太難民，際遇還好過荷蘭本地的猶太公民。吉普賽人同樣在人口登記的推波助瀾下，遭到納粹迫害，受到的對待甚至更差。

這裡的教訓很清楚：荷蘭人提供個人資料時，是因為信任他們的政府，但完全沒預期到納粹會入侵。我們可能覺得自己活在民主國家，沒什麼好擔心的；但當時的荷蘭人也是這麼想的。我們無法預知未來會如何，也無法預期未來的政府是否能夠負起，我們希望他們保護資訊隱私權的信任。

正因為資訊隱私權立法困難、效果可疑、面對不確定的未來也沒有保障，要用它來應對數位記憶的問題，究竟是否適合，還需要研究。

---

《大數據:隱私篇》天下文化出版
全球大數據權威麥爾荀伯格針對數位時代提出新建言：
當網路普及、社群網站崛起；
當個人生活成為鉅細靡遺、無法刪除的數位記錄時

• 媒體生態協會「麥克魯漢媒體生態最佳書獎」
• 美國政治學會「普萊斯獎」（科學、技術與環境政治類）