|
当然,我们也不应否认产业内部自律规范本身仍然可能会是有效的规范机制,但是,这种规范机制能够成功的必要条件,却在于规范执行者的范围,至少包括必须承担受规范行为成本者在内。然而,仔细检验之下,我们却可以发现发展出规范来进行自我规制的产业本身,似乎并不需要负担个人信息遭到滥用或误用的真正成本,真正的信息隐私成本,最后其实是由个人负担,而非由厂商负担,因此产业内部自律规范执行效果不彰,似乎也就不难预期了。
其次,厂商针对其信息搜集行为所受到的责难提出的标准响应,是宣称保障个人「选择」权----也就是赋予个人选择其信息应该如何被使用的权利。目前诸多网络经营者或者厂商所采行的促使个人进行选择的标准方式,则是透过在网页上张贴隐私权保护书面的文本(text)方式为之----也就是藉由说明该网站针对隐私权事项所拟定的隐私权政策声明,以及赋予消费者针对该网站处理隐私权的方式选择加入(opt-in)或者选择退出(opt-out)的权利,达成其保护个人信息隐私的目的。然而,不可否认的是,此种诉诸书面文本的契约模式,如果要认真执行,处理成本势必相当高昂,然实质意义却相当有限。毕竟,很少有人会有充分的时间或者耐心,去详细完整地阅读那些描述如何控制个人信息流向的模糊规则的繁杂文件,我们甚至不难发现,这种契约模式的可议之处,很可能在于其基本上已经假设了网络使用者是在完全「自愿」的情况下,提供个人资料的前提,但是,不幸的是,衡诸实际技术状况,网络使用者很可能并不是真正「自愿」提供个人资料的。对于这些制式契约,使用者几无协商修改的可能性,而一旦拒绝提供个人资料给某一特定网站时,结果通常是无法换取进入该网站(例如无法阅读芝加哥论坛报)的权利,在这种片面游戏规则下,网络使用者并无真正选择自由可言。假使未来网络上所出现的主导模式是此种契约规范模式,对于绝大多数的网络使用者而言,提供详细的个人资料很可能成为从事网络活动的「必要之恶」,而不是真正获得更多的选择自由。而所谓的「自愿」,也很可能是一种「被迫的自愿」而已,因此,此种契约模式应该如何微调修正,值得进一步检讨与精致化。我们真正需要的,或许是一种能够让某种自动化的代理机制为我们针对隐私权保护问题进行协商的模式,而这个代理机制则熟知用者在信息隐私权的偏好方面喜欢什么,不喜欢什么。
换言之,所谓网络使用者的自主同意,本质上即相当难以完全达成。要使得网络使用者能够在不同的信息隐私保护可能性之间做出完全自主的选择,前提是使用者必须对各个可能性的内涵有充分的理解,然而,目前的网络现况却绝非如此,毕竟,网络使用者对于其造访浏览的网站,尤其是这些网站搜集个人信息的行为,通常缺乏了解[29],此一信息不对称(information asymmetries)现象,不但起因于理解网络技术的困难,也和多数网站自我揭示的隐私权保护政策往往不够明确,亦即未能充分揭露网站如何搜集和利用网络使用者的个人信息,有极高的关连,而且,对于使用者来说,恐怕也难以细读或理解这些隐私权保护政策的内容。接着,就算隐私权保护政策的内容相当明确,但是面对网络上所呈现出来的制式化隐私权保护契约用语,在种种主客观因素限制下,网络使用者除了同意产业界所共同拟定的制式内容之外,似乎别无选择[30],换言之,从经济学的角度来看,消费者在面对预设的契约条款时,通常会显现出相当强烈而普遍的惰性,因而放弃进一步的协商,就此而论,我们实在很难推导出网络使用者会有真正自主选择可言。
再者,网络世界的信息隐私保护问题,本身还蕴含集体行动(collective action)必然出现的典型困境[31]。首先,对网络世界所显现的信息隐私权威胁具备必要知识或基本认知的网络使用者,是否已经到达临界数量点(critical mass),即有可疑之处,即使这群网络使用者的确存在,其它网络使用者也很难利用这些认知较为充分透彻的使用者所拥有的信息隐私权保护知识,同享搭便车(free riding)的好处。就算在市场机制下,诉诸科技保护信息隐私的解决模式,仍然难以克服此处所讨论的集体行动问题。
更进一步言之,所谓的同意,当然必须蕴含「拒绝」的可能性在内。然而,从网络世界的现状来观察,我们可以发现网站经营者可以从所谓的「产业自律」订定标准化的隐私权保护政策中获益,而一旦产业内部「锁定」隐私权保护程度较低的标准化内容,使用者便难以更改,加上网络使用者之间普遍的集体行动困境使然,此类表面上看来诉诸自主选择的信息隐私保护架构,其实无异于一场take-it-or-leave-it的游戏,如果我们不承认这类隐私权政策在法律制度内「创造出拟制的同意」(create a legal fiction of consent),或者构成默示的同意(implied consent),那么,除了离开网络世界之外,对于珍惜信息隐私权者来说,别无选择。
同时,目前网络世界习见的标准化隐私权保护政策,常常会导致网络使用者在「实然」与「应然」两者之间产生混淆的结果。目前习见的论述,不外乎「产业自律会导致标准化隐私权保护政策的出现,而标准化政策的出现,证明信息隐私权在网络世界里受到相当程度的保护」,在这个逻辑下,或许很快地「上网」这个动作便会与愿意放任个人信息充做任何用途,直接划上等号。于是,我们可以发现,虽然我们将「告知」(notice)与「同意」(consent)两者,当做适当健全的信息隐私权架构中必备的要件,但是,倘若未能有适当的配套措施,上述两者依然无从真正达到保护信息隐私权的目的。
|
