2024-09-24|閱讀時間 ‧ 約 27 分鐘

物聯網(IOT)相關法律風險與管控初探—由企業法務角度觀察(中)



貳、隱私權

在物聯網的環境裡,個人隱私權主要受到三大挑戰。

第一,資料堆疊(data aggregation)。透過射頻辨識與感應接收,大量的個人資訊被收集或傳遞。個別而片段地儲存在射頻裝置內的個人資料,或許不致構成隱私威脅,但透過大量而長期的累積,若有心人投過AI大數據分析,即能過拼湊出具有個人特徵的行為模式。這對於 IOT設備的製造或供應商而言,不啻是一大商機。然若個人並未同意初始資料收集目的以外的其他用途,則個人隱私權是否就因此遭受到侵害? 特別是當個人片段資料透過不同的資訊匯流而整合(aggregate)時,例如,當家用智慧冰箱的食物儲存管理設定、智慧空調溫度與開啟設定、智慧電視選台紀錄、行車紀錄(如:高速公路收費紀錄)的資料透過IOT相互彙整之後,個人喜好、作息、行蹤將可能逐一浮現,而描繪出近乎完整的生活圖像。這些資料若轉賣給第三人做為商業使用,則個人隱私權可能遭到不當地干擾甚或侵害。

第二,隱藏收集(hidden collection)。大眾或許不知他們身上或周邊的設備正在收集其個人資料。例如,超商在其收銀台後方的電視螢幕上播送廣告上,並加裝小型攝影機,透過人臉或 眼球移動辨識,記錄消費者眼球所關注的商品,並分析其年齡與性別,進而推出投其所好的商品,並藉此加強廣告效果,增加廣告收入。問題是,若超商並未告知,則消費者無從意識 及同意他們的肖像正在被記錄、分析並做其他商業使用。此種未經消費者知悉並同意的個人資料收集,正是IOT商業模式的一項重大特徵,因此,業界需要對可能的法律風險預作分 析,而政府也應在鼓勵IOT的同時,對於現行隱私保護的法律或政策上做出相應調整。

第三,隱私權是一種基本權。不論是資料堆疊或隱藏收集,都對此一基本權造成干擾,進而影響大眾對於IOT運用環境的信賴。如前所述,使用者的信賴是IOT發展的關鍵。因此,如何教育消費者對於IOT環境下個人資料之收集、使用、與隱私權範圍的合理期待,在國會中又將如何說服⺠意代表,將絕對的隱私與行業的發展作適度的妥協(trade-off),或透過司法解釋,將隱私權改採相對權而非基本權的作法,均將是業界發展與政府的一大挑戰。

進一步分析IOT在隱私侵害方面可能的法律風險,還包括了:

一、如何能夠設計一套有效的介面(interface),令使用/消費者知悉並同意個人資料的使用? 在傳統的Internet環境之下,大眾一般是透過clickwrap (點擊同意)的方式,對於網路的近用(access & use)條件加以知悉並同意。然而,IOT環境基本上不存在這樣的互 動,遑論在隱藏收集的情況下,大眾根本不知IOT設備正在收集資料。因此,clickwrap的模式可能不適用於IOT設備。或有業者認為其收集的資料不足以產生個人辨識效果,因此不構成個人資料保護法所稱的「個人資料」。然而如前所述,IOT具有資料堆疊的特性, 經過不同的資訊匯流之後,也許就產生了完整的個人圖像。此時,個別的IOT設備製造或供應商或許對於隱私,或將足以構成促進(induce)侵害,甚或共同加害(conspiracy)的狀況。

即使廠商願意設計一套讓使用者進行知悉並同意的介面,然而在IOT環境下,大量且多樣的終端設備同時存在,消費者無從針對其日常生活所面對的終端設備一一設定其隱私權偏好,而廠商要針對大量而相異的其他廠商設備,做出一套彼此相容且能夠與使用者溝通其隱私設定的介面,在成本或技術上著實困難。

二、隱私權的保護標準,在法律實務上往往視個人所在場域而有不同。換言之,對公共空間的隱私保護要求程度,往往較私領域為低。然而,當傳統上應用於公共領域的監視技術大量地在私領域裡被採用,例如,醫院遠端監控長照中心,傳統的隱私權理論在IOT環境裡已無公私領域高低之分。則法院對於隱私權界線拿捏之分寸該做何調適?至今尚無先例。

三、 透過AI的大數據分析技術,加上IOT資料堆疊的特性,將使得IOT參與者的個人特徵更容易且更完整地被描繪出來。相對地,個人暴露在網路攻擊的可能性也隨之增高。

四、即使業者提供了IOT參與者同意個人資料被使用的機制,然而,IOT參與各方的談判能力(bargain power)往往不平衡。特別是公用設施的IOT,例如捷運使用人對捷運公司就監視拍攝畫面做商業分析的作法,毫無說不的能力。因此端賴IOT參與各方建立一套公平收集與使用資料的機制,包括資料分析的使用範圍、隱私保護範圍與使用目的之事先告知、商業利益分配或回饋、個人隱私受害補償等等。

五、既然傳統的個人「知悉並同意」理論無法有效地適用在IOT環境,是否可以仿效目前著作權統一授權機制,由政府或其他授權機構,成為使用/消費者之代理人,為使用/消費者的 利益,事前審核各IOT製造/供應商的隱私保護機制或商業使用目的,進行特定或概括的授權,並進行監督與查核?我們可以再作思考。

六、由於IOT可能跨國、跨文化地產生資訊匯流,而各國對於隱私的標準或規範可能不同。 因此,廠商在做隱私保護設計時,宜作盡職查核(due diligence),對可能進行個人資料收集 的國家先行布局,了解其相關法規,以為因應。

綜上所述,IOT將對傳統隱私權理論產生重大挑戰。各廠商應對使用/消費者所期待的隱私保護做較廣範圍的評估,並置於IOT技術與軟硬體研發、晶片功能、或產品設計之中。

分享至
成為作者繼續創作的動力吧!
© 2024 vocus All rights reserved.