個資隱私,在這個年頭越來越受到重視,當使用各種方便的網路與電信服務時,這些公司都掌握了我們的切身隱私資訊。不僅是基本的姓名、身分證字號、電話號碼、信用卡號碼,甚至是更敏感的數位個資──即時行蹤、消費紀錄、聯絡人、即時通訊息等,這些公司是否會保護我們的隱私?是否會出賣消費者,或者遇到霸道的政府膝蓋就軟了?近日知名國際民權組織──電子前哨基金會(Electronic Frontier Foundation ,縮寫 EFF)發表了報告「誰掌握了你的底?」(Who Has Your Back?),裡面評比了 26 間美國知名企業對消費者個資保護的努力。
隨著數位網路科技的進步,現代人的生活越來越方便,然而我們的種種行為也更加容易地留下各種數位紀錄,存在科技公司的雲端或者是電信公司的機房裡面,這是很多政府單位很想監控的。2016 年,美國政府就向 Facebook 索求了至少 49,868 次用戶資料,同一時期,也向 Google 索求了 27,850 次、向蘋果索求 9,076 次,當然也不只有這些公司囉。
有 3 個保障措施確保我們發送給科技公司的資料最終不會被傳到政府的資料庫裡:技術、法律、公司政策。技術上,每個人可以把自己的資料刪除、隱藏、加密,這樣政府就看不到我們的隱私了。不過這超出該報告的範圍而不被探究。該報告重點放在法律和企業政策,這份報告關注當美國政府敲門向科技公司要資料時,科技公司的政策如何強化對用戶隱私權的保護(或者弱化)以及是否支持相關法律的改革。
電子前哨基金會從 7 年前開始發表《誰掌握了你的底?》報告,7 年來許多公司在透明度上日益精進,這轉變很大程度上受到公眾的關注,尤其是 2013 年的史諾登事件以及諸多數位隱私的公開討論催化了許多公司隱私政策的大變革。
在 2013 年的報告中,只有兩家公司拿到滿星(當時的評比標準還沒有今日嚴格);在 2014 年,則有 9 家公司拿到滿分。一直到今天,每一年標準變得日益嚴格,很多公司努力讓自己有好成績,然而仍有很多公司落後,當政府來「查水表」時,不把保護用戶隱私當一回事。
(Source:EFF)
五大評比項目說明
筆者一一說明之。
1. Follows industry-wide best practices
對於產業界基本底限的共識,有無以最高標準去實踐?
- 必須承諾此方針:政府向公司索求使用者的通訊內容時,必須持有法官給的搜索票。
- 必須自 2016 年 4 月 1 日起發布透明度報告,報告內容應包括有政府索求多少次用戶的資料,以及公司提供用戶資料給政府的頻率。
- 該公司必須公開或者有印出來的法務指南,解釋如何處理來自政府對用戶個資的索求。
公司必須完全達成這 3 項要求才能得這顆星。
2. Tells users about government data requests
當公司向政府「投降」交出使用者的資料前,是否先告知使用者。
除非法律規定的特殊緊急情況,不然得事先通知用戶讓他們有機會保護自己的資料,因此排除這狀況,一個公司只因為政府單位聲稱事先通知可能危及調查、延誤審訊,而要求延遲通知用戶,這樣就無法在此項目奪星。當然在緊急情況下,涉及任何人可能死亡或導致嚴重身體傷害的狀況,的確無法事先通知, 然而公司必須對大眾制定政策,以便在緊急情況解除或者政府的保密要求解除時,必須向用戶發出通知,用戶不能被悶在鼓裡。
3. Promises not to sell out users
承諾不「出賣」使用者。
科技公司必須制定相關政策,承諾不把用戶資料轉賣給第三方政策寬鬆的公司,然後再把資料轉賣給政府。如果公司承諾不把資料轉給其他公司,或者轉給的第三方公司也遵守跟公司一樣的嚴謹政策也可以,此外在法律允許的範圍內,也允許例外—公司與第三方的公司,可因為報告公司本身或其用戶因為犯罪行為而受害的狀況,或共享電腦安全威脅的警告,而把資料緊急分享給執法機構或情報機構。
4. Stands up toNSL gag orders
反對來自 NSA (美國國家安全局)的封口國家安全信函(National Security Letter gag orders)。
國家安全信函是美國聯邦政府因應國安項目的收集訊息所簽發的行政傳票,這種傳票不需要法官的事先批准就可以發出,索求的是通訊紀錄如交易紀錄和撥打的電話號碼、逛的網址、電子郵件帳號名稱之類,而不能要求通訊或電子訊息內容。然而這樣封口命令甚至可以是無限期的,是否合憲一直受到質疑,不過現在科技公司可以援引 2015 年通過的美國自由法案( USA FREEDOM Act ),來加以拒絕NSA 想要擅自監控、蒐集一般民眾的通訊紀錄的行為,除非有得到法院的批准。
註:美國法律是不成文法,雖然 NSL 的法源沒有被修,所以這類似酸鹼中和的概念,用 B 法來擋 A 法。
5. Pro-user public policy: Reform 702
是否支持《外國情資監視法》( FISA Amendments Act)第 702 節的修正案?
該節是美國國家安全局援引來對網際網路進行大規模監控的法源依據,以進行稜鏡計畫(PRISM )和上游計畫(UPSTREAM ),從私人公司伺服器與光纖中對外國蒐集大數據(也包含任何有跟外國人接觸的美國人),這就是當年史諾登所揭穿的──美國政府大量非法監聽(含網路)無辜外國人甚至是自身盟國的高官與元首。各公司必須在 2015 年 6 月 2 日之後,以公司正式的名義,用書面形式支持這項修正案或有被列入國會證詞。
整體講評
- 所有入榜的公司在第一項都過關
- 得到滿星的,共有 9 家公司:Adobe 、Credo 、Dropbox 、Lyft 、Pinterest 、Sonic 、Uber 、Wickr 、Wordpress。
- 表現最差的公司都是電信業者:AT&T 、Comcast 、T-Mobile 、Verizon。
- 跟其他網路科技業者比起來,Amazon 、WhatsApp 敬陪末座,這值得特別關注。
其中特別令人激賞的,是 9 間五星級的公司,每一間都有過捍衛過用戶個資的紀錄,其中 Lyft 與 Uber 兩年都是奪得五星(雖然 Uber 在其他方面可能惡名昭彰,但是個資保護的成績令人刮目相看),Credo 與 Sonic 從入榜以來,更是長期主動支持透明度與保護使用者隱私。其他公司 Adobe 、Dropbox、Pinterest、Wickr、Wordpress 多年來則是一直在改進公司政策,並在本年度報告中,達成了最好表現,而且這個報告有一個特色,就是電子前哨基金會每年都大更新標準,越來越嚴謹,能夠數年都維持五顆星的非常難能可貴。但也有不少公司在退步,尤其是像 AT&T 、Comcast 、T-Mobile 、Verizon 之類的電信公司特別容易向政府低頭,然而電信公司也不是做不到,例如五星級的 Credo 跟 Sonic 都是電信公司。
各單項最佳表現公司
接著發表 MVC(Most valuable Company ,不是 MVP 喔)。
Follows industry-wide best practices:Twitter 與 Facebook
Twitter 公司有一份透明度報告,是每月更新一份全球各國政府對 Twitter 索求資料的頻率,不單單有圖表,使用者還可以下載 csv 格式的資料庫回去好好研究。
(Source:EFF)
此外不單單政府要跟這些公司調使用者的影片、各種訊息(簡訊或者即時通訊息)都需要法院的搜索票,甚至連位置資料都要,例如 Facebook 就有詳細告知用戶這個方針。
Tells users about government data requests:Pinterest 與 WordPress
它們都提供了清楚的方針給用戶,說明在當法院要求過期或者緊急狀況解除後,就會即刻通知用戶,Wordpress 甚至給出承諾會給用戶 7 天甚至更多的時間來合理質疑政府的搜索要求。
Promises not to sell out users:Twitter 與 Microsoft
這個項目其實是今年第一次出現的,這個項目其實是受 2016 年美國總統大選動盪時 Twitter 一項新政策的啟發──開發者不能運用 Twitter 的 API 存取資料來做政府監控,違反者會被吊銷 API 使用權;而 Microsoft 也有公布這方面的嚴格政策。
Stands up toNSL gag orders:Wordpress 與蘋果
電子前哨基金會其實已經跟 NSL gag 在法院上對陣多年,在 2013 年終於在加州北區的法院贏得聯邦法官宣布國家安全信函有一項法規違憲(無限期), 此後不斷繼續努力,也呼籲各公司勇敢站出來,Wordpress 跟蘋果就在其公開方針嚴正的聲明,表示他們除非有收到法院的認證,不然不會執行國家安全信函的索求。
Pro-user public policy: Reform 702
21 間公司裡面的大部分都有致信給國會的司法委員會主席,要求修法限縮國安會 NSA 的情搜。對於像我們這樣美國以外國家的公民來說這很重要,因為該法規「認為非美國人都是沒有隱私的」,那這樣我們怎能安心使用美國跨國企業的產品或服務呢?
當然,你在使用這項目沒有拿到星的公司之產品時,你的隱私可能就要自求多福了。
在這個時代,電影《全民公敵》描述的情節可以說不是空想,而是真有可能發生。當我們看到美國諸多公司這麼自律,戮力保護消費者個資權益時,反觀自己國家的公司,有多少做到了哪些努力呢?(例如不少公司常態性地外洩客戶個資),值得大家追蹤。
(首圖來源:pixabay)
