網際網路視聽服務(Over-the-top services,以下簡稱OTT服務)係指透過公網(public Internet)直接向終端用戶提供的各式服務1,手機上網連接串流影音平臺追劇,就是典型的OTT服務。OTT服務所引發的監理問題,除了其營業活動不屬於傳統需申領執照的業態外,也因為其與終端用戶的「密切互動」,引發業者的個資法遵及消費者如何取回數位自主權的討論。其實回顧歷史,隱私與個資的保護,一直以來都與視聽媒體相伴相生,猶如DNA雙螺旋的兩股(the double helix)。19世紀末,攝影技術歷經半個世紀的發展,媒體記者開始能夠透過相機捕捉與窺探政商名流的生活,腥羶色的報章雜誌也應運而生。對此,麻州知名律師S. Warren與20餘年後獲提名擔任美國聯邦最高法院大法官的L. Brandeis在「哈佛法學評論」發表論文,透過檢視普通法(common law)下如誹謗、著作權、信賴保護等法律制度及相關判決,發現均不足以提供完整保障之後,提出並倡議一個涵蓋範圍更廣泛、保護更完整的「獨處而不受外界干擾的權利」(the right to be let alone),也就是隱私權(the right to privacy)2。其後,各界陸陸續續提出理論基礎,嘗試充實此一權利概念之內涵。當中,一派理論將隱私權解釋為「對於個人資訊的控制權」3,這個理論將隱私化約為資訊或資料,固然有具體明確的優點,但同時也有過於偏狹致隱私權保護範圍不足的問題。再者,憑藉當時的技術方法,個人似乎很難充分舉證自己是資訊主體,且資訊的載體仍以紙本為主,傳播速度及造成侵害的範圍與程度有限,多數情況仍可透過其他權利訴諸救濟,因此個資保護作為一項獨立法制(a self-contained regime),並未取得太多進展。
進入上個世紀90年代,麥金塔電腦(Macintosh)於1984年問世,作為Mac系列的開山產品,512x342的畫素(Pixels)及軟體功能雖然原始,但產品體驗已經接近現今的個人電腦,2,500美元(約當今日20萬臺幣)的售價不但廣受專業人士如設計師的青睞,更敲開了未來電子出版業的大門4。伴隨著電腦處理資訊的量能提升,以及全球資訊網(World Wide Web)在1990年透過網際網路完成使用者與伺服器間的第1次通訊5,資訊傳播的數量與速度開始呈等比級數增加,隱私與個資保護也在法制面有所回應。歐盟經過多年研議,於1995年11月通過「保護個人關於個資處理及個資自由移動指令」,意即「個資保護指令」6。我國在同年公布施行的「電腦處理個人資料保護法」,也在第一條揭示「為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理利用」的立法目的,並在第三條第三款將「電腦處理」定義為「使用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理」。至千禧年前後,學界也漸漸揚棄以單一概念或核心價值來指涉或框定隱私權的取徑,而是務實地以實際案例及具體行為進行歸納及分類,如D. Solove就將影響隱私的行為區分為資訊蒐集、資訊處理、資訊散布及侵犯等4個類型,每個類型包含不同的行為態樣,也會引發不一樣的隱私問題7。
個人電腦的使用情境設定在桌面,而且主要任務是處理資料,而不是傳遞資訊。通訊首重即時性與便利性,定著於桌面的個人電腦在這方面可說是先天不足。1995年,Motorola推出第一款掀蓋式手機8900,其後伴隨著1999年第一款黑莓機850問世,以及Motorola第一款折疊式手機328c大獲成功,手機從可以用來防身的「大哥大」變成輕巧可攜的「行動裝置」。同年,Motorola推出第一款「智慧手機」,CPU達16MHz、支援行動上網且採用觸控式螢幕的A6188。邁入千禧年,Sharp推出搭載11萬畫素鏡頭的J-SH04,Nokia的7110則首次透過無線應用軟體協定(Wireless Application Protocol, WAP)讓手機能夠存取網際網路上的資訊內容。至此,經由智慧化的加持,「行動」裝置從體積與重量的物理意義,完成「隨時隨地無線上網」的華麗變身。
由於智慧手機及平板電腦可以隨時隨地存取網際網路上的內容,OTT服務才有賴以存續的基礎環境。也正因為如此,不論是歐盟「個資保護指令」或是我國「電腦處理個人資料保護法」,都必須對此等新型態的、與個人資訊結合得更緊密的網際網路服務,做出調整及因應。「電腦處理個人資料保護法」於99年更名為「個人資料保護法」並修正全文,104年復修正公布共12項條文。2016年,歐盟完成「一般個資保護規則」(the General Data Protection Regulation,以下簡稱GDPR)的立法,以取代「個資保護指令」,並於2018年5月開始施行8。同年,英國「資料保護法」(the Data Protection Act 2018,以下簡稱DPA 2018)及美國加州「消費者隱私法」(the California Consumer Privacy Act of 2018,以下簡稱CCPA 2018)亦立法通過。這些法律對於OTT業者的法遵義務,以及消費者在數位影音時代的資訊自主權,帶來了顛覆性的影響,堪稱個資法制的數位轉型(digital transformation)。鑒於歐美係影視娛樂內容的主要產製國家,本文以下即聚焦並簡介GDPR、DPA 2018及CCPA 2018,期能從其重點內容觀察並梳理個資法遵及資訊自主權的發展現況。
GDPR、DPA 2018以及CCPA 2018一方面對於提供服務的公司課予更多的限制,另一方面則強化個資主體對於資料的自主權及掌控權。諸如Netflix、Hulu、Amazon Prime Video等OTT業者,作為媒體及娛樂產業的重要一員,其所提供的數位服務可謂建立在消費者個資之上,並透過演算法分析消費者瀏覽習慣及視聽偏好,進而提供更能對準消費端需求的服務內容。像這樣對於訂閱用戶即時資料的分析與利用,也正是OTT業者面對傳統有線電視業者時的一大競爭優勢。
OTT業者要能吸引到用戶訂閱,可能會在歐盟境內投放廣告,或是建立以在地語言呈現的官方網站,這些行為都會被用來證明其具有取得歐盟公民個資的意圖,GDPR也藉此建立起歐盟管轄OTT業者的法律基礎,只要公司設立於歐盟境內(jurisdiction),不論資料處理在何處進行;或公司雖未設立於歐盟,但其所提供的商品及服務;或對於歐盟公民行為及偏好的掌握與利用,卻都是建立在對於歐盟公民的個資處理上時,這類OTT業者就屬於受GDPR規範的資料控管者(data controllers),受OTT業者委託進行資料分析的廠商則為資料處理者(data processors)9。
對於那些根本未設立於歐盟境內的OTT業者而言,GDPR是很典型的一種域外適用(extraterritoriality),畢竟,在古典國際法之下,管轄的基礎不外乎「地點」與「對象」。GDPR的規範效力及於歐盟境內的OTT業者,完全符合以地點作為管轄基礎,也就是「領域管轄」(territorial jurisdiction)的原則。然而,若以歐盟公民的個資可能遭受侵害為由,對於歐盟境外的公司實施管轄,這種以保護對象所屬國籍為基礎的「消極國籍管轄」(passive personality/nationality principle),並非一種在國際法上被確認可獨立行使的管轄權基礎,僅能用於輔助領域管轄或積極國籍管轄10,意即對於歐盟公司的個資侵害行為,行使管轄。
英國在2020年1月31日脫歐後,對於歐盟而言就成為第三國。設立於英國的OTT業者,固然必須遵守DPA 2018的規定,但若涉及與歐盟國家間的個資跨境傳輸,則須視歐盟是否認為DPA 2018與GDPR所提供之保護相當,意即「適足性」(adequacy)之認定。由會員國主管機關代表組成之歐盟個資保護委員會(European Data Protection Board, EDPB)於2021年4月對此發布了兩項意見11,除了提醒英國往後若發展出獨立的個資保護政策,其與歐盟間的歧異可能導致個資保護程度降低之外,倘若OTT業者自英國將歐盟會員國公民個資傳輸至第三國,則該第三國亦須具備等同於GDPR的保護程度12。當OTT業者在處理消費者個資時,若其身分為移民,也可能因為適用DPA 2018的移民豁免規定,而免於GDPR的義務拘束。2021年6月,歐盟執委會(European Commission)認定英國與歐盟有相等的個資保護程度,因此英國、歐盟與歐盟經濟區(European Economic Area, EEA)之間能夠自由地跨境傳輸個資。然而當OTT業者處理英國公民的個資時,不論其是否設立於英國境內,仍將同時受到DPA 2018及GDPR的拘束。
地球另一端的美國加州,CCPA 2018自2020年元旦起生效,適用於任何蒐集、處理加州居民個資且符合下列條件之一的企業:(一)年總營收逾2,500萬美元;(二)該年度獨自或共同購買,或出於企業之商業目的而收受、銷售,或出於商業目的而分享之消費者個資逾5萬筆;(三)來自販售加州居民個資之收入,占年營收逾50%13。集團內只要有一間公司符合上述條件,則集團所屬的母公司及分支機構就無條件成為CCPA 2018的適用對象,而不論其自身是否符合相關條件或是否屬於資料控制者。由此可見,儘管CCPA 2018的適用範圍窄於GDPR及DPA 2018,但其適用對象的條件卻也低於GDPR及DPA 2018,這使得幾乎所有跨國性的OTT業者都逃不過CCPA 2018的拘束。
GDPR將個資定義為「與既已識別(identified)或可得識別(identifiable)之自然人(資料主體,data subject)有關的任何資訊」,而所謂「可得識別之自然人」,係指「能夠被直接或間接識別之自然人,尤其是透過參考例如姓名、身分編號、位置資料、線上識別碼等識別符碼(identifier),或是參考該自然人所特有的身體、生理、基因、心理、經濟、文化或社會認同的一個或多個因素」。按此,消費者的地理位置、生活方式或線上購物的細節、IP位址之類的線上識別碼,以及透過行動裝置或應用程式而在網際網路上留下的任何軌跡,均屬於GDPR所稱之個資。CCPA 2018則將個資定義為「不論直接或間接,能夠識別、聯繫、描述、理性地形成關聯或合理連結特定消費者或家戶(a particular consumer or household)之資訊」14。其包括但不限於地理位置資料、網際網路或其他電子網絡的活動資訊,例如瀏覽紀錄、搜尋紀錄,以及消費者與網頁、應用程式或廣告的互動資訊等等。
OTT業者所能觸及的消費者資訊,除了搜尋或瀏覽紀錄之外,可能還包括:(一)什麼時候會暫停或離開、是否會返回觀看,以及何時會快轉或重播節目;(二)透過地理區碼得知觀賞節目的消費者位在何處;(三)消費者是否會在假日或其他特定時間觀賞不同節目,以及是透過Apple TV還是Chromecast觀賞節目;(四)消費者給予電影或影集的評價。這些消費者資訊若再透過交叉比對,或是結合帳號資訊,毫無疑問都將構成GDPR及CCPA 2018所定義的個資。
CCPA 2018也對「銷售」或「販賣」消費者個資,下了極為寬泛的定義:「企業出於金錢或其他對價(for monetary or other valuable consideration),向其他企業或第三方銷售、租賃、發布、揭露、散布、提供、移轉,或透過口頭、書面,或透過電子及任何其他方式傳播消費者個資」15。根據加州契約法,書面文件得作為契約約因之推定證據,因此當雙方書面同意交換等價之物,例如個資時,契約即告成立。此時,即便雙方之對價並非金錢,依然構成CCPA 2018所稱之「銷售」。舉個例子,OTT業者與他方簽署保密協議,允許其近用消費者個資以換取其提供之勞務,即構成此處所稱之「金錢以外之其他對價」。
準此而言,幾乎所有的個資交換與分享,都會落入CCPA 2018對於「銷售個資」的定義之內。由於消費者在使用社群媒體平臺的時候,通常不太了解平臺業者是如何持續地與品牌業者分享自己的瀏覽習慣,因此CCPA 2018對於「銷售」或「販賣」消費者個資的寬泛定義,會讓OTT業者很難規避消費者行使「選擇退出」(opt-out),意即要求企業停止銷售或分享其個資的權利16。此外,CCPA 2018還要求業者必須以消費者容易操作的方式,在網站首頁提供一望即知且標明為「請勿銷售我的個資」(Do Not Sell My Personal Information)的頁面連結,以落實消費者選擇退出的權利17。
GDPR和DPA 2018均禁止資料控管者處理個資。換言之,除非另有法律上的原因,否則資料控管者不得蒐集、記錄、儲存、使用、揭露或散布個資。而OTT業者為了能夠處理消費者個資,經常主張該行為是「履行其與消費者間之訂閱契約」所必要之行為,藉以滿足「法律上原因」的要求。若這樣的主張無法在法律上取得合理性,OTT業者就必須取得消費者,也就是資料主體的同意,且同意在該行為做出前必須得到充分的資訊告知(informed consent),當然也必須是消費者在未受拘束的情況下做出內容特定且明確的同意(freely given, specific and unambiguous)。將以上這些「同意」的條件,套用在OTT業者與消費者間的關係之後,我們可以得出以下幾項更為具體與情境式的判斷標準:
GDPR和DPA 2018都是針對個資的一般性立法,CCPA 2018則是針對消費者隱私的特別法,彼此在規範目的及監理方式上容有差異。前曾論及,除非另有法律上原因,否則GDPR和DPA 2018原則上是禁止資料控管者進行個資的處理。相較之下,CCPA 2018要求業者必須在網頁上建置「請勿銷售我的個資」的連結按鈕,落實消費者「選擇退出」的權利,只要消費者並未選擇退出,業者即有權處理及銷售個資。在此同時,由於CCPA 2018對於「銷售個資」的定義極其寬泛,因此OTT業者很難規避消費者要求其停止銷售或分享個資的權利,且CCPA 2018與GDPR及DPA 2018之規定相同,OTT業者均須應消費者的要求而刪除其個資。整體而言,OTT業者於CCPA 2018的規範下,保護消費者隱私的法遵義務較為簡潔明確,相關要求分為以下3個重點:
在執行面,CCPA 2018授權加州檢察總長(現任為菲律賓裔的Rob Bonta,是加州歷史共34位檢察總長中的第2位亞裔人士)代表州政府追訴相關企業的法律責任。GDPR則以高額的行政罰鍰著稱,違反關於資料控管者及資料處理者之義務、認證機構之義務或監管機構之義務者,最高處以1,000萬歐元之行政罰鍰;如為企業,最高處以前一會計年度全球年營業額的百分之2,並以較高者為準21。對於特定義務的違反,上開處罰甚至可以高達2,000萬歐元及前一會計年度全球年營業額的百分之422。除了GDPR本身的處罰規定,歐盟會員國針對違反GDPR所適用之其他罰則,尤其是不屬於第83條行政罰鍰範圍之違法行為,亦應制定相關規則,並應採取所有必要措施以確保相關規則之執行;且此等非屬第83條行政罰鍰之處罰,應有效、適切、且具懲戒性(effective, proportionate and dissuasive)23。
GDPR課處行政罰鍰的範圍廣泛,CCPA 2018則是針對消費者個資的外洩,即任何未經加密及修訂( nonencrypted and nonredacted)的消費者個資遭受未經授權之近用及洩漏、竊取或揭露( unauthorized access and exfiltration, theft, or disclosure),倘因企業未能實施及保持「適於該個資本質」之合理安全措施及作法,而違反其應保護消費者個資之責任時,消費者即可對該企業提起以下民事訴訟:(一)針對單一消費者之單一事件請求不低於100美元且不高於750美元的損害賠償,或請求實際損害賠償(actual damages ),消費者可於二者間擇高請求;(二)請求法院作出禁制令或確認判決作為救濟(injunctive or declaratory relief);(三)任何其他法院認屬適當之救濟24。消費者依上述規定向企業提出訴訟以請求個人或集體的法定賠償之前,應提供企業限期30日之書面通知,當中應載明消費者主張企業已違反或持續違反之CCPA 2018相關規定25。
在個案情況下,若補救措施具可行性,且企業確實於30日內糾正消費者於書面通知中所載之違法事由,並提供消費者書面聲明,明確表示相關違法行為已被糾正並承諾往後決不再犯,則消費者不得對企業提起任何個人或集體的法定損害賠償請求。但若企業違反其書面聲明所載之承諾事項,則消費者得訴請企業執行其書面聲明之內容,並針對聲明內之各項違法事由,甚至是書面聲明做出後的任何其他不法行為,追訴企業的法定損害賠償責任26。必須注意的是,以上救濟機制僅針對消費者個資的外洩,且限於CCPA 2018所適用之企業,而非任何類型的OTT業者。
OTT業者於我國「個人資料保護法」(以下簡稱個資法)相關規定之下,屬於非公務機關。個資法第8條第1項規定27,非公務機關依第19條規定向當事人蒐集個人資料時,應盡告知義務。因此,OTT業者均應訂有隱私權政策或個資告知聲明,以符合法令要求。另依「個人資料保護法施行細則」第16條規定,告知之方式應以「足使當事人知悉或可得知悉」之方式為之。因此,國家通訊傳播委員會(以下簡稱本會)亦應檢查OTT業者告知之方式。OTT業者以同意作為蒐集及處理用戶個人資料之依據時,須確認同意是否有效。按個資法第19條第1項第5款規定︰「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:…… 五、經當事人同意」,若OTT業者以「經當事人同意」作為個資蒐集及處理之合法事由時,亦應檢視用戶之同意是否為「有效之同意」。同法第7條第1項復規定:「第十五條第二款及第十九條第一項第五款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示」,因此,用戶的同意是否有效,必須檢視OTT業者或其委託之蒐集者,是否已合法告知用戶相關應揭露之事項。
OTT業者以同意作為「目的外利用」之依據時,亦需確認同意是否有效。個資法第20條第1項第6款規定:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:……六、經當事人同意」,因此,若OTT業者以「經當事人同意」作為目的外利用之事由時,本會亦應檢視用戶之「同意」是否合法。按個資法第7條第2項規定:「第十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示」,因此,OTT業者應清楚告知當事人預計增加之特定目的、需要之個人資料範圍,以及若當事人不提供時可能產生之影響,其取得當事人針對目的外利用個資行為單獨表示之同意,始為合法。
固然,GDPR、DPA 2018及我國的個資法,均係針對「資料主體」及其資訊自主權的一般性立法,CCPA 2018則是以保護「消費者」權益為核心,彼此間之規範目的並不相同,但對於OTT業者而言,只要商業行為屬於相關法令的適用範圍,就必須確保自己有相應的機制、資源及人力去滿足法令的要求,並處理來自消費者的各式請求,不論是請求禁用自己的個資或了解個資被利用的方式、要求刪除個資,又或是在任何時候撤回其同意。OTT業者除了必須適時更新隱私權政策及服務條款(terms of use),以符合最新的法令要求外,還必須建置讓消費者及用戶能夠表達同意或選擇退出的機制,並透過教育訓練及顧問服務提升與完備企業自身的法遵能量,以建立消費者的信任。畢竟,用戶的黏著度奠基於信賴感,而法遵是建立信任的基石。
不過,法遵有其成本,從成本與效益的觀點,所蒐集的個資數量愈少,管理的成本也就愈低。資料量的最小化(data minimalism)不但能節約資料存儲及運算的成本,也能降低不必要的資安及隱私風險,並減輕法遵部門的業務壓力28。這也呼應了GDPR所樹立的「資料最少蒐集」原則(data minimisation),意即個資的處理應適當、相關且限於處理目的所必要(adequate, relevant and limited to what is necessary in relation to the purposes)29。由此觀之,法遵除了帶來成本,也有降低開支的積極意義。OTT業者在看待個資的蒐集、處理及利用時,也必須更清楚地界定及規劃其商用目的,讓個資發揮客戶服務的價值,以免沒賺到錢卻還面臨鉅額罰鍰,得不償失。
也正因GDPR、DPA 2018及CCPA 2018各有其不同之規範目的及法律適用的地理範圍,OTT業者在多國提供網際網路視聽服務時,也必須因地制宜,「客製化」適於當地的個資法遵政策及機制。企業無法再如以往般僅按「公司」的客觀所在地(例如設立登記地)區分,而須以「資料主體」的個資被蒐集、處理及利用的各個環節,進行跨國界的、動態的法律判斷。一項個資利用行為在A國合法,不見得在B國就當然合法,更何況,個資法令不但伴隨著行政函釋及司法判決而發展,因應數位時代的新立法更已在地平線浮現,美國眾議院(United States House of Representatives)於2022年6月提出「美國資料隱私及保護法」(American Data Privacy and Protection Act)兩黨法案30。法遵策略的挑戰,也帶來競爭優勢上的機會,能夠最大化資料價值並最小化法遵成本,且在跨越國界的法令間悠然自得,從資料流中建構差異但永續的商業模式者,才是最後的贏家。
