Upload
wanju-wang
View
2.050
Download
3
Embed Size (px)
DESCRIPTION
這章是關於美/歐/日對於一些個人化資料的隱私權法規現況的解釋。
Citation preview
http://goo.gl/5EUdnv
6. 巨量資料時代的隱私權問題
隱私權與創新的兩難
協同過濾: 不考慮產品本身,僅根據消費或行為
紀錄,判斷使用者之間的嗜好類似性。
…有時也會以出賣自己的消費與行為資料,
意外產生偶然的幸運(Serendipity),發掘未知需求
Amazon Silk • 分割式瀏覽器
• 行為預測 S p l i t B r o w s e r
美國國會也表示 關注 蒐集什麼?怎麼用?
如何告知?可否參與制?
行為追蹤 Behavior Tracking
為了創造更巨大的商業價值,我們紀錄了越來越多敏感性資訊…
Salesforce.com
Rapleaf Real-Time Data on 80% of U.S. Emails
我們的目的是希望讓我們的客戶能在更適當的時點,
對他們的客戶提供更為個人化的服務。
越矩、違反 facebook 規範
引起關注、刪資料
Do Not Track
Do Not Track. Firefox 問答集
美國於 2012 年隨著《消費者隱私權保護法案》頒布同時,
數位廣告聯盟保證採納 DNT,始或企業支持。
美國,2012 年 2 月 23 日
《消費者隱私權保護法案》 具體定義消費者有以下權利:
獨立控制
尊重消費者所處狀況
透明度
安全性
限制蒐集
資料存取與正確性
說明責任
1. 獨立控制
• 消費者有權控制自己哪些資料可被蒐集,
以及被蒐集後將如何被使用。
• 企業必須提供消費者適當的控制方式,
以控制哪些個人資料可與人共享,或准許企業如何蒐集、使用、揭露的個資之規模、範圍與敏感度,提供讓消費者能取得相關資訊,並能輕易使用的機制。
2. 透明度
• 消費者有權輕易取得並理解關於隱私權
及資訊安全執行狀況的相關資訊。
• 明確告知
• 配合不同的螢幕顯示方式,與不同的裝置隱私風險,評估其資訊揭示方式。
3. 尊重消費者所處狀況(背景)
• 消費者有權期待企業以符合自己提供資料當時所處的背景,來蒐集、使用或揭露此等個人資料。
• 如果未來有發現能為消費者帶來更大好處的資料使用方式,業者須以比當初蒐集資料時更高透明度、更醒目的方式通知消費者並取得同意。
4. 安全性
• 消費者有權要求他的個人資料,受到安全且負責任的方式管理。
5. 資料存取與限制性
• 消費者有權在資料變得敏感,或資料不正確時,視該情況對消費者造成的不良影響風險度,以適當方式存取個人資料,及要求該資料進行修正、刪除或限制使用。
6. 限制蒐集
• 消費者有權對企業蒐集與保存的個人資料,設下合理的限制。
• 企業要有限度地蒐集必要的個人資料。
• 除非法律另有規定,否則當該必要性以失去後,必須徹底銷毀個人資料,或使其無法用以辨識特定個人。
7. 說明責任
• 企業必須負起責任要求公司員工遵守此等
原則。
• 教育訓練+定期評估執行狀況。
歐盟,2009 年修法
《電子隱私保護令》
儲存在使用者終端設備裡的資訊,
在已明確且全面性將使用目的等資訊告知使用者、
並取得其事前同意的情況下,始准許使用。
歐盟,2012 年母法修正草案
《歐盟資料保護綱領》
引進
「抹掉過去」
的權利
制定資料可攜
的權利
尚未取得使用者
明確同意前,不得使用其個人資料
擴大說明責任
3.制定資料可攜的權利
• Data Portability
• 使用者可以輕易存取自己的資料,並將自己的資料自由地從一服務供應商到另一服務供應商。
https://www.theaa.com/credit-card/transfer-plus-credit-card.jsp
4. 擴大說明責任
• 250人以上的企業,需要設置「資料保護長」(Data Protection Officer)
• 服務設計與開發初期就應該納入「隱私設計」(Privacy by Design)原則,將相關設定預設為「不公開」或「隱私權優先」(Privacy by Default)
歐盟,2012 年母法修正草案
《歐盟資料保護綱領》
若違反相關規定,將被課以
100 萬歐元或全球營收最高 2% 的罰金。
歐盟主張…..
提高消費者對線上服務的信任
反而能刺激市場、促進業務成長,
並對創造新的創新有所幫助。
另一個重點
「個人資料」的定義
另一個重點
「個人資料」的定義
任何跟「資料主體」有關的資訊,
包含IP、Cookie等「網路識別要素」。 歐盟:
「可辨識特定個人」的資訊。 日本:
草案預計在取得歐盟
各國承認後兩年生效。
即便不是歐盟企業,
只要在歐盟境內有業務,
都必須遵守。
日本 法令架構
日本,主法+各行業訂定的指導原則
《個人資料保護法》
個人資訊
所謂「個人資訊」,意指與活著的個人有關的資訊,亦即足以由包含在該資訊裡的姓名、
出生日期或其他描述等,辨識出特定個人之資訊(包括能輕易與其他資訊對照、藉以辨識出特定個人之資訊)。
其他和美國相呼應的點
• 取得個人資訊之際,必須盡可能將使用目的明確化。
• 未事先取得本人同意前,不得再逾越前條規定之特定使用目地範圍外,處理個人資訊。
• 除已預先公布使用目的者外,當取得個人資訊之際,應盡速將使用目的通知本人或公布使用目的。
將個人資訊提供給第三方一事…
只要準備有選擇性退出的方案、
並設法使本人處於容易得知的狀態,
那麼即使未取得本人同意,
亦能將資料提供予第三方。
不過還是採取「選擇性參與」的行業,如電子通訊。
日本,經濟產業省
「資訊大航海計畫」建言
隱私權 v.s. 個人化服務創新?
集合匿名資訊
Group-Based Anonymization
把可辨識的資訊做加工
日本,總務省
對生活紀錄所做的建言
• TA:定為廣告服務商、LBS服務商
• 生活紀錄:難以用現有的一般技術進行管理的大量資料群。
→ 險露個人內心狀況或生活模式
→ 可能侵犯隱私權,若讓使用者不安
→ 但產業之初,太多規範會造成業者過度不安
→ 希望業者自律,並提供六點參考原則
日本,總務省
對生活紀錄所做的建言
• 六點參考原則
1. 致力宣傳、推廣與教育活動
2. 確保透明度
3. 確保使用者參與決策的機會
4. 確保以正當方式取得
5. 確保妥善的安全管理
6. 確保面對客訴或詢問時的應對機制
讓使用者參與=
喪失業務機會?
關鍵在與使用者對話
Hulu Ad Tailor
實體世界的行為追蹤? Web Analytics For The Real World
http://goo.gl/5EUdnv
6. 巨量資料時代的隱私權問題
NEVER END.