電子前鋒基金會 2013 "who has your back?" 中文譯稿

本文為 2013年美國電子前鋒基金會"who has your back"報告譯稿。感謝台權會翻譯志工育玄、品慧、Natalie、David 、Alice 等人之協助。

進一步了解2013年報告內6大評比分類，如何判別網路產業對於其政策透明度與捍衛用戶隱私上的投入程度。

A. 內容搜索要有傳票令狀

這個分類乃是受到臉書政策所激發而在2013年首次被列入這份報告，該政策要求執法者在取得用戶通訊記錄前要先取得傳票（令狀）。在此新分類底下，公司若採行此政策，在提供用戶通訊記錄前要求政府提出傳票（令狀，已通過刑事訴訟法相當理由的標準）將會獲得讚譽[1]。

這個分類同樣受到2010年美國第六巡迴上訴法院United States v. Warshak案的見解所影響，法院認為美國憲法第四條修正案關於隱私權的保護擴及到儲存於電子信箱服務業者端的電子郵件。政府若想取得訊息內容，同樣必須事前取得搜索票[2]。對網路隱私權，此判決無疑是勝利的宣示，不過可惜這僅是美國一個上訴法院的見解而已，並非能拘束全國的判決先例。

遵循Warshak案規則的公司，我們都會頒給「星」， 當執法者要求這些公司交出用戶的私人訊息時，公司請求出示傳票，確保對用戶私人通訊同受憲法第四條修正案的保護。

雖然今年是我們第一年用此分類來衡量公司，但很明顯地許多公司都已要求取得用戶通訊內容須搜索票。今年，十八家公司中我們認證了十一家公司採行了此項政策，包括：Dropbox, Facebook（臉書）, Foursquare, Google（谷歌）, LinkedIn, Microsoft（微軟）,Sonic.net, SpiderOak, Tumblr, Twitter（推特）,和WordPress。

其中我們對於臉書對此政策詮釋的堅定立場感到印象深刻，他們公開地聲明，用戶隱私的內容包含半公開的資訊如牆上貼文集所在位置的資訊。臉書之政策原文：

必須取得與正式的刑事調查相關的有效傳票，才能強制披露基本的用戶資料（根據 18 U.S.C. Section 2703（c）（2） 的定義），其中可能包括：姓名、服務時間長度、信用卡資料、電子郵件，如果有的話，也包括最近的登入／登出 IP 位址。

截取自https://www.facebook.com/safety/groups/law/guidelines/ 最後連線日2013/4/24

B. 通知用戶

在這個分類要求公司公開承諾，除非違反法律或是法院指令，否則當政府機關向其索取用戶之隱私資料時，要通知該用戶。

這項承諾之重要乃因此讓用戶有得以防禦政府過度的要求。大多數情況下，用戶比公司更有立場（當然也更有誘因）去挑戰政府對於個人資訊的請求。

承諾通知用戶對公司來講應該不算太難，它們不需選邊站，只需要將重要的資訊傳給用戶，若法律或法院命令禁止，公司也免去此項義務。理想的情況是，該用戶通知應該在公司移交資訊給政府前為之，讓用戶有機會採取法律途徑，如雇用律師反對政府相關請求等。

理想中，我們認為公司應該將此承諾列入其服務條款或隱私政策，不過若公司將此承諾另以其它正式名義公佈，例如置於「給執法機關的聲明」中，我們仍然給予讚譽。

數個領導市場的網路公司已經正式承諾：除非有違法律或是法院指令，否則當政府機關向其索取用戶之隱私資料時，要通知用戶。今年，Foursquare以及WordPress加入Dropbox, LinkedIn, Sonic.net, SpiderOak和Twitter的行列，為公司贏得了一顆星。

遺憾的是，我們對於Google新提出的聲明感到失望。過去幾年，電子前哨基金會(EFF)因Google聲明將「盡可能」通知用戶關於政府索取用戶私人資料之情事，所以僅頒給Google半顆星[3]。

而今年，Google在官方政策上的聲明卻變成：

對於政府的請求，除非違反法律或法院命令，我們將在「適當的時候」通知用戶。

Accessed from：https://www.google.com/transparencyreport/userdatarequests/legalprocess/  on April 24, 2013.

像「適當的時候」這種模棱兩可的文字，並不能符合交付資訊予政府應透明的鐵律。我們對於Google決議採用這樣無限制的文字作為政策感到失望，也希望Google能受到其他主要網路公司的影響，未來可跟進採取更明確的立場。

舉例來說，推特在其「執法機關準則」中提到：「推特的政策就是，除非違反法律或是法院指令，否則在政府索取用戶之隱私資料時，我們將通知該用戶。」

Accessed from：http://support.twitter.com/groups/33-report-a-violation/topics/148-polic... on April 24, 2013.

還有另外一個很好的例子，展現公司對於透明化堅定的立場，LinkedIn的用戶常見問答集中就提到：

若有人要求提供帳戶資訊，LinkedIn會通知會員嗎？

是的，LinkedIn的政策是，除非違反法律或是法院指令，否則在政府索取用戶之帳戶資料時，我們將通知該用戶。執法單位若認為通知用戶將阻礙相關調查的進行，應取得正當的法院命令或是其他相當的程序，例如依照刑事訴訟法第2705條b取得的法院命令，才足以阻卻本公司通知該用戶。

Accessed from：http://help.linkedin.com/app/answers/detail/a_id/16880 on April 24, 2013

C.公佈透明度報告

為了得到這項評鑑的認可，企業必須提供公司內部將客戶個資交予政府的頻率報告；使用者每天都在做託付個資給各家公司的決定，所以這些企業多久提供用戶個資給予政府，是很重要的。

我們會評估這些企業是否公布他們接到政府要求使用者個資的次數。無論是官方要求如搜索令，還是非官方要求。Google在這項評鑑中保持領先，並持續在這方面公布他們的透明度報告。

我們很高興地，這目前已成為了趨勢。去年我們認可了Dropbox、LinkedIn、Sonic.net及SpiderOak，還有Google的透明度報告。今年，我們增加了微軟(Microsoft)及推特(Twitter)兩間企業，這是他們首次公布他們的透明度報告。

特別值得嘉許Google及微軟，在他們報告中包含了「國家安全密函」（National Securities Letters, NSL）的身影。

美國聯邦調查局當局所秘密發布的「國家安全密函」被擴張到《愛國者法案》(PATRIOT Act)之下，准許美國聯邦調查局在未經法院授權下取得任何人的電話、網路、財務、信用紀錄、以及其他個人紀錄，只要聯邦調查局相信，這些資訊與恐怖主義及間諜調查有關。

收到「國家安全密函」的企業，通常受制於聯邦調查局缺乏法院監督的禁聲令──禁止他們向身邊的同事、朋友、甚至是家人揭露收到國家安全密函的事實，更別說是向公共大眾了。

透過公布收到命令的資訊，Google跟微軟進一步幫助大眾瞭解危險且濫用的政府權力。雖然這些一般性的報告並未提供確切的數字，但仍提供了關乎此祕密法律文書小卻重要的公眾透明資訊。

D.公布執法機關的個資使用之指南

我們也評估企業是否公佈執法單位對於個資的要求，並且提供指南：

• 企業是否需要搜索令。
• 企業所持有的是什麼類型的資料，且執法單位需要經過什麼法律程序才能取得。
• 通常企業保存資料的期限，而且要花多久時間回應執法單位的要求。
• 企業是否有緊急的例外或是其他類型的發現。
• 企業可否要求賠償因提供資料所導致的損害。

這些公布的指南會幫助我們更能了解，執法單位在要求取得各個平台的個資，必須依循的標準跟規範。

推特在這個項目上取得領先，成為在2011年公布執法機關使用個資指南，首間得到認可的企業。去年Dropbox、臉書(Facebook)、LinkedIn及Sonic.net則跟進，而今年Comcast、Foursquare、Google、微軟、SpiderOak、Tumblr及WordPress也陸續公佈執法指南。

E.在法庭上為使用者隱私奮鬥

透過在法庭上捍衛客戶隱私權─包括提出法律文件及論據─來為個資權益不被政府侵害，企業則可在這項評鑑得到認可。

這些關於公司承擔客戶隱私和他們意願的有力證言，是面對政府過度要求的反擊。

當然有些企業可能不會在法庭上為個資辯護，其他則成功地非正式抵擋了執法單位的過度要求；有些礙於對國家安全密函的秘密禁聲令，而無法公佈他們在個資保護的成效。因此，在這項評鑑沒有得到認可，並不代表該企業在法律程序上沒有保護個資，反之，這項評鑑應被視為有企業為個資保護在法庭上採取行動且可公布成效的認可。

我們認可了幾間在法律程序上保護個資的企業。

雅虎(Yahoo!)在此項評鑑得到認可，原因是因為司法部(Justice Department)在無正當理由下要求使用者的電子郵件[4]，遭到雅虎抗議並且使得政府不得繼續提出此要求[5]。亞馬遜(Amazon)則是不斷在保護使用者購買紀錄，免受聯邦及州立政府的要求。Comcast則是在2003年對於國稅局(IRS)要求個資的傳票提出抗議。推特(Twitter)則是去年在Harris個案[6] 保護其使用者的個資。Sonic.net則是抵抗政府在維基解密(WikiLeaks)的偵查[7]。

經具體檢驗以下三個項目，Google目前多次得到這個獎項：

• 2006年抵抗司法部搜索紀錄的要求。
• 持續在法院抵抗政府對維基解密(WikiLeaks)偵查中對用戶隱私的侵犯[8]。
• 挑戰國家安全密函。

Goolge挑戰「國家安全密函」的重要性是不能被輕忽的。這些密函很常見，但目前所知，較少企業在法律程序上提出挑戰（電子前哨基金會EFF曾經參與類似的挑戰，明確代表一位身分保密的國家安全密函收件人提出司法救濟)。由於政府要求祕密，這些企業們是唯一較易起身反擊者。希望Google的成功案例，能激發其他企業加入。

F.在國會捍衛使用者隱私權

企業所執行的政策固然重要，但不能全盤仰賴其保護。當科技日新月異，法律同時應該保障我們的隱私權。持有個人資料的企業，應為使用者提供必要的法律更新。這也是為何「誰是你的靠山？」（Who Has Your Back?）倡議，呼籲企業們加入持續且永續改革法律的運動──藉著加入「數位正當法律程序聯盟」（Digital Due Process, DPP)，使整體網路產業提高使用者隱私的標準。DPP的成員致力於建立法律規範來提高正當法律程序、隱私及落實執法程序上的有效性──譬如政府機關搜索私營企業部門的個人通訊及資訊時，需提供稽察證明，且要求政府機關對法院提供證據，證明搜索的相關有效性與質詢的合法性。

我們非常樂意見到報告中提及的大部份公司皆爲DPP的成員，其中包括2011年加入的七家企業（亞馬遜、蘋果、AT&T、Dropbox、臉書、Google和微軟）以及2012年加入的四家企業（Linkin、Sonic、Spideroak、推特）[9]今年則很樂意地見到三家公司分別是：Foursquare、Tumblr、Wordpress（透過它們的母公司Automattic）加入承諾改善過時的隱私法規行列。

結論

目前存在許多管道保護個人隱私權免於公權力的侵犯。EFF長期投入重大司法訴訟、教育倡議、創新科技計劃以及推動國內及國際間倡議，監督政府確保其處理高度個人資料時能夠以較嚴格的標準檢視。這些能夠確保通訊隱私不被政府專擅介入的法律標準，源自於美國憲法第四修正案（Fourth Amendment），這是一項歷史悠久的隱私權法律及使用多年的判例法源。然而，在今日逐步數位化的時代，線上服務供應者成為民眾個人資料的主要保鏢──這些資料小至電子郵件內容到位置資訊，遠至社會和家庭的連結都包含其中。企業所採行的政策，將深遠且持久地影響網路個人用戶是否能擺脫政府監視資訊溝通自由的陰影。

在了解今年的年度隱私權與透明度報告後，主要線上服務提供者一年來採取相當程度的修正改進，我們感到欣慰。但此仍有許多改進空間，包括提供定位服務及電信業者如 AT&T 及Verizon的政策──像是出版法律執行指南及定期透明度報告等，都將作為整體網路產業的執行規範。我們正見到一個持續成長且有影響力的運動，包括自發性的公民團體以及主要網路公司更新已過時隱私法，以及政府機關在取得敏感的定位數據、電子信箱內容、以及雲端硬碟等資料前，須取得法院的搜索證明。