什麼是網際網路法律?
網際網路法律(有時被稱為網路法),指的是治理網際網路使用的法律原則和法規。網際網路法律並非總是清楚且直接,原因是:
- 網際網路是相對較新且持續演進的領域,這表示法律架構可能很難跟上變化。
- 網際網路法律通常會納入並套用不同法律領域的原則,例如隱私權法或合約法;這些領域出現的時間較網際網路早,所用原則可作不同解釋。
- 並無規範線上隱私權的單一法律。目前採用的是適用聯邦法和州法的拼湊內容。此外,世界各地不同的司法管轄區可能對如何適用網際網路隱私權法有不同解讀。
歐盟有整體適用的資料隱私保護法,即《一般資料保護規則》(GDPR)。比較之下,美國並無中央聯邦層級的網際網路隱私權法。但美國有數個垂直聚焦的聯邦隱私權法,部分州也訂有數個消費者導向隱私權法。本文會介紹您應瞭解的部分重要網際網路安全法。
1974 年美國《隱私權法》
儘管 1974 年《隱私權法》是在網際網路出現前制定,但該法可說是美國許多涵蓋資料和網際網路隱私權法律的基礎。該法的通過是為了闡明美國政府主管機關在電腦資料庫中持有的個人資料量。該法涵蓋範圍包括:
- 美國公民存取政府主管機關持有資料以及該資料副本的權利。
- 公民修正任何資訊錯誤的權利。
- 主管機關需要僅收集達成其目標所需的最少資訊。
- 以「需要知道」為基礎來限制資料存取。
- 限制聯邦(和非聯邦)主管機關之間的資訊共享,即僅允許在特定條件下共享。
然而,網際網路的發明改變了隱私的定義,也出現必須執行有關電子通訊之新資料安全法的需求。
《聯邦貿易委員會法》
1914 年《聯邦貿易委員會法》設立美國聯邦貿易委員會 (FTC),並專門設計來取締會影響商業的不公平競爭方法、行為或作法。
今天,儘管 FTC 並未明確規範網站隱私權政策應納入哪些資訊,但其會使用主管權力來公布法規、執行隱私權法,並保護消費者。例如,FTC 可能會對有以下行為的組織採取行動:
- 不遵守已公布的隱私權政策。
- 以未確實列於隱私權政策中的方式轉移個人資訊。
- 針對消費者以及在隱私權政策中提供不正確的隱私權和安全聲明。
- 未執行和維持合理的資料安全措施。
- 未遵守可能適用組織所在產業的自律原則。
FTC 在網際網路規範中扮演重要角色,尤其是會負責審查業界領先的科技和社群媒體公司針對所收集之消費者資料的隱私權所做的誤導性陳述。例如,FTC 曾調查使用者就消費者資料的使用對 Facebook 提出的投訴。
《兒童線上隱私權保護法》
1998 年《兒童線上隱私權保護法》(也稱為 COPPA)為美國聯邦法律。其目標為讓家長能控制線上會收集有關兒童的哪些資訊。COPPA 適用於針對 13 歲以下兒童、且會收集兒童個人資訊的商業網站和線上服務營運商(包括行動應用程式和物聯網裝置)。
COPPA 部分重要規定包括:
- 目標對象為 13 歲以下兒童的網站、應用程式和線上工具,必須通知和取得家長同意才能收集兒童資訊。
- 必須有清楚且完整的隱私權政策。
- 必須確保所收集之兒童資訊安全且受到保障。
儘管該法是在網際網路出現早期所制定的法律,但卻在社群媒體和程式化廣告時代中格外重要。COPPA 要考慮的重要問題是網站「針對」13 歲以下兒童的程度。在美國,聯邦貿易委員會依據多種標準評估網站,包括:
- 主題
- 內容
- 使用動畫角色
- 使用兒童導向的活動或激勵措施
- 模特兒的年齡
- 採用兒童名人或吸引兒童的名人
- 網站上針對兒童投放的廣告
部分網站或服務會依照年齡來篩選使用者,因此無須遵守 COPPA 規範。例如,許多社群網路的商業模式是以收集並貨幣化使用者資料為基礎,其註冊使用者的最低年齡便會設定為 13 歲。
COPPA 引發的另一個問題是什麼會構成「收集個人資訊」。收集姓名、地址和照片即符合此類別。但較不明顯的是行為廣告,即追蹤使用者在網站和應用程式上行為的廣告,該等廣告也會構成 COPPA 規定的收集個人資訊。即使是由第三方供應商負責提供這些行為廣告,若廣告出現在以兒童為目標對象的網站上,則該網站擁有者也需負責。有鑑於行為廣告已構成網際網路生態系統的一大部分,這會對以兒童為目標對象的網站產生重大影響。
《加州消費者隱私權法》
《加州消費者隱私權法》(CCPA) 於 2018 年被簽署成為法律。其目標為透過將消費者隱私權保護延伸至網際網路,處理加州居民的消費者隱私權問題。CCPA 被認為是美國最全面且著重於網際網路的資料隱私權法律,聯邦層級上沒有相等法律。
與歐盟的 GDPR 相同,CCPA 讓消費者有權存取自己的資料,也有權隨時刪除和選擇退出資料處理過程。然而,CCPA 與 GDPR 的不同之處在於 GDPR 賦予消費者修正或糾正錯誤個人資料的權利,但 CCPA 並無相關規定。GDPR 也規定在消費者交出資料時要明確同意。但相對地,CCPA 僅規定隱私權備註可見於網站上,通知消費者其有權選擇退出特定資料收集。CCPA 的其他特點包括:
- 消費者有權透過資料主體存取要求來存取自己的資料。
- 若未提供網頁通知並讓消費者有機會選擇退出,則企業不得銷售消費者的個人資訊。
- 若消費者成為資料外洩的受害者,其具有提起訴訟的有限權利。
- 州檢察長更具有代表居民對公司提出訴訟的一般權利。
CCPA 對個人資訊的定義廣泛:「識別、涉及、描述、能與特定消費者或家庭相關聯或可合理地直接或間接連結至特定消費者或家庭的資訊」。這與 GDPR 對個人資料的廣泛看法類似。
《一般資料保護規則》
歐盟的《一般資料保護規則》(GDPR) 於 2018 年生效。此法律架構設立了有關收集和處理歐盟居民個人資訊的指導原則。無論網站設於何處,皆適用於 GDPR,這表示所有吸引歐洲訪客瀏覽的網站都需遵守其規定。GDPR 被認為是世界上最嚴格的資料安全法律。
GDPR 規定網站使用者必須收到通知,瞭解網站正在收集之資料,且使用者應明確表達同意該等資料收集行為。這也是為什麼許多網站透過彈出視窗詢問使用者是否同意收集 Cookie(Cookie 是持有個人資訊的小檔案,例如網站設定和偏好設定)。
GDPR 的主要特點包括:
- 消費者有權瞭解自己的資料受到什麼方式的收集和使用。
- 消費者可詢問網站其收集哪些與自身有關的資訊(無需支付費用)。
- 若消費者資料有誤,其可要求網站修改。
- 消費者可要求從記錄中刪除其資料。
- 消費者有權拒絕資料處理,例如用於行銷目的的處理行為。
- 若使用者的資料被盜或遭洩露,網站必須通知使用者。
歐盟執委會在官方網站上詳細說明 GDPR。已有多家大型公司因違反 GDPR 被處以重罰,包括 Google 被處以 5,700 萬美元罰金,因為其在使用者設定新 Android 手機時隱藏了重要資訊,造成使用者不瞭解自己同意的資料收集政策;而英國航空被處以 2,800 萬美元罰金,因為有 500,000 筆客戶訂位紀錄在攻擊中遭竊。
《健康保險便利和責任法案》
1996 年《健康保險便利和責任法案》(HIPAA) 是美國聯邦法,著重於健康保險規範,包括資料隱私和安全部分。該法案可避免健康保健供應商、企業和相關工作人員在消費者未許可之情況下,揭露對方的健康資訊。
當提到 HIPAA 時,大家通常是指 2003 年制定的「隱私權規則」。制訂該規定的部分原因是,美國國會認為網際網路增加了健康隱私外洩的可能性。HIPAA 的「隱私權規則」讓消費者有權控制自己的健康資訊揭露情況,因此其便可告知健康保健供應商可以分享哪些資訊。
然而,HIPAA 僅保護特定類型健康保健供應商持有的健康保健資訊。例如,您健身追蹤工具上的健康保健資料通常不在 HIPAA 涵蓋範圍內。您在 Ancestry.com 等網站上輸入的遺傳資料也不受 HIPAA 保護。其他法律或協議(例如許多應用程式上要求的隱私揭露)可能會保護這類資訊,但 HIPAA 並未如此。
《格雷姆─里奇─比利雷法案》
美國《格雷姆─里奇─比利雷法案》(GLBA) 也稱為 1999 年《金融服務法現代化法案》,是包含資料隱私和安全要素的銀行和金融法。其對個人資訊的保護建立在過往的消費者金融資料法之上,例如美國《公平信用報告法》(FCRA)。
本質上而言,GLBA 會保護非公開的個人資訊,其定義為任何「與提供金融產品或服務有關的個人資訊(除非該資訊被以其他方式公開)」。「公開可用」是指可能為公共領域的財產記錄或特定抵押資訊。
GLBA 保障規則規定資料收集者應保護個人資訊,並建立適當規模的資料安全系統。換言之,例如與鄉村信用合作社相比,大型國家銀行需要更複雜的保障措施。
該規則規定企業應定期測試。此外,其必須在日常營運中執行安全措施,例如執行員工背景檢查工作,以及建立漏洞行動計劃來應對攻擊情況。
GLBA 規定偽裝是違法行為。偽裝指的是某人以不正當方式取得非公開資訊。該詞彙通常會與社會工程駭客入侵相關聯,例如,當有人冒充經理或執法單位取得資訊。另一個偽裝範例是網路釣魚詐騙,這有時關涉建立假網站來欺騙使用者洩露隱私資訊。GLBA 規定金融機構應制定可防範偽裝的措施,並納入其安全計劃的一部分。
網際網路隱私權法律:結論
全世界的不同司法管轄區都有各自的網際網路隱私權和資料安全法律。例如,巴西有《通用資料保護法》(LGPD),而加拿大則有《消費者隱私權保護法》(CPPA),兩者在範圍上與歐盟的 GDPR 或加州的 CCPA 有大量相似之處。
在美國,並無一個治理資料隱私的綜合性聯邦法。網際網路法規是特定產業和特定媒介法律拼湊而成的複雜內容,包括處理電信、健康資訊、信用資訊、金融機構和行銷等領域的法律和法規。
保護線上隱私和資料安全的最佳方式是使用全面的防毒解決方案。卡巴斯基專業版等產品可封鎖常見和複雜的威脅,例如病毒、惡意軟體、勒索軟體、間諜應用程式,以及最新的駭客活動。
推薦產品
