(一) 個人資料保護問題
雲端商務及雲端運算技術發展上最受關注的議題,首推個人資料保護問題。我國在1995年便制定實施「電腦處理個人資料保護法」,成為亞洲最早的隱私保護立法,鑑於該法存在的缺失,立法院於2010年4月27日三讀通過電腦處理個人資料保護法修正草案,將名稱修改為「個人資料保護法」(以下簡稱個資法),並由行政院決定自2012年10月1日起正式施行,使得個人資料保護法制,邁入新的紀元。個人資料保護的概念源自於隱私權,司法院大法官會議曾在釋字第585號解釋中,表示隱私權雖然不是憲法明文列舉的權利,仍屬於人民不可或缺的基本權利,受到憲法第22條規定的保障。其後大法官更在釋字第603 號解釋中,提出「資訊隱私權」此一概念,並清楚表明資訊隱私權,是指「個人得自主控制其個人資料,決定是否揭露其個人資料,以及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權」。
雲端商務應用所應考量的個人資料保護問題,可概分為兩大面向,其一是業者投入雲端商務,蒐集消費者個人資料所須注意的相關規定,其二則是雲端商務業者與雲端運算服務提供者之間,因為個人資料產生的委託關係。首先,針對消費者個人資料的蒐集,依個資法第19條第1項規定,非公務機關必須有明確的「特定目的」,並應符合個資法第1項明訂的七款「特定情形」(例如書面同意、契約關係等)之一。目前實務上最常採用的方式,係透過第5款的當事人書面同意,取得個人資料,而根據個資法第7條規定,「第19條第5款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示」,一般民眾對於書面一詞,往往直接聯想為傳統概念上的白紙黑字,因此,法務部特別在個資法施行細則第14條中,說明「個資法第7條所定書面意思表示之方式,依電子簽章法規定,得以電子文件為之」。
所以雲端商務業者透過網路等電子方式蒐集消費者個人資料時,不僅應注意個資法,也應當詳讀電子簽章法有關規定。依據電子簽章法第4條第2項規定,「依法令規定應以書面為之者,如其內容可完整呈現,並可於日後取出供查驗者,經相對人同意,得以電子文件為之」,可知如果要以電子等非實體的方式取得個人資料,在個資法中「書面同意」要件符合上,雲端商務業者的網站設計(例如會員註冊流程),就必須達到可完整呈現內容並於日後取出供查驗等二項技術要件,方屬於合法蒐集行為。而另一個蒐集個資過程中經常發生的問題,則是疏漏未進行告知,或告知消費者的事項未臻完整。消基會於2013年1月發布的調查報告中,即顯示現階段國內僅有37%的業者落實個資法「告知義務」的要求,依個資法第8條規定,除符合第二項得例外免為告知的情形外,任何個人資料的蒐集取得,都必須告知個資法第8條第一項規定的6款事項。
針對營運中最為重要的雲端運算活動,雲端商務業者除自身具備相關技術外,多數情況下,仰賴外部技術服務提供者的協助,業者即使採用並建置「私有雲」(Private Cloud),其雲端基礎設施,仍可能委託第三方進行管理,連帶使得雲端運算服務提供者,無可避免地收受或接觸由商務業者蒐集的各項個人資料,從而構成個資法第4條所稱的「受委託蒐集、處理或利用個人資料」。除個資法第4條明確界定「受到非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關」外,個資法施行細則第8條更要求委託機關(雲端商務業者)應對於受託者(雲端運算服務提供者),進行適當之監督,該條第一項並提出6款監督管理所應包括的事項。因此,業者在尋找適合的雲端運算服務提供者時,應將個資法委外監督管理的要求,納為評估項目。
(二) 資料跨境傳輸問題
在電腦與自動化設備問世前,資料是多以紙本方式加以保存,即使出現跨境流通情形,仍易於知悉並控管資料的流向。但資通訊科技的快速進展,不僅大幅改變資料蒐集與利用的形態,也讓「資料跨境流通」(Transborder flows of personal data)情形,變得更加迅速與頻繁。特別是網路的普及應用,使人類的生活方式出現急遽變化,在地理疆界藩籬限制不復存在下,跨境傳輸個人資料,已成為輕易且常見之事。個人的生活逐步轉以數位方式加以紀錄,雖然已是不可抗的趨勢,但關鍵在於「個人能否掌握主導與決定權」。然而,雲端科技等新興技術持續問世,無疑加深隱私遭受侵害之疑慮。數位環境下的各種私密資料,原本分散於不同的應用服務、載具,甚至不同的網際空間,透過雲端科技,不僅使得相關資訊易於蒐集,亦更易於連接。雲端科技固然帶來新的商機,卻也產生新的挑戰。
雲端運算技術不僅衍生前述的個資保護課題外,也面臨資料發生「跨境移轉」的爭議。蓋雲端運算服務的提供,仰賴可儲存龐大資訊的「資料中心」,故資料上傳於雲端,事實上即是進入雲端運算服務供者所建置的各個資料中心。但雲端資料中心往往分散於世界各地,加上資料異地備源的需求,使得資料一經上傳於雲端,即同步傳輸至不同的國家。若雲端伺服器事實上位於使用者所在地以外的第三國,立即產生資料跨境傳輸情事。因此,國內就有學者指出,雲端技術的本質使得隱私保護成為一個跨國性議題,隨著雲端技術的發展與普及,使用者將逐漸明瞭其資訊的儲存與運算,係位於遠端且不確定位置的伺服器之上。
個人資料蒐集者無論出於何種動機進行跨境傳輸,已面臨過往未見的挑戰,伴隨隱私保護意識的提升,國際組織及主要國家,不僅紛紛制定個人資料保護規範,甚至開始限制個人資料的跨境傳輸行為。從1980年「經濟合作暨發展組織」(Organisation for Economic Co-operation and Development, OECD)訂定「隱私保護暨個人資料跨境流通綱領」(OECD Guidelines for the Protection of Privacy and Trans-border Data Flows)以降,到近期「亞太經濟合作會議」(Asia-Pacific Economic Cooperation, APEC)通過「跨境隱私保護規則」(Cross Border Privacy Rules, CBPR),國際組織對於資料跨國傳輸,已經由早期採取開放的立場,轉變為強調應於符合特定條件的前提下,方可進行資料的跨境傳輸。
國際隱私保護立法中,歐盟「資料保護指令」是最具影響力的立法,針對個人資料跨境傳輸問題,歐盟指令即規定接收資料的第三國,必須達到「適當保護程度」(Adequate level of protection),方可進行國際傳輸。但以國內法制而言,觀察個人資料保護法第21條規定,「非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:1、涉及國家重大利益。2、國際條約或協定有特別規定。3、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。4、以迂迴方法向第三國(地區)傳輸個人資料規避本法」,事實上係採取「原則開放,例外限制」的設計。截至2013年9月為止,國內亦僅有國家通訊傳播委員會在2012年9月公告限制「通訊傳播事業」經營者,將所屬用戶的個人資料傳遞至大陸地區,現階段尚無有關雲端運算服務提供者跨境傳輸個人資料的限制。
雲端運算服務提供者或使用者所應關注的另一趨勢,則是前述APEC於近期推動的「跨境隱私保護規則」。台灣在1991年加入APEC,是國內目前少數能派遣高級政府官員與會的主要國際組織。APEC在2004年10月通過「APEC隱私保護綱領」(APEC Privacy Framework),嘗試推動整合性的個人資料保護措施,其中,綱領第三部分要求各經濟體(Economy)應共同發展跨疆界的隱私規章,APEC遂進一步於2007年1月通過「跨境隱私保護規則」,制定經濟體跨國傳輸個人資料時所須遵循之細部規則。儘管國內個資法對於資料跨境傳輸,採取寬鬆的管理模式,由於我國屬於APEC經濟體之一,國內業者仍將直接面對來自APEC執行「跨境隱私保護規則」的壓力,相關產業應多加留意。
沒有留言:
張貼留言