譯者:台權會翻譯志工(Alice, David Wu, Natalie, 育玄、品慧)
校稿:冠瑜、季勳
執行摘要
上網的同時,你的對話內容、意見想法、經驗、所在位置、照片及更多資訊託付給Google, AT&T and Facebook等網路公司,但政府要求你個人隱私的資料時,這些公司會採取什麼行動?他們會和使用者同一陣線,捍衛其權利?是否知會使用者?
本年度報告中,電子前哨基金會檢視主要網路公司的政策,評估當政府要求用戶資料時這些公司是否會與使用者站同一陣線,捍衛其權利(這些公司包含了網路服務業者、郵件、雲端服務、定位服務提供者、及部落格(網誌)平台及社群網站)
本報告是鼓勵公司讓資訊的流向公開、透明化,並使其在必要時為用戶的隱私權政策表達立場。
報告中檢視每間公司的服務條款、隱私權政策、資訊透明報告及執法者要求之準則;我們亦考量其是否曾公開在法庭上捍衛使用者隱私權,是否為「數位正當法律程序聯盟」成員在國會推動立法改革。最後,我們連絡各公司說明報告結果,給予他們機會提出改善的政策及作為之證據。這些項目雖非企業捍衛使用者權益唯一方式,但卻是重要且能公開証實的標準。
此外,並非所有公司都會面臨在法庭上出面支持使用者的場合,但若發生此情況時,我們願特別表彰該公司的努力。
評量標準
今年以6項標準衡量網路公司,這是自前幾年開始的四個評量項目,其中兩項以半顆星給分。
今年評鑑中將過去報告中「資訊透明」項目,進一步區分出兩種不同項目。過去公布「政府要求提供戶用資料頻率」透明報告及出版「執法機關個資使用準則」的公司可以得到半顆星。而今年度這兩個項目表現良好,從半顆星調整為給予一顆星。
此外,另新增「執法者在取得用戶通訊記錄前要先取得傳票」之項目。2010年美國聯邦第六巡迴上訴法院保護用戶儲存於網路服務提供者的通訊資料,裁決執法機關必須有傳票令狀授權,才能取得通訊內容,我們認為這是極重要的決定,肯認憲法對儲存在第三方的電子通訊資料保護。不過因它並非最高法院判決,不能正式約束其它案件,但今年我們鼓勵那些公開積極要求政府提出授權傳票令狀的公司。
在2013的報告中,採用以下6大項目標準衡量公司作為與政策:
1.「要求提出對通訊內容搜索的令狀」
在提供用戶的通訊內容前,要求政府依正當理由取得令狀授權,公司便能在此新增的評量項目,獲得一顆星肯定。此作法確保個人儲存在網路線上服務的私密資料能夠受到美國憲法第四修正案的保護
2.「通知用戶」
當政府要求使用者的資料,除非法律明文禁止,公司必須承諾告知使用者,達到此標準的公司即可獲得一顆星。如此可給予用戶捍衛自身權益,防止政府過度取得其資料。
3.「公布透明度報告」
如公司能夠公布「多久提供使用者資料給政府的數據」,將得到一顆星。
4.「出版執法機關個資使用準則」
公司制訂如執法機關個資使用準則之類公開的政策內容,說明如何回應政府要求收集使用者資料,能做到如此,可在本項目獲得一顆星
5.「在法庭上捍衛用戶隱私」
若要在此項目獲得肯定,公司必須有在法庭上抗拒政府過度要求月戶資料的公開紀錄
6.「在國會捍衛用戶隱私」
如果企業加入「數位正當法律程序聯盟」,支持推動電子隱私法令革新,以捍衛用戶在數位時代中權利, 便能在此項目獲得一顆星。
結論總結 新產業趨勢
2011年我們首次發表報告,肯定企業模範作為。挑選網路服務提供者時,其至少能在其中某一評鑑類別中有所作為。兩年之後,非常高興看到某些最佳示範,該執行項目已成為網路企業的標準。
特別是我們看到越來越多的網路公司正式同意告知使用者執法者之要求,除非法律或是法院命令有禁止。今年,Dropbox, Foursquare, LinkedIn, Sonic.net, SpiderOak, Twitter, and WordPress在這個評鑑項目得到一等星。谷歌(Google)在這個評鑑項目中失望地未達到標準,它不但頒布模糊的政策,在評鑑的過程中失去曾得到的半顆星。
年度透明度報告也變成主要網路公司須執行的基本項目。越來越多公司公布透明度報告,特別是微軟(Microsoft)和推特(Twitter)今年首度公布透明度報告。我們期望更多網路公司能效法Google 和徵軟,谷歌(Google)與微軟(Microsoft)這兩家網路公司發布有關國家安全密函之資訊,通常這類政府祕密監控使用者資訊有禁制令。我們同時也看到網路公司公布執法機關準則資訊有顯著的增加。康卡斯特(Comcast), Foursquare,谷歌(Google), 微軟(Microsoft), SpiderOak, Tumblr,WordPress七家公司今年第一次贏得星等。
在法庭上保護使用者隱私權,Google今年特別值得表揚其在與政府監控對「國家安全密函」抗的司法挑戰。並不是每家公司都有機會在法庭為使用者隱私權抗辯,有時候公司為使用者在法庭辯護,但被禁止公開此事實。因此在這一項目中,我們贊許願意提供適合或更高保護予其用戶的公司,例如Google今年的表現。
更多公司加入「數位正當法律程序聯盟」,在國會中爭取使用者隱私權。Foursquare, Tumblr, and WordPress第一次在本項目得到星等。
我們很高興公布,去年報告裏有些公司已改善執行方式和政府取得使用者資料的政策。在微軟贏得三顆星的同時,Comcast, Google, SpiderOak, and Twitter 在今年都贏得兩顆星。Foursquare由原來2012年沒有贏得任何獎項,2013年贏得四顆星。
部落格平台 Tumblr WordPress雖然今年首度出現在報告中,但是它們表現優異。Tumblr公布回應執法機關要求的細節、內容搜索要傳票授權、在國會中為使用者隱私權發聲這三方面受到肯定。WordPress除在此三項目得分外,因它保證當政府提出要求時會通知使用者而頒給它第四顆星。
今年有兩家得到6顆星: Sonic.net和Twitter. 我們非常高興這些公司的公開透明與保護用戶個資免於不當要求的投入。
當我們欣慰這些公司在過去這些年有不錯的進步之餘,改善的空間仍舊很大。在Amazon 持有大量的資料作為它雲端和銷售的服務之時,還尚未承諾告知使用者政府要求搜尋調閱其個資,或提供年度透明度報告,或是建立一套應對執法機關的說明準則。Yahoo 雖曾公開在法庭為捍衛使用者隱私,但它未在其他項目中得到肯定。我們未看到加入「數位正當法律程序聯盟」的蘋果和AT&T有所作為。(最後更新日期為2013年5月13日:這份修正的報告是頒三顆星給Myspace。新修正的資訊請看 https://www.eff.org/who-has-your-back-2013) AT&T和Verizon 等ISPs在我們此評比標準下的整體表現令人失望。
---------------
A. 內容搜索要有傳票令狀
這個分類乃是受到臉書政策所激發而在2013年首次被列入這份報告,該政策要求執法者在取得用戶通訊記錄前要先取得傳票(令狀)。在此新分類底下,公司若採行此政策,在提供用戶通訊記錄前要求政府提出傳票(令狀,已通過刑事訴訟法相當理由的標準)將會獲得讚譽[1]。
這個分類同樣受到2010年美國第六巡迴上訴法院United States v. Warshak案的見解所影響,法院認為美國憲法第四條修正案關於隱私權的保護擴及到儲存於電子信箱服務業者端的電子郵件。政府若想取得訊息內容,同樣必須事前取得搜索票[2]。對網路隱私權,此判決無疑是勝利的宣示,不過可惜這僅是美國一個上訴法院的見解而已,並非能拘束全國的判決先例。
遵循Warshak案規則的公司,我們都會頒給「星」, 當執法者要求這些公司交出用戶的私人訊息時,公司請求出示傳票,確保對用戶私人通訊同受憲法第四條修正案的保護。
雖然今年是我們第一年用此分類來衡量公司,但很明顯地許多公司都已要求取得用戶通訊內容須搜索票。今年,十八家公司中我們認證了十一家公司採行了此項政策,包括:Dropbox, Facebook(臉書), Foursquare, Google(谷歌), LinkedIn, Microsoft(微軟),Sonic.net, SpiderOak, Tumblr, Twitter(推特),和WordPress。
其中我們對於臉書對此政策詮釋的堅定立場感到印象深刻,他們公開地聲明,用戶隱私的內容包含半公開的資訊如牆上貼文集所在位置的資訊。臉書之政策原文:
必須取得與正式的刑事調查相關的有效傳票,才能強制披露基本的用戶資料(根據 18 U.S.C. Section 2703(c)(2) 的定義),其中可能包括:姓名、服務時間長度、信用卡資料、電子郵件,如果有的話,也包括最近的登入/登出 IP 位址。
截取自https://www.facebook.com/safety/groups/law/guidelines/最後連線日2013/4/24
B. 通知用戶
在這個分類要求公司公開承諾,除非違反法律或是法院指令,否則當政府機關向其索取用戶之隱私資料時,要通知該用戶。
這項承諾之重要乃因此讓用戶有得以防禦政府過度的要求。大多數情況下,用戶比公司更有立場(當然也更有誘因)去挑戰政府對於個人資訊的請求。
承諾通知用戶對公司來講應該不算太難,它們不需選邊站,只需要將重要的資訊傳給用戶,若法律或法院命令禁止,公司也免去此項義務。理想的情況是,該用戶通知應該在公司移交資訊給政府前為之,讓用戶有機會採取法律途徑,如雇用律師反對政府相關請求等。
理想中,我們認為公司應該將此承諾列入其服務條款或隱私政策,不過若公司將此承諾另以其它正式名義公佈,例如置於「給執法機關的聲明」中,我們仍然給予讚譽。
數個領導市場的網路公司已經正式承諾:除非有違法律或是法院指令,否則當政府機關向其索取用戶之隱私資料時,要通知用戶。今年,Foursquare以及WordPress加入Dropbox, LinkedIn, Sonic.net, SpiderOak和Twitter的行列,為公司贏得了一顆星。
遺憾的是,我們對於Google新提出的聲明感到失望。過去幾年,電子前哨基金會(EFF)因Google聲明將「盡可能」通知用戶關於政府索取用戶私人資料之情事,所以僅頒給Google半顆星[3]。
而今年,Google在官方政策上的聲明卻變成:
對於政府的請求,除非違反法律或法院命令,我們將在「適當的時候」通知用戶。
Accessed from https://www.google.com/transparencyreport/userdatarequests/legalprocess/
on April 24, 2013.
像「適當的時候」這種模棱兩可的文字,並不能符合交付資訊予政府應透明的鐵律。我們對於Google決議採用這樣無限制的文字作為政策感到失望,也希望Google能受到其他主要網路公司的影響,未來可跟進採取更明確的立場。
舉例來說,推特在其「執法機關準則」中提到:「推特的政策就是,除非違反法律或是法院指令,否則在政府索取用戶之隱私資料時,我們將通知該用戶。」
Accessed from
http://support.twitter.com/groups/33-report-a-violation/topics/148-policy-
information/articles/41949-guidelines-for-law-enforcement on April 24, 2013.
還有另外一個很好的例子,展現公司對於透明化堅定的立場,LinkedIn的用戶常見問答集中就提到:
若有人要求提供帳戶資訊,LinkedIn會通知會員嗎?
是的,LinkedIn的政策是,除非違反法律或是法院指令,否則在政府索取用戶之帳戶資料時,我們將通知該用戶。執法單位若認為通知用戶將阻礙相關調查的進行,應取得正當的法院命令或是其他相當的程序,例如依照刑事訴訟法第2705條b取得的法院命令,才足以阻卻本公司通知該用戶。
Accessed from
http://help.linkedin.com/app/answers/detail/a_id/16880 on April 24, 2013
C.公佈透明度報告
為了得到這項評鑑的認可,企業必須提供公司內部將客戶個資交予政府的頻率報告;使用者每天都在做託付個資給各家公司的決定,所以這些企業多久提供用戶個資給予政府,是很重要的。
我們會評估這些企業是否公布他們接到政府要求使用者個資的次數。無論是官方要求如搜索令,還是非官方要求。Google在這項評鑑中保持領先,並持續在這方面公布他們的透明度報告。
我們很高興地,這目前已成為了趨勢。去年我們認可了Dropbox、LinkedIn、Sonic.net及SpiderOak,還有Google的透明度報告。今年,我們增加了微軟(Microsoft)及推特(Twitter)兩間企業,這是他們首次公布他們的透明度報告。
特別值得嘉許Google及微軟,在他們報告中包含了「國家安全密函」(National Securities Letters, NSL)的身影。
美國聯邦調查局當局所秘密發布的「國家安全密函」被擴張到《愛國者法案》(PATRIOT Act)之下,准許美國聯邦調查局在未經法院授權下取得任何人的電話、網路、財務、信用紀錄、以及其他個人紀錄,只要聯邦調查局相信,這些資訊與恐怖主義及間諜調查有關。
收到「國家安全密函」的企業,通常受制於聯邦調查局缺乏法院監督的禁聲令──禁止他們向身邊的同事、朋友、甚至是家人揭露收到國家安全密函的事實,更別說是向公共大眾了。
透過公布收到命令的資訊,Google跟微軟進一步幫助大眾瞭解危險且濫用的政府權力。雖然這些一般性的報告並未提供確切的數字,但仍提供了關乎此祕密法律文書小卻重要的公眾透明資訊。
D.公布執法機關的個資使用之指南
我們也評估企業是否公佈執法單位對於個資的要求,並且提供指南:
l 企業是否需要搜索令。
l 企業所持有的是什麼類型的資料,且執法單位需要經過什麼法律程序才能取得。
l 通常企業保存資料的期限,而且要花多久時間回應執法單位的要求。
l 企業是否有緊急的例外或是其他類型的發現。
l 企業可否要求賠償因提供資料所導致的損害。
這些公布的指南會幫助我們更能了解,執法單位在要求取得各個平台的個資,必須依循的標準跟規範。
推特在這個項目上取得領先,成為在2011年公布執法機關使用個資指南,首間得到認可的企業。去年Dropbox、臉書(Facebook)、LinkedIn及Sonic.net則跟進,而今年Comcast、Foursquare、Google、微軟、SpiderOak、Tumblr及WordPress也陸續公佈執法指南。
E.在法庭上為使用者隱私奮鬥
透過在法庭上捍衛客戶隱私權─包括提出法律文件及論據─來為個資權益不被政府侵害,企業則可在這項評鑑得到認可。
這些關於公司承擔客戶隱私和他們意願的有力證言,是面對政府過度要求的反擊。
當然有些企業可能不會在法庭上為個資辯護,其他則成功地非正式抵擋了執法單位的過度要求;有些礙於對國家安全密函的秘密禁聲令,而無法公佈他們在個資保護的成效。因此,在這項評鑑沒有得到認可,並不代表該企業在法律程序上沒有保護個資,反之,這項評鑑應被視為有企業為個資保護在法庭上採取行動且可公布成效的認可。
我們認可了幾間在法律程序上保護個資的企業。
雅虎(Yahoo!)在此項評鑑得到認可,原因是因為司法部(Justice Department)在無正當理由下要求使用者的電子郵件[4],遭到雅虎抗議並且使得政府不得繼續提出此要求[5]。亞馬遜(Amazon)則是不斷在保護使用者購買紀錄,免受聯邦及州立政府的要求。Comcast則是在2003年對於國稅局(IRS)要求個資的傳票提出抗議。推特(Twitter)則是去年在Harris個案[6] 保護其使用者的個資。Sonic.net則是抵抗政府在維基解密(WikiLeaks)的偵查[7]。
經具體檢驗以下三個項目,Google目前多次得到這個獎項:
l 2006年抵抗司法部搜索紀錄的要求。
l 持續在法院抵抗政府對維基解密(WikiLeaks)偵查中對用戶隱私的侵犯[8]。
l 挑戰國家安全密函。
Goolge挑戰「國家安全密函」的重要性是不能被輕忽的。這些密函很常見,但目前所知,較少企業在法律程序上提出挑戰(電子前哨基金會EFF曾經參與類似的挑戰,明確代表一位身分保密的國家安全密函收件人提出司法救濟)。由於政府要求祕密,這些企業們是唯一較易起身反擊者。希望Google的成功案例,能激發其他企業加入。
F.在國會捍衛使用者隱私權
企業所執行的政策固然重要,但不能全盤仰賴其保護。當科技日新月異,法律同時應該保障我們的隱私權。持有個人資料的企業,應為使用者提供必要的法律更新。這也是為何「誰是你的靠山?」(Who Has Your Back?)倡議,呼籲企業們加入持續且永續改革法律的運動──藉著加入「數位正當法律程序聯盟」(Digital Due Process, DPP),使整體網路產業提高使用者隱私的標準。DPP的成員致力於建立法律規範來提高正當法律程序、隱私及落實執法程序上的有效性──譬如政府機關搜索私營企業部門的個人通訊及資訊時,需提供稽察證明,且要求政府機關對法院提供證據,證明搜索的相關有效性與質詢的合法性。
我們非常樂意見到報告中提及的大部份公司皆爲DPP的成員,其中包括2011年加入的七家企業(亞馬遜、蘋果、AT&T、Dropbox、臉書、Google和微軟)以及2012年加入的四家企業(Linkin、Sonic、Spideroak、推特)[9]今年則很樂意地見到三家公司分別是:Foursquare、Tumblr、Wordpress(透過它們的母公司Automattic)加入承諾改善過時的隱私法規行列。
結論
目前存在許多管道保護個人隱私權免於公權力的侵犯。EFF長期投入重大司法訴訟、教育倡議、創新科技計劃以及推動國內及國際間倡議,監督政府確保其處理高度個人資料時能夠以較嚴格的標準檢視。這些能夠確保通訊隱私不被政府專擅介入的法律標準,源自於美國憲法第四修正案(Fourth Amendment),這是一項歷史悠久的隱私權法律及使用多年的判例法源。然而,在今日逐步數位化的時代,線上服務供應者成為民眾個人資料的主要保鏢──這些資料小至電子郵件內容到位置資訊,遠至社會和家庭的連結都包含其中。企業所採行的政策,將深遠且持久地影響網路個人用戶是否能擺脫政府監視資訊溝通自由的陰影。
在了解今年的年度隱私權與透明度報告後,主要線上服務提供者一年來採取相當程度的修正改進,我們感到欣慰。但此仍有許多改進空間,包括提供定位服務及電信業者如 AT&T 及Verizon的政策──像是出版法律執行指南及定期透明度報告等,都將作為整體網路產業的執行規範。我們正見到一個持續成長且有影響力的運動,包括自發性的公民團體以及主要網路公司更新已過時隱私法,以及政府機關在取得敏感的定位數據、電子信箱內容、以及雲端硬碟等資料前,須取得法院的搜索證明。
[1] Under one key federal statute, the Stored Communications Act, the “contents” of a wire, oral, or electronic communication means “any information concerning the substance, purport, or meaning of that communication.” 18 U.S.C. § 2510(8).
[2] United States v. Warshak, 631 F.3d 266 (6th Cir. 2010); see also “Breaking News on EFF Victory:
Appeals Court Holds That Email Privacy Protected by Fourth Amendment,” EFF, Dec. 14, 2010,
https://www.eff.org/deeplinks/2010/12/breaking-news-eff-victory-appeals-court-holds.
[3] Chief Legal Officer David Drummond had written in a blog post, “Whenever we can, we notify users about requests that may affect them personally.” This was also reflected in the apps administration policy, which states, “Google complies with valid legal process. It is Google’s policy to notify users before turning over their data whenever possible and legally permissible.” See http://googleblog.blogspot.com/2010/04/greater-transparency-around-government.html.
[4] In Re Application of the United States of America for an Order Pursuant to 18 U.S.C. 2703(d), No. 09-Y-080 CBS
[5] "Government Backs Down in Yahoo! Email Privacy Case, Avoids Court Ruling on Important Digital Civil Liberties Issue," EFF, April 16, 2010,https://www.eff.org/deeplinks/2010/04/government-backs-down-yahoo-email-privacy-case.
[6] "Twitter Fights Back Against NY Judge’s Sweeping Order," EFF, May 9, 2012, https://www.eff.org/deeplinks/2012/05/twitter-fights-back-against-ny-judges-sweeping-order.
[7] “Secret Order Targets Email,” Wall Street Journal, Oct. 11, 2011, http://online.wsj.com/article/SB10001424052970203476804576613284007315072.html.
[8] “Secret Order Targets Email,” Wall Street Journal, Oct. 11, 2011, http://online.wsj.com/article/SB10001424052970203476804576613284007315072.html.
[9] Note that last year we also included Loopt, but have subsequently removed them from the annual report. See discussion in the “New Companies in the 2013 Report” section.