2018年制定、2020年1月實行的加州消費者隱私保護法(California Consumer Privacy Act 2018),是美國第一部專為保護網路隱私制定的專法,而且又是在網路業者雲集的加州實行,代表著美國終於開始考慮使用成文法來規制網路業者恣意取用消費者個資的行為,也代表了向來信奉自由放任的美國,終於認識到網路隱私的受危害程度及重要性。
在網路產業中,「羊毛出在狗身上,豬買單」早已是每個業者都朗朗上口的名言。這句話的真義,就是業者的獲利來源已經不是傳統的商品銷售,而是從使用者提供的資料中找到新商機,再從第三方廠商身上回收利益。換句話說,只要使用者的數量愈龐大、獲取的資料愈豐富,就算「本業」不賺錢,最終的獲利仍然十分豐厚。
資策會市場情報研究所(MIC)資深分析師郭戎晉指出,大約在西元2000年至2003年間,網路業者開始從意識到資料的重要性。「這也就是所謂web 1.0跟web 2.0的差異,」他觀察,在第一波網路浪潮中,電商平台業者關注的是怎麼把產品賣給消費者,「簡單說,當時的行銷是push的概念;但後來Google、Facebook興起,經營理念變成服務用戶(pull),更注重找到對的消費者,使用者資料就變成經營的核心。」
劍橋分析事件後,全球對個資保護意識激增
只不過,當使用者資料累積的規模愈來愈多,用途也愈來愈廣後,負面影響也愈來愈大,2018年爆發的劍橋分析事件就是典型的例子。當時,劍橋分析公司在Facebook上藉由一款免費的心理測驗應用服務,暗中獲得了超過5000萬筆用戶資料,再進行基於商業、政治目的的數據分析。由於面臨了對於美國總統大選以及英國脫歐公投的操縱指控,再加上數據取得方法極度不透明,劍橋分析公司最終宣布倒閉,默許劍橋分析公司收集這些資料的Facebook也被英國監管當局處以重罰,更被迫全面清查所有第三方應用的資料取得情形。
由此開始,歐、美等大國才真正重視網路隱私的重要性。「在用戶隱私的保護上,歐盟跟美國使用的法律工具還是不太一樣,」郭戎晉舉例,歐盟自從制定GDPR(General Data Protection Regulation,一般資料保護規範)後,對於網路業者取用個人資料,就採取較嚴格的審查標準,更引入了域外效力的規定:只要業者使用到歐盟地區人民的資料,不管實際營運地點是否在歐盟境內,都受到GDPR的管轄。相對的,美國則是一直採取產業自律的方法,注重的是產業發展與個人隱私間的平衡,「所以對於網路消費者隱私的保護,歐盟有設立專門行政管理機關,但美國至今還是放在FTC(公平交易委員會)下,用反壟斷的角度來處理,」郭戎晉補充。
不過,郭戎晉也強調,網路產業發展至今,對於用戶資料的觀點也有了新變化。「網路產業的競爭力,除了資料力量還有技術力量,」他舉例,由於軟體演算法與硬體運算能力都有突破性的進展,網路業者現在已經不需要毫無限制地蒐集使用者資料,只要靠著技術能力,一樣可以達成原有的商業目的。「現在要關心的,除了這些業者怎麼取得資料,更應該包括他們怎麼分析、運用以及商業化的手段。」
除了限制資料取得,企業的資料治理更值得重視
舉例來說,中國電商龍頭阿里巴巴靠著淘寶、天貓所獲得的消費者以及商家資料,一方面開展出網路金融事業:螞蟻金服,另一方面又打造了物流資訊平台:菜鳥網絡。在螞蟻金服旗下,支付寶就擔當了蒐集使用者金流的角色,螞蟻金服再靠這些資訊設計出個人信貸商品,也把這些金流資訊轉化為信用評級,販售給其他的金融服務業者。換句話說,在龐大的阿里生態系底下,再怎麼微不足道的一筆消費或者匯款,都逃不過演算法的分析,利用價值也因此被發揮到極致。
因此,郭戎晉認為,除了外部的立法手段,社會也應該多關心企業內部的資料治理。「不管取得多少資料,做了多少分析,最終都要商業化,否則無法獲利,」他建議,正因為社會的責難聲音愈來愈大,網路業者要更「嚴以待己」:「所以這些使用者資料被蒐集起來後,是集中還是分散處理?有沒有授權母、子公司或跨領域使用?能不能提供給第三方?商業化前去識別化作得徹不徹底……這些問題都跟資料取得同等重要!」
不可諱言地,網路產業為生活帶來了數不盡的便利,但層出不窮的個資爭議也讓人們愈來愈不安心,如果政府、企業、使用者不再正視網路隱私的重要性,下一個劍橋分析事件爆發時,產生的損害只會更重──而且將由整個社會一起買單。
作者:蔣士棋
現任:北美智權報資深編輯
學歷:政治大學企管系
經歷:天下雜誌記者
今周刊記者
【詳細內容請見《北美智權報》277期;歡迎訂閱《北美智權報》電子報】