|總編踏話頭|
網路科技發展迅猛,早已遠遠超越資料搜尋傳遞的範疇。對於現代人來說,日常生活的一舉一動都會在網路上留下足跡,每個人的隱私、偏好、財務狀況皆無所遁形。掌握上述關鍵數據的跨國企業,成為自外於國家政府且能影響世界的超極強權,是否能夠接受有效監督及制約,避免濫用資料侵害自由,是關注數位人權的重要課題之一。
總編輯|陳逸凡
【林婉婷專題報導】9月28日晚間,台灣人權促進會於南部、北部辦公室與線上同步進行「撥開煙霧繚繞的數位監控——談《數位人權在台灣》評比與企業問責」專講,由台權會南辦主任楊紫婷主持,開放文化基金會研究經理湯家碩、台權會數位人權專員周冠汝擔任與談人,與民眾交流數位監控、隱私保障、資訊自主權等議題。
楊紫婷說明,講座的第一個重點是透過開放文化基金會與台權會合作的《數位人權在台灣:2022企業責信報告》,了解台灣電信業者、網購平台、人力銀行、社群媒體在搜集與處理個人資料時,是否有確保隱私權、是否有侵害言論自由等情形?第二是對照、參考國際在數位人權方面的行動案例;第三是思考台灣可以如何倡議與改善問題。
■ 科技人 關心科技也關心人權
開放文化基金會是由一群科技領域人士於2014年創辦,起初是關注「開放原始碼」議題,後延伸至開放資料、開放政府等,旨在提升資訊透明度和公民參與度;最後踏入數位人權、網路自由領域。
關於為何關注科技議題的團體會開始關注人權,湯家碩解釋,主要其實就是因為「人權」本身的定義,人是指具有普世性、超越國家主權,且權力是指原則上應得、有資格享有的事物或被對待的方式。他強調,人權標準是動態的,可以是依據道德,也可能是根據法律。在某些時代,人權曾僅限於某種性別或族裔,而透過人類社會長時間的變遷與辯證,才有更多元觀點與定義誕生。
湯家碩指出,要理解數位人權,首先應了解網路使用程度與服務內容。網路的起源是基於共享的「去中心化」思維,網路是自由空間,連接不同服務讓使用者自由選擇;然而,現在的趨勢是網路服務開始集中在少數平台,包含超級APP的產生,即單一供應商提供多元服務、自成生態系,例如可以付款、叫車、通訊、玩遊戲、看新聞與看影音的LINE。而所謂數位人權,是指人在網路世界和實體世界受到相同的保障,也就是已經在現實世界討論與執行的人權保障,在網路世界也是如此運作。另一個定義則是因應科技發展而產生新的權利,相關要點可參考進步通訊協會(APC)的《數位權利憲章》,內容包含:普及網路服務、網路言論與集會結社自由、藉由數位科技達成政府公開透明、藉由數位科技達成共享學習與創新、保障數位隱私、極小化監控、多邊且民主的網路治理、數位人權受到國家與國際保障等。
湯家碩提到,台灣政府其實也制定數位人權相關政策,不過聚焦在弭平數位落差和如何避免網路霸凌、騷擾等負面影響等。這部分與目前國際討論的廣度、深度稍有差距。
湯家碩推薦眾人可以閱讀學者蘇佐(Nicolas P. Suzor)的著作《Lawless: The Secret Rules That Govern Our Digital Lives》(暫譯《無法可言:統治我們數位生活的祕密規則》),可以更了解大型平台的業者如何掌控、主導數位世界,透過不同條款來治理使用者,例如禁言、封鎖、降低觸及率等。而平台與使用者之間不對等的關係,以及國家有限的介入,更局限服務條款的保障效力,例如常見的「不同意可能就無法繼續使用」。
另一方面,平台透明化和責任很難受到監督,湯家碩點出,企業可以用平台為「私有財」並以商業機密與客戶私人契約等方式來拒絕社會與政府問責。但事實上,網路平台某方面其實已經變成「公領域」,不再只是私有財,企業是否也需要負擔更多社會責任?而讓政府有權加強對數位的管理,是有助於保障人權,還是可能加強監控?湯家碩認為這些問題都需要更多思考與探討。
■ 做評估 標準化調查盼引重視
《數位人權在台灣:2022企業責信報告》的誕生,出自公共政策智庫「新美國基金會」(New America)資助的獨立計畫「數位人權排名」(Ranking Digital Rights,RDR)的亞洲區域專案之一;當時開放文化基金會被安排負責台灣研究,並於台灣人權促進會合作完成這份報告。
湯家碩介紹,RDR是以可量化、標準化的評估工具來檢視企業的數位人權狀態,因此能夠客觀比較與排名。其評估方式是用企業公開資料,而不是另行調查、深入個案,這個方式是期望這些由國際以客觀標準來呈現的數據,能夠被政府、公民團體與使用者來應用,促使企業改善不足。
開放文化基金會與台權會總共評估20家台灣企業或亞洲區域服務供應商,17家是數位平台,三家是電信公司,類別有社群媒體、人力銀行、電商和電信。RDR共有58項指標,台灣評估時選擇29項,主要在關注數位隱私面向。
湯家碩比較台灣與歐美的表現:台灣平均得分是22.77,歐美是46.83;當中以「公司治理」面向的差距最大,台灣為17.19,歐美為44.29。湯家碩認為,有個原因是目前台灣僅要求實收資本額達20億元的上市櫃企業要提交編永續報告,所以多數業者沒有相關相關檢討與改進機制。雖然遠傳電信有製作永續報告,但人權表現是由內部主管填答,且風險評估僅聚焦在架設基地台對健康的影響等。
而台灣在「言論與資訊自由」得分平均是30.81,這也是三個面向的最高者,湯家碩表示,原因是台灣社會仍為相對民主的環境。不過他特別提醒要留意「追蹤式廣告」(目標式廣告、行為定向廣告等)的問題,現在的廣告投放模式是追蹤使用者網路行為資料、結合業者的廣告性質,成為報價單、競價並投放給使用者。他指出,這涉及隱私權與自主權議題,然而台灣各平台隱私政策的定義攏統,在落實《個人資料保護法》方面流於制式,僅寫明大方向與大類,缺乏詳細說明,所以使用者也不知道連平台具體搜集自己哪些資料。
調查後,開放文化基金會與台權會將結果寄給這20家企業、收到七家回應,並有四家進一步與他們討論政策,最終僅一家改變,在搜集使用者行為資料時有加註說明。
湯家碩小結,與國際組織合作確實能喚起國內企業重視與回應,而以「同業排名」來呈現數據,有助於形成競爭壓力,且母公司對企業形象的顧慮,也促使他們要求子公司正視問題。然而缺乏人權團隊的企業只會把數位人權議題視為公關問題,因此較難帶動技術、法務部門跟進並真正改變平台運作方式與使用條款。
■ 看國際 借鑑網路管理怎麼做
對於網路管理怎麼做,周冠汝首先點出國際間要求企業社會責任的標準,例如聯合國的《工商企業與人權指標原則》(UNGPs),台灣雖有以此為基礎制定《企業與人權國家行動計畫》,但聚焦在已發生的問題,較少預防性、數位與科技產業的議題。另有《聖塔克拉拉原則》(Santa Clara Principles),第一版本主要是三項原則:公開限制內容數量、告知當事人原因、提供有效申訴管道;第二版本增加人權考量、詳述政策、審查人員具備文化辨識能力、當國家參與審查時加以說明等。該原則曾在台灣《數位中介法》草案中被引用,但該原則主要還是企業自律標準,不建議直接作為法律。
周冠汝也分享美國數位權益保障機構「爭取未來」(Fight for the Future)調查連鎖實體商店是否有使用人臉辨識技術,並在最後列表,鼓勵民眾可以寄電子郵件或在社群媒體發文,參與拒絕在消費時被搜集個資的倡議;以及肯亞政府在相關法律規範不夠完整的情況下執意推行晶片身分證,法國非政府組織「數據權益」(Data Rights)與肯亞的公民團體合作,以法國的《企業警戒責任法》提告法國晶片廠商愛德覓爾(IDEMIA),最後談判、促成他們有改善數位人權風險等案例,看見行動與立法的重要性、影響力。
歐盟個人資料保護委員會則推出指引,細說哪些情況合乎《歐盟一般資料保護規則》(General Data Protection Regulation,GDPR)。也教導民眾如何辨識社群平台的欺騙式設計,例如以情緒引導術語誘使用戶提供非必要資料,或是阻止用戶刪除帳號;還有當用戶要刪除帳號時,被要求簡答改善建議才能順利刪除,或用戶註冊時若拒絕分享個資,可能要點選額外的確認視窗等,這些增加用戶操作時間的手法,稱為「超出必要時間」。
而以正向態度鼓勵使用者分享資訊,但也以負向態度指出當用戶改變分享權限可能會遭致失去關注度的後果,這種矛盾、衝突資訊會讓使用者不知如何選擇;歐盟指引建議應分層說明。而有些平台針對資訊外洩事件,可能會以模糊、迂迴說法來解釋,周冠汝舉例,就像平台寄發的防詐騙簡訊,看似提醒、但事實上是不是可能背後發生資訊外洩事件?模糊、迂迴的說法可能導致使用者無法直接察覺到問題,進而造成使用者無法更主動、儘速保護帳號與個資,例如即時變更密碼等。
周冠汝又舉例,有修圖APP要求使用者提供衛星定位(GPS)資料和其他資料用以追蹤式廣告投放,若不同意則無法使用該APP;由於GPS資料權限和該APP的修圖功能並無直接相關,因此這個要求設計是不合理的,歐盟指引認為這種綁定讓使用者無法出於自主選擇。她也強調,歐盟指引有說明個人化廣告的問題在於,定向追蹤(推播資訊)會影響兒童的個人偏好與興趣的塑造,最終影響個人自主性與發展權利。
■ 取平衡 網路管理需更多合作
在問答時間,有民眾請教《數位中介法》草案爭議。湯家碩和周冠汝說明,問題在於「政府權力過大」,例如政府能隨時標注不實訊息,這個責任歐盟是交給公正第三方;而針對不實訊息則回歸主管機關法規,但台灣的法律解釋和操作空間大,屆時恐遇到定義困難。然而該法案也有不少優點,例如參考歐盟要求企業提出透明度報告、政府提出介入言論審查數據等。湯家碩認為,網路沒有「管不管」的問題,只有「怎麼管」,政府管理至少公民有一定程度的參與機會,但交由企業自決可能要推動改革就較困難。
周冠汝提醒,不實訊息需要多方判斷,不是單靠政府決定如何處理就好。另一個可惜之處在於,沒有實際盤點各機關現行法律是否能夠用以管理網路內容。她認為,數位人權的提升,不是單由政府接管網路,也不是網路業者自律即可,而是有關單位都在其中互相配合與監督,才不至於被濫用。
【數位人權在台灣:2022企業責信報告】
【林婉婷專題報導】《數位人權在台灣:2022企業責信報告》是出自美國公共政策智庫「新美國基金會」(New America)資助的獨立計畫「數位人權排名」(RDR)針對亞洲區域的調查與研究。當時由香港的數字亞洲研究中心協調計畫國際合作並執行馬來西亞區域研究;韓國開放網路組織(Open Net Korea)負責南韓;開放文化基金會負責台灣,並與台灣人權促進會合作專案。
RDR的調查方法僅分析企業公開且公眾可得的政策文件,例如服務條款、隱私條款、永續報告書等,一方面確保評估的客觀性,一方面也是以民眾角度來檢視企業責任。自2015年,RDR已發布六次「企業數位人權排名」,並且被投資機構採納、用以要求企業重視數位人權;更在2021年與「人權投資者聯盟」(Invester Alliance for Human Rights)共同發表宣言,要求企業承諾強化數位人權保障、透明化政策、降低演算法和追蹤式廣告造成的負面影響等。
而台灣研究聚焦的20家企業裡,分別有社群媒體、人力銀行、電商、電信,以其在2022年12月31日前的政策為評估依據。當中臉書、推特、Instagram、雅虎奇摩購物中心之管理母公司威訊媒體,皆已經列入RDR全球排名,因此不在這次研究之列;另影音為主的平台抖音、非營利組織「批踢踢實業坊」也不納入這次研究。
RDR研究分三個領域:公司治理(G)、言論與資訊自由(F)、隱私(P)。「公司治理」是企業治理機制、政策內容等應達到《聯合國人權宣言》《公民與政治權利國際公約》和《聯合國工商企業與人權指導原則》等相關國際公約與規範標準。「言論與資訊自由」是只能在合乎法律要件、比例原則、目的正當等前提下限制使用者言論自由,限制條款與商業使用也應清楚規定與說明違規、執行情形,並應公開其遵從政府言論審查的情況。「隱私」是指對於可能影響隱私權的各種個人資料搜集、處理、使用、剖繪及分享等行為,企業應當確實告知使用者,並積極保障使用者資料安全,公開其遵從政府個資調閱的情況。
RDR共測量58個相關指標,每個指標又有1至11個不等題項,總計355個測量題項;台灣研究則從58個指標中挑選29個進行。結果顯示(滿分為100),台灣總分為22.77、公司治理17.19分、言論與資訊自由30.81分、隱私20.33分。具體29個指標、各項目得分、20家企業表現與分析,請見報告本文。
《數位人權在台灣:2022企業責信報告》在結語處列出五項建議:第一,企業應強化數位人權相關的治理機制,尤其是需要考量隱私與言論自由,包括明確人權保障承諾、定期執行人權影響評估、提供申訴與補償管道等。第二,應積極幫助使用者理解政策條款內容,並提供關於違規判定、個人資料蒐集分享、行使個人資料控制權的詳細資訊。第三,應以相關資訊公開來正視與檢視因應演算法系統和網路行為資料時可能造成的人權風險。第四,業者面對政府的言論審查與個資調取要求,需有處理機制和公開相關統計資訊。第五,政府應儘速參考國際立法趨勢,提出因應數位科技與商業模式的人權保障政策、或者修正既有法規。欲閱讀報告全文,請點連結。
專題攝影|林婉婷、洪泰陽(資料照片)
