http://goo.gl/5EUdnv

6. 巨量資料時代的隱私權問題

隱私權與創新的兩難

協同過濾： 不考慮產品本身，僅根據消費或行為

紀錄，判斷使用者之間的嗜好類似性。

…有時也會以出賣自己的消費與行為資料，

意外產生偶然的幸運（Serendipity），發掘未知需求

Amazon Silk • 分割式瀏覽器

• 行為預測 S p l i t B r o w s e r

美國國會也表示 關注 蒐集什麼？怎麼用？

如何告知？可否參與制？

行為追蹤 Behavior Tracking

為了創造更巨大的商業價值，我們紀錄了越來越多敏感性資訊…

Salesforce.com

Rapleaf Real-Time Data on 80% of U.S. Emails

我們的目的是希望讓我們的客戶能在更適當的時點，

對他們的客戶提供更為個人化的服務。

越矩、違反 facebook 規範

引起關注、刪資料

Do Not Track

Do Not Track. Firefox 問答集

美國於 2012 年隨著《消費者隱私權保護法案》頒布同時，

數位廣告聯盟保證採納 DNT，始或企業支持。

美國，2012 年 2 月 23 日

《消費者隱私權保護法案》 具體定義消費者有以下權利：

獨立控制

尊重消費者所處狀況

透明度

安全性

限制蒐集

資料存取與正確性

說明責任

1. 獨立控制

• 消費者有權控制自己哪些資料可被蒐集，

以及被蒐集後將如何被使用。

• 企業必須提供消費者適當的控制方式，

以控制哪些個人資料可與人共享，或准許企業如何蒐集、使用、揭露的個資之規模、範圍與敏感度，提供讓消費者能取得相關資訊，並能輕易使用的機制。

2. 透明度

• 消費者有權輕易取得並理解關於隱私權

及資訊安全執行狀況的相關資訊。

• 明確告知

• 配合不同的螢幕顯示方式，與不同的裝置隱私風險，評估其資訊揭示方式。

3. 尊重消費者所處狀況（背景）

• 消費者有權期待企業以符合自己提供資料當時所處的背景，來蒐集、使用或揭露此等個人資料。

• 如果未來有發現能為消費者帶來更大好處的資料使用方式，業者須以比當初蒐集資料時更高透明度、更醒目的方式通知消費者並取得同意。

4. 安全性

• 消費者有權要求他的個人資料，受到安全且負責任的方式管理。

5. 資料存取與限制性

• 消費者有權在資料變得敏感，或資料不正確時，視該情況對消費者造成的不良影響風險度，以適當方式存取個人資料，及要求該資料進行修正、刪除或限制使用。

6. 限制蒐集

• 消費者有權對企業蒐集與保存的個人資料，設下合理的限制。

• 企業要有限度地蒐集必要的個人資料。

• 除非法律另有規定，否則當該必要性以失去後，必須徹底銷毀個人資料，或使其無法用以辨識特定個人。

7. 說明責任

• 企業必須負起責任要求公司員工遵守此等

原則。

• 教育訓練＋定期評估執行狀況。

採用 選擇性參與 的歐盟

http://www.eunursing.com/

歐盟，2009 年修法

《電子隱私保護令》

儲存在使用者終端設備裡的資訊，

在已明確且全面性將使用目的等資訊告知使用者、

並取得其事前同意的情況下，始准許使用。

歐盟，2012 年母法修正草案

《歐盟資料保護綱領》

引進

「抹掉過去」

的權利

制定資料可攜

的權利

尚未取得使用者

明確同意前，不得使用其個人資料

擴大說明責任

3.制定資料可攜的權利

• Data Portability

• 使用者可以輕易存取自己的資料，並將自己的資料自由地從一服務供應商到另一服務供應商。

https://www.theaa.com/credit-card/transfer-plus-credit-card.jsp

4. 擴大說明責任

• 250人以上的企業，需要設置「資料保護長」（Data Protection Officer）

• 服務設計與開發初期就應該納入「隱私設計」（Privacy by Design）原則，將相關設定預設為「不公開」或「隱私權優先」（Privacy by Default）

歐盟，2012 年母法修正草案

《歐盟資料保護綱領》

若違反相關規定，將被課以

100 萬歐元或全球營收最高 2% 的罰金。

歐盟主張…..

提高消費者對線上服務的信任

反而能刺激市場、促進業務成長，

並對創造新的創新有所幫助。

另一個重點

「個人資料」的定義

另一個重點

「個人資料」的定義

任何跟「資料主體」有關的資訊，

包含IP、Cookie等「網路識別要素」。 歐盟：

「可辨識特定個人」的資訊。 日本：

草案預計在取得歐盟

各國承認後兩年生效。

即便不是歐盟企業，

只要在歐盟境內有業務，

都必須遵守。

日本 法令架構

日本，主法＋各行業訂定的指導原則

《個人資料保護法》

個人資訊

所謂「個人資訊」，意指與活著的個人有關的資訊，亦即足以由包含在該資訊裡的姓名、

出生日期或其他描述等，辨識出特定個人之資訊（包括能輕易與其他資訊對照、藉以辨識出特定個人之資訊）。

其他和美國相呼應的點

• 取得個人資訊之際，必須盡可能將使用目的明確化。

• 未事先取得本人同意前，不得再逾越前條規定之特定使用目地範圍外，處理個人資訊。

• 除已預先公布使用目的者外，當取得個人資訊之際，應盡速將使用目的通知本人或公布使用目的。

將個人資訊提供給第三方一事…

只要準備有選擇性退出的方案、

並設法使本人處於容易得知的狀態，

那麼即使未取得本人同意，

亦能將資料提供予第三方。

不過還是採取「選擇性參與」的行業，如電子通訊。

日本，經濟產業省

「資訊大航海計畫」建言

隱私權 v.s. 個人化服務創新？

集合匿名資訊

Group-Based Anonymization

把可辨識的資訊做加工

日本，總務省

對生活紀錄所做的建言

• TA：定為廣告服務商、LBS服務商

• 生活紀錄：難以用現有的一般技術進行管理的大量資料群。

→ 險露個人內心狀況或生活模式

→ 可能侵犯隱私權，若讓使用者不安

→ 但產業之初，太多規範會造成業者過度不安

→ 希望業者自律，並提供六點參考原則

日本，總務省

對生活紀錄所做的建言

• 六點參考原則

1. 致力宣傳、推廣與教育活動

2. 確保透明度

3. 確保使用者參與決策的機會

4. 確保以正當方式取得

5. 確保妥善的安全管理

6. 確保面對客訴或詢問時的應對機制

讓使用者參與＝

喪失業務機會？

關鍵在與使用者對話

Hulu Ad Tailor

實體世界的行為追蹤？ Web Analytics For The Real World

http://goo.gl/5EUdnv

6. 巨量資料時代的隱私權問題

NEVER END.