|
让我们简单回顾历史:一九七九年,美国联邦最高法院在Smith v. Maryland[25]此一判决中指出,只要是个人「自愿公诸于世」(voluntarily made public)的资料,基本上便无个人隐私遭受侵犯的问题可言。但是,身处今日信息时代,「自愿」向政府提供个人信息,或者透过「自愿」拨接网络的动作,进而在网络上所从事的绝大部份活动,或许都可以解释成是出于「自愿」的。例如,在上述Cookies在与网络其它技术(如user authentication)结合之后,使用Cookies 的网站,对于该使用者「出于自愿」的网络旅行经验了若指掌:网络使用者在网络上循何种路径移动、从事哪些网络行为,已在不知不觉中暴露无遗。这种即使是属于「自愿」,但却根本「不知」自己相关资料正以各种形式被纳入不同数据库的情形,本质上是否违背个人尊严与意愿的核心价值,毫无「自愿」可言,所谓「自愿提供个人信息」的定义,是否应该重新厘清,在法律论证上不无讨论空间。
传统上隐私权提倡者针对资料搜集行为所做的响应,不外乎要求更为广泛的立法,例如在美国有以有系统的方式针对数字时代的隐私权保护进行联邦立法的呼声出现,在台湾主张修改现行计算机处理个人数据保护法者亦不在少数。不过,本文以下要尝试说明的是,为了达到信息隐私权保护的目的,如何创造维持一个健全的「隐私权市场」,或许是除了立法之外,可以考虑采行的保护策略。不可否认地,市场模式下的隐私权保护制度,仍然需要许多配套措施,方足以毕竟其功,但是,正因为厂商对消费者个人资料有其需求,也就出现了个人想要使这些信息保持其私有化状态的相对需求,市场因此成形。信息隐私权保护的最终答案,或许就在于让经过隐私权意识启蒙的个人或消费者,能够认同此一隐私权市场,就个人信息的搜集和使用,和信息贩售者谈判出可以接受的游戏规则。
肆、信息隐私保护的必要性与经济分析下的信息隐私权保护架构
在讨论个人信息的适当规范模式时,经常被提出来的说法,便是当个人信息的使用有利于公共利益所追求的目的时,便应该就信息隐私的保护做一定程度的让步,以便合乎经济效率的需求,换言之,个人信息的保护,除了从信息隐私权的角度进行探讨之外,尚须由社会整体经济利益的角度。然而,本文此处要强调的是,对个人信息采取必要适当的保护措施,对社会整体经济利益而言其实反而具有正面影响,因为,过于宽松或者不适当的个人信息保护措施,可能带来的负面影响往往高过于预期。首先,宽松或不当的个人信息隐私规范架构,将扭曲个人的行为,至于可能产生扭曲效果的个人行为,范围相当广泛,包括一般日常生活行为和选择是否上网进行交易的行为等等。再者,无法充分保障个人信息隐私,极可能产生扭曲市场的结果。简言之,宽松不当的个人信息隐私保护机制,会鼓励私人产业或公司从事选择性的行为,亦即所谓的cherry picking的行为;矫枉过正的风险分隔(risk segmentation)行为,虽然可以使某些厂商得利,但是,却会使整体使用者的成本增加,造成扭曲市场的结果。除此之外,我们之所以需要具有相当程度稳定性的信息隐私规范机制保护个人信息隐私,另一个原因在于厂商与个人之间没有任何可以仰赖的信息伦理规范可言,偏偏有心搜集信息的厂商与个人之间,对于个人信息的掌握,乃是处于权力不平等的状况,在高度发达的数字科技下,个人没有太多的选择以保障其信息隐私,一般而言厂商亦无保障个人信息隐私的诱因可言,于是有效的规范机制或者交易机制,便有其必要。
个人对自身信息的控制,构成信息隐私权的根本架构,进而引申出信息自我决定(information self-determination)论,固然是在法学界内普遍受到肯认的说法,但是此一诉诸个人自主性(individual autonomy)的论述,在网络社会里却仍然有相当不少的困难有待克服。
除了既有的信息隐私保护立法的主张之外,长久以来占据信息隐私保护领域的论述,一直是所谓由下而上(bottom-up)的产业「自我规范」(self-regulation)或者产业自律,亦即透过产业内部制定行为规章的方式所进行的自律措施。此一主张似乎认为一旦产业界设定了规则,来自于产业界内其它成员的压力,或者来自于市场本身的压力,便可以迫使业界成员持续遵守这些产业内部的行为规章。
然而,仔细探究之下,我们不难发现产业自律此一信息隐私保护模式其实面临相当多的限制。首先,产业自律模式乃是预设了信息隐私权保护所追求的所有价值,均能透过市场机制解决立场,然而,此一立场却忽略了隐私权的保护与参与式的民主体制应该息息相关此一前提[26];换言之,当我们容忍对个人进行监视的体制,却在这个体制内不赋予受监视的个人应有的参与决策和发言机会时,其实与极权体制无异。同时,将个人信息的保护交给市场机制处理时,也必须考虑会不会正巧落入市场失灵的典型里:一般而言,市场机制必须在公开透明的情况下,方能有效运作,亦即个人至少必须能够确认谁在搜集使用其个人信息,才有公开透明度可言,可是,搜集、使用和处理个人信息的厂商,却反而有意无意地将此一重点予以模糊化,而非透明化,导致个人无从真正自主控制其个人信息的使用与流向。究其原因,不外乎所谓个人信息搜集使用和处理方式的透明化,与厂商藉由隐密方式搜集使用处理个人资料而获取钜额商业利益的经济逻辑大相径庭[27],那么也就无怪乎研究显示绝大多数的产业自律措施,都未能满足信息隐私保障的基本原则要求了[28]。
|
