周宥廷 律師
一、前言
現代人廣泛使用各種網路平台業者開發的應用程式與他人分享生活、閱讀新聞、訂購商品以及保持聯繫。為提供消費者更好的使用經驗,網路平台業者諸如Facebook、Instagram、Google以及Youtube...等,會蒐集消費者的個人隱私資訊並加以分析,使其經營的網站能提供更貼近消費者需求的服務。因此,近年來,為保護護消費者的個人隱私資訊不被網路平台業者任意蒐集或作為非法用途,各國紛紛加強保護個人隱私資訊的法規(註1)。即使如此,近年來仍不斷傳出網路平台業者未經消費者同意即蒐集、利用其個人隱私資料的消息,歐美各國已有消費者團體向網路平台業者提起訴訟,要求其停止非法蒐集個人隱私資訊的行為,並且賠償個人隱私資訊已被侵犯的消費者因此所受的損害。(註2)
美國聯邦貿易委員會(Federal Trade Commission)為美國一獨立機構,其成立目的為促進消費者保護以及防止企業不公平競爭等,其下設有消費者保護局,得依職權調查企業對於消費者所為之不當或非法行為,並根據聯邦貿易委員會法(Federal Trade Commission Act),對違法企業做出裁罰或禁制令。2019年7月24日以及9月4日,美國聯邦貿易委員會分別針對Facebook以及Goole與其子公司Youtube,違反個人隱私保護相關法案、兒童網路隱私保護法(Children’s Online Privacy Protection Act of 1998 “COPPA”)以及聯邦貿易委員會法,裁罰Facebook、Google和Youtube高額罰款,不僅創下美國聯邦貿易委員會針對網路平台業者違反個人隱私資料相關法律的天價,也展現美國聯邦貿易委員會對於加強保護消費者個人隱私資訊的決心。本文以下謹簡介此兩個案例,或可作為我國企業於蒐集或利用消費者個人隱私資料之借鏡。
二、Untied States of America v. Facebook Inc.案(註3)
(一) 事實背景
因美國企業與歐盟人民之密切往來,有許多美國企業會因經濟活動關係取得歐盟國民之個人隱私資料,然,歐盟與美國對於個人隱私保護之法規有諸多不同之處。因此,為確保美國企業於蒐集或利用歐盟國民之個人隱私資料時符合歐盟法規範,美國與歐盟於2010年7月21日,基於加強保護美國國民以及歐盟國民的個人隱私之目的,共同簽署並執行安全港隱私原則(Safe Harbor Privacy Principles)(註4)。該原則係由美國與歐盟共同設立的私人調節機制,美國企業得自由選擇是否要遵循安全港隱私原則。若美國企業決定遵從安全港隱私原則,該企業遵循安全港隱私原則所蒐集或利用之歐盟國民之個人隱私資料,即可能亦符合歐盟當時的個人資料保護法規範。然而,若美國企業對外聲稱其係遵循安全港隱私原則處理個人隱私資料,但實際上並未依照該原則處理個人隱私資料,該美國企業即違反聯邦貿易委員會法中有關禁止企業為不公平行為以及詐欺行為之條款,美國聯邦貿易委員會得根據聯邦貿易委員會法,對於美國企業對消費者詐欺或虛偽陳述其係遵循安全港隱私原則之行為予以裁罰。
2012年,美國聯邦貿易委員會經過調查後起訴Facebook,主張Facebook多項宣稱其對使用者個人隱私資訊採取的保護措施實際上是不存在的,其中,包括第三方應用程式(third-party developer)得任意蒐集Facebook使用者限制僅有「朋友」或「朋友的朋友」可以存取的貼文及照片…等資訊。美國聯邦貿易委員會發現,Facebook雖向其使用者表示,使用者可於隱私設定中自行決定其個人資訊以及於Facebbo上的貼文、照片或影片僅得由「朋友」或「朋友的朋友」取得,然而,事實上,如果Facebook使用者與該使用者於Facebook上的朋友皆使用了某個第三方應用程式,此項隱私設定對於Facebook使用者及其朋友皆有下載使用的第三方應用程式是無效的,該第三方應用程式會經由Facebook一名為Graph API的系統,蒐集Facebook 使用者朋友之個人隱私資訊,包括Facebook使用者朋友的生日、家鄉、社交活動、興趣、Facebook狀態更新、職業以及影片和照片...等。雖然Facebook當時於使用者的隱私設定頁面提供一連結,使其使用者可透過該連結連到應用程式設定頁面更改設定,使第三方應用程式無法透過該使用者的Facebook朋友取得該使用者的個人隱私資訊,但是,Facebook並未向其使用者揭露可以如何更改此項設定的路徑,亦未向其使用者揭露即使Facebook使用者限制其貼文或其他個人隱私資訊只能由「朋友」或「朋友的朋友」看到,第三方應用程式仍可能透過其Facebook朋友取得所有資料。因此,Facebook違反安全港隱私原則,且因對消費者為詐欺或虛偽陳述,進而違反聯邦貿易委員會法禁止為不公平競爭行為或詐欺行為之規定。嗣後,Facebook於2012年7月27日和美國聯邦貿易委員會達成和解,同意更新其網站的隱私保護條款,並且加強對於其使用者個人隱私資料的保護,包括不再允許第三方應用程式可未經其使用者同意即蒐集使用者的個人隱私資訊。
然而,Facebook與美國聯邦貿易委員會達成和解後,仍未誠實向其使用者揭露第三方應用程式蒐集Facebook如何蒐集個人隱私資料的相關資訊,也未按照美國聯邦貿易委員會的決定更新網站的隱私設定,甚至,在2015年11月到2018年3月間,Facebook鼓勵其使用者提供個人資訊,例如手機號碼,做為兩階段驗證個人身分之用途,然而,Facebook並未告知使用者,使用者提供的手機號碼也會被用於廣告用途。為此,美國聯邦貿易委員會於2019年再度起訴Facebook,主張其下列行為違反美國聯邦貿易委員會於2012年做成的決定或聯邦貿易委員會法有關禁止企業為詐欺或不正當行為的規定:
1. 雖然Facebook曾於2012年短暫的向其使用者公告:「任何你分享資訊的人皆可以分享你的資訊給其他人,包括第三方應用程式」,但是該警語於美國聯邦貿易委員會2012年的決定做成的4個月後即被移除,而Facebook的隱私設定頁面依舊沒有向其使用者揭露其設定僅能由「朋友」或「朋友的朋友」觀看的貼文、社交活動或是其他個人隱私資訊仍可能被第三方應用程式取得,Facebook亦未向其使用者揭露更改此項設定的路徑。
2. 除非Facebook使用者知悉其個人隱私資訊會被第三方應用程式取得,且Facebook向其使用者表示必須要到應用程式設定頁面更改設定,否則Facebook使用者不會特地至應用程式設定頁面更改設定。相對的,Facebook於其平台設定頁面(platform setting)告知其使用者,如果使用者選擇不讓第三方應用程式分享資料,該使用者不能再使用Facebook,因此,於2012到2015年間僅有非常少數的人選擇不與第三方應用程式分享資訊。Facebooke該些行為亦涉及破壞消費者的隱私設定選擇。
3. 2013年3月,Facebook更改手機的設定頁面,移除隱私設定頁面與應用程式設定頁面的連結,且使用者無法於設定頁面的第一頁發現應用程式設定頁面包含應用程式的隱私設定選項,而Facebook的自動設定為其使用者授權第三方使用者蒐集Facebook使用者的個人資料。同樣的,於手機的平台設定頁面,Facebook告知其使用者,如果選擇不讓第三方應用程式分人資料,該使用者不能再使用Facebook。美國聯邦貿易委員會因此認為Facebook的手機設定亦欺騙其使用者。
4. Facebook注意到了其允許數以百萬計的第三方應用程式蒐集、存取Facebook使用者朋友的個人隱私資訊,已造成隱私風險。根據Facebook的內部資料及其資深主管的陳述,Facebook於2013年時即注意到第三方應用程式透過Graph API大量獲得超過實際使用該第三方應用程式者的個人資料,包括:照片、影片、喜好、狀態...等。雖然Facebook在2013年到2014年間多次更改隱私設定頁面以及應用程式設定頁面,但是,沒有一項更新係通知其使用者,其所下載的第三方應用程式會透過該使用者存取該使用者朋友的個人隱私資料。
5. 雖然Facebook在2014年4月時通知其使用者,Facebook將停止使用Graph API,並以Graph API V2取代,因此,第三方應用程式將不會再蒐集Facebook使用者的個人資料。然而,事實上,針對2014年4月前已存在的第三方應用程式,Facebook給予其1年的時間繼續蒐集Facebook使用者的個人隱私資料。甚至,Facebook事實上並未真的完全停止使用Graph API。Facebook同意約莫200個第三方應用程式,包括遊戲商、零售商以及科技公司等,得繼續透過Graph API蒐集其使用者的個人隱私資訊,Facebook顯然並未向其使用者揭露此項事實,並欺騙其使用者Graph API已被移除。
6. 根據美國聯邦貿易委員會於2012年做成的決定,Facebook應建立並維持一個適當的安全措施,並且控制第三方應用程式任意蒐集使用者的個人隱私資料,但是Facebook並沒有確實依照2012年的決定實施任何安全措施。
7. 2018年5月,Facebook開始鼓勵使用者登錄電話號碼或使用第三方認證程式,用以驗證登錄Facebook頁面的使用者身份是否真實。Facebook宣稱這會使使用者的帳號更安全、使使用者更容易與其朋友在Facebook上聯繫以及幫助使用者解決登錄問題。但是,事實上,Facebook蒐集其使用者的電話號碼後,會將其作為廣告用途,Facebook顯然欺騙其使用者蒐集電話號碼的目的。
8. 2017年12月,Facebook推出新的臉部辨識功能(Facial Recognition Templates)以取代原先的標籤辨識(tag recognition)功能,該功能係用以自動辨識Facebook使用者朋友上傳的照片或影片是否包含使用者。雖然臉部辨識功能頁面聲明:「如果你選擇打開此功能...」,然而,事實上,Facebook的系統預設該功能為打開,因此,Facebook使用者僅能選擇關閉,Facebook於此項功能的描述顯然與事實並不相符。
(二) 美國聯邦貿易委員會決定
2019年7月24日,Facebook再度與美國聯邦貿易委員會就其上述起訴內容達成和解。美國聯邦貿易委員會決定裁罰Facebook 50億美金,創下美國史上針對違反個人資料保護規定的最高罰金。除此之外,美國聯邦貿易委員會修正其於2012年對Facebook所為的禁制令(Injuntive relief)內容,除禁止Facebook繼續就其蒐集、使用或處理個人隱私資訊之行為及內涵為任何詐欺或虛偽不實的陳述外,並要求Facebook加強對個人隱私資訊加強下列保護措施:
1. 如Facebook使用者已限制個人隱私資料之存取,而Facebook會分享該使用者的個人隱私資料予他人,Facebook應給予該使用者清楚且顯眼的(Clear and Conspicuous)通知,並且取得該使用者的明示同意(express consent)。
2. 如果使用者已經刪除其貼文或停止使用/刪除他的Facebook帳號,Facebook必須保證該使用者的個人資訊,自該貼文被刪除時起或該使用者停止使用/刪除他的Facebook帳號之日後一段合理的時間內(不得超過30日),該貼文或帳號的個人資訊不會被第三方應用程式取得。此外,Facebook應保證該貼文或帳號也會自Facebook的服務器刪除,或是被去除身分識別性(de-identified),使該帳號不會再連結到使用者的個人身分。
3. Facebook不得將使用者為了帳號安全以及登入帳號方便而提供的電話號碼,以廣告為目的為使用,或與任何第三方應用程式分享Facebook使用者的電話號碼。
4. Facebook應運行並維持一個完整的資訊安全系統( information security program),該系統針對蒐集、儲存、傳送或使用Facebook使用者的密碼應特別遵循下列規則:
|
(1)
|
不能要求使用者的密碼連接到任何第三方應用程式以作為登錄Facebook、身份認證或創建帳號程序的一部分。
|
|
(2)
|
當傳送或儲存使用者密碼時應予加密保護。
|
|
(3)
|
對使用者密碼實施一個常規的、自動的掃描,用以偵測使用者密碼是否被以純文本形式儲存在Facebook的資料庫,並且予以加密保護或刪除。
|
5. Facebook應刪除任何已存在的臉部辨識系統,且未來不得再創造任何新的臉部辨識系統,除非Facebook明顯且清楚的於隱私政策頁面、資料政策頁面以及責任與義務聲明頁面以外的地方,通知使用者其將會如何使用或分享臉部資訊,並且獲得使用者的積極明示同意(Affirmative express consent)。
6. Facebook應建立並且實施一個隱私計畫(Privacy Program)以完整的保護使用者的隱私資訊。為滿足美國聯邦貿易委員會的決定,Facebook應於決定做成之日起180天內向美國聯邦貿易委員會提交有關隱私計畫的內容、實施及維護方法,並指定合格的員工負責此項隱私計畫以及分析資料。
7. Facebook應於120日內成立一個獨立的隱私委員會(independent privacy committee)。
另外,美國聯邦貿易委員會也要求Facebook應針對上述改善內容定期向聯邦貿易委員會提出報告,並且妥善保留所有記錄以供聯邦貿易委員會持續監督Facebook是否遵循此決定保護使用者的個人隱私資料。
三、Federal Trade Commission and People of the State of New York v. Google LLC and Youtube LLC案(註5)
(一) 事實背景
美國於1998年制定兒童網路隱私保護法(Children’s Online Privacy Protection Act of 1998 “COPPA”),該法案係針對美國13歲以下兒童於網際網路中的個人隱私資訊保護的規範。根據兒童網路隱私保護法,如網站經營者(website operator)提供任何直接面向兒童的商品或服務,並會於其網站中蒐集使用其網站服務的兒童的個人隱私資料,該網站經營者於網際網路中蒐集兒童的個人隱私資料之前,應通知兒童的父母並獲得父母的可認證同意(verifiable consent),始可蒐集兒童的個人隱私資料。美國聯邦貿易委員會會根據網站提供商品或服務的主體、視覺內容、是否使用卡通人物、音樂...等各種客觀因素,判斷網站經營者是否提供直接面向於兒童的服務。如果網站經營者明確知悉(actual knowledge)其正在蒐集兒童使用者的個人隱私資訊,該網站經營者被視為提供直接面向兒童商品或服務的公司,並應受到兒童網路隱私保護法的規範(註6)。兒童網路隱私保護法並規範網站經營者給予兒童父母通知的方法:網站經營者得於其網站或提供網路服務處張貼一明顯、可理解的而且完整的通知,或直接提供兒童的父母一個明顯、可理解的而且完整的通知。該通知裡應包含網站經營者會蒐集甚麼樣的兒童個人隱私資訊,網站經營者會如何使用其蒐集的兒童個人隱私資訊...等內容。美國兒童網路隱私保護法更進一步的禁止網站經營者在未通知且獲得兒童父母的事前可認證同意前,持續地基於於網站中插入行為定向廣告(behavioral advertising) (註7)的目的而蒐集兒童個人隱私資訊。
Google於2006年收購Youtube,雖然Youtube的使用者不須創立帳號即可在Youtube上閱覽影片,但是,如果使用者要上傳影片或評論他人影片,使用者可藉由Google在Youtube平台上創立一個帳號以使用上傳或評論功能,該使用者上傳的影片可能包含任何直接面向兒童的影片,甚至建立一個直接面向兒童的頻道。如果Youtube的頻道所有者允許Google和Youtube在他們的影片中播送行為定向廣告,該Youtube頻道的所有者可藉此賺取廣告投放費用。當Youtube頻道所有者同意設定行為定向廣告,為了追蹤觀看者的網路行動並且提供切合觀看者需要的廣告,Google和Youtube會蒐集和觀看者有關的觀看歷史紀錄(Cookie)或是行動裝置的廣告識別碼(mobile advertising identifier)。
Youtube擁有多個受兒童歡迎的商品或服務的頻道,且該些頻道的目標對象顯然是設定為兒童。例如:芭比娃娃和怪物高中娃娃的製造商擁有的Mattel 頻道、彩虹小馬和培樂多的製造商的Hasbro頻道。除此之外,Youtube自身亦擁有且維持多個直接面向兒童的頻道,例如:Youtube Kids、Cartoon Network、Dreamworks TV…等。此外,根據Youtube多次對外表示其已為可對抗頂尖兒童電視節目的網路頻道、2歲到12歲的觀看者投票結果顯示Youtube廣受兒童歡迎、Youtube已為提供兒童商品或服務的領導者…等發言,Youtube顯然明確知悉其網站中有多個頻道的內容係直接面向兒童。
然而,根據美國聯邦貿易委員會的調查,Youtube雖然自詡為受兒童歡迎的網站,其卻在回覆廣告商的電子郵件中表示Youtube沒有年齡13歲以下的兒童觀眾,也沒有針對年齡13歲以下兒童觀眾所設立的頻道,因此,在Youtube上經營的頻道不需要受到兒童網路隱私保護法的規範。除此之外,Youtube內部設置有內容評鑑系統(content rating system),該系統會根據年齡將影片的內容作分類,其中,包含影片內容係面向13歲以下兒童的分類。但是,Youtube並未特別將這些顯然是為了13歲以下兒童所做的影片,就蒐集個人隱私資料的方法另外分類,換言之,Youtube持續准許該網站的所有頻道設定行為定向廣告,而Google和Yoututbe則藉此蒐集兒童的個人隱私資訊。為此,美國聯邦貿易委員會和紐約州政府共同起訴Google和Youtube,主張Google和Youtube明知其提供的網路服務係直接面向兒童,卻未先通知兒童的父母並獲得兒童父母的可認證同意,即持續地透過Youtube影片或頻道之行為定向廣告設定,來蒐集兒童個人隱私資訊,已違反兒童網路隱私保護法。
(二) 美國聯邦貿易委員會決定
2019年9月4日,Google以及Youtube和美國聯邦貿易委員會以及紐約州政府達成和解,Google和Youtbe因違反美國兒童網路隱私保護法以及美國聯邦貿易法,應於30天內共同給付美金1億3千6百萬美金給美國聯邦貿易委員會,以及3千4百萬美金給紐約州政府,為美國目前針對保護兒童隱私的最高罰金。除此之外,美國聯邦貿易委員會對Google和Youtube發布永久禁制令(permanent injunction),變相要求Google和Youtube應更改Youtube網站蒐集兒童個人隱私設定如下:
1. Youtube應建置一個系統,使頻道所有者得特定其影片內容是否係直接面向兒童,該系統應包括一個清楚且顯眼的(Clear and Conspicuous)通知,通知頻道所有者其內容係面向兒童,因此該頻道所有者應受到美國兒童網路隱私保護法的規範。另外,Google和Youtube 應每年對負責管理和頻道所有者關係的員工提供遵循美國兒童網路隱私保護法的訓練。
2. Google和Youtube應該直接通知兒童的父母有關其如何蒐集、使用或處理兒童個人隱私資料。如果Google和Youtube嗣後變更任何和蒐集、使用或處理兒童個人隱私資料有關的條款,亦應直接通知兒童的父母該變更內容。Google和Youtube應該在其網站的首頁或網站中任何會蒐集兒童個人隱私資料的地方,張貼顯眼且清楚的連結,該連結應連結至有關Google和Youtube蒐集兒童個人隱私資料之通知。此外,在蒐集、使用或處理兒童個人隱私資料前,應獲得該兒童父母的可認證同意。
3. Google和Youtube不得再揭露、利用或獲利於先前已蒐集的兒童個人隱私資料。
除此之外,美國聯邦貿易委員會亦要求Google和Youtube應定期向美國聯邦貿易委員回提交相關報告,以利美國聯邦貿易委員會監督Google和Youtube是否遵循此決定並改善其對於兒童的隱私保護政策。
四、結論
網路時代,每筆個人隱私資訊皆具有金錢價值,業者蒐集大量網站使用者的個人資訊後加以分析,用以得知使用者的偏好,進而針對不同年齡、性別、國家的使用者個別推出其願意花費金額購買的商品或服務。在可預見的未來,提供商品或服務的網站業者,也許會透過大數據或是AI人工智慧的分析,搶先比消費者更了解消費者本身的需求,並於消費者發出需求前先提供商品或服務。個人隱私資料背後的價值如此珍貴,因此,雖然美國聯邦貿易委員會早於2012年即要求Facebook改善隱私設定,Facebook卻遲遲未改善其對於個人隱私保護的設定,並於2019年再度遭到美國聯邦貿易委員會的裁罰。雖然美國聯邦貿易委員會今年分別對Facebook、Google以及Youtube違反個人隱私保護以及兒童網路隱私保護,創下史上最高紀錄的罰款,但相較於Facebook、Google和Youtube的營收(註8),此兩筆罰金是否真的能促進Facebook、Google以及Youtube改進其對於個人隱私保護的相關措施,仍有待觀察。
※ 註釋 ※
|
1.
|
例如,歐盟自2018年開始實施個人資料保護一般規則(General Data Protection Regulation, GDPR),以取代原先的個人資料保護指令(Data Protection Directive)。
|
|
2.
|
例如,Amazon經由其所推出的家庭智慧聲控產品-Alexa,於消費者使用Alexa的時候,將消費者對Alexa的說話內容錄音並傳送到Amazon的遠端員工處,Amazon的員工因此可以得知消費者於家中的隱私談話,而這些被錄音的內容的談話對象,包括未滿13歲的兒童。甚至,Amazon針對兒童推出的Echo Dot Kids Edition 亦未先通知兒童的父母,也未獲得兒童父母的同意,即擅自蒐集兒童於家中對Echo Dot Kids Edition的談話。因此,2019年5月9日,19個消費者暨兒童隱私保護組織起訴Amazon,指控Amazon違反美國的兒童網路隱私保護法。
|
|
3.
|
請參見美國聯邦貿易委員會於2012年對Facebook的起訴書以及決定: In the Matter of Facebook Inc., a corporation, Docket No. C-4365 (2012); 美國聯邦貿易委員會於2019年對Facebook的起訴書及決定: Untited States of America v. Facebook, Inc., a corporation, 19-cv-2184 (2019). (https://www.ftc.gov//092-3184/facebook-inc,最後點閱日:2019年9月23日。)
|
|
4.
|
Safe Harbor Privacy Principles, export.gov, https://www.enisa.europa.eu/topics/safe-harbor-privacy-principles(最後點閱日:2019年9月23日。)
|
|
5.
|
請參見美國聯邦貿易委員會對Google和Youtube的起訴書以及決定: Federal Trade Commission and People of the State of New York v. Google LLC and Youtube LLC, 19-cv-2642 (2019). (Google LLC and YouTube, LLC, ,最後點閱日:2019年9月23日。)
|
|
6.
|
COPPA, CHILDREN'S ONLINE PRIVACY PROTECTION RULE ,最後點閱日:2019年9月23日。
|
|
7.
|
行為定向廣告係指一種廣告推薦系統。網站經營者會藉由追蹤以及蒐集使用者的網路瀏覽歷史資料,演算出使用者的個人偏好,並且根據使用者的個人偏好於網站中投放以及推薦適合使用者的產品,以增加廣告瀏覽率,並進一步增加廣告業主的銷售量。
|
|
8.
|
Facebook 2019年第一季營收為151億美元,Google的母公司Alphabet 於2019年第二季的營收,光是廣告營收即為 326億美元。
|