文/何明諠(台灣人權促進會專員)
Airbnb在11月1日寄出官方通知信,該信主要內容在於通知相關使用者,因服務擴大(新設立中國分公司)的緣故,服務與隱私政策(Term & Privacy)將會更新;信中同時也說明Airbnb未來在中國使用的服務條款。
儘管信件內容看來並無太大問題,然而Airbnb在英文與中文官網上的條款更新說明,卻出現了嚴重的不一致。在英文官網裡,台灣、香港、澳門明顯並不被納入(exclude)「中國」的範圍;然而在中文官網的相關頁面,台灣、香港、澳門卻皆被納入「中國」一詞的範圍內。這一字之差,就足以使台港澳三地的用戶,面臨資料可能悉數被存於中國境內的風險。
這個差別在新條款公告不久後,就被眼尖的網友發現,並在社群媒體上引起軒然大波;而Airbnb也在幾小時內承認翻譯錯誤,迅速修正中文官網上的說明,整起事件也彷彿因此告一段落。
但問題是,Airbnb這次的事件難道就僅止於此嗎?除了翻譯錯誤的問題外,整起事件是否還有其他值得討論之處?身為台灣使用者,在這次事件中,筆者要問以下四個問題。
問題一:台灣人的資料歸誰管?
在Airbnb修正「翻譯錯誤」前後,許多人心中多少都有過類似「資料要去中國了」到「應該是一樁誤會吧」的轉折。
儘管Airbnb的迅速修正讓這件事沒有狂燒,但我們要問的是,「誤會」當真解開了嗎?Airbnb真的清楚交代了台灣人民最在意的資料管轄狀況嗎?台灣人訂中國境內的房間,或者更根本的,台灣人訂了任何一個地方的房間,在此過程中所產生或傳輸的一切資料,到底是受什麼法律管轄,Airbnb說清楚了嗎?
以下這段文字是Airbnb在隱私政策(Privacy Policy)中,針對資料揭露、分享給第三方的狀況,所提出的說明:
我們會傳輸、儲存、利用與處理您的(個人)資訊至歐洲經濟區(EEA)、美國、或其他可能的國家。使用這個平台,您即同意傳輸您的資料至前述國家。並請您注意,法律是因地制宜的,因此在您的資訊傳輸、儲存、利用或處理的地區,其所適用的相關隱私與資料揭露的法律或規定,可能不同於您居住地所適用的法律或規定。
不曉得這樣的文字是否夠清楚,但翻譯成台灣本地的脈絡,它的意思應該就是:「Airbnb並不保證台灣人民的資料會適用台灣的《個人資料保護法》。」
跨國公司與在地法規
在當前高流動性的全球市場,跨國企業的法規遵循一直是各國政府與企業本身的大問題。一般來說,跨國企業在勞工、移民、稅務的問題上,因會使用在地資源,所以會儘量遵循在地法規;但一旦牽涉到資料處理,各企業多半就是如Airbnb的前述引言那般,遵循資料存放所在地的法規。
身為新興且掌握大量個人資料的跨國企業,Airbnb也清楚有關隱私法規遵循的重要性,因此它在隱私政策中便明確表示:針對居住在歐盟區的會員,其資料在搜集、處理、利用上,都是受到「歐盟—美國隱私屏盾協議(EU–US Privacy Shield)」的保護:
Airbnb受美國聯邦貿易委員會的管轄,且在處理來自歐盟會員國的使用者資料的搜集、處理、保存時,會符合美國商業部所要求的隱私屏盾協議。Airbnb承諾它將遵循隱私屏盾協議中有關通知、選擇、向外傳輸、安全、資料完整、接取、及執法的原則。
Airbnb在處理歐盟會員的資料時,對法規遵循的說明相當明確。因此回過頭來看這次的問題,當然不會因Airbnb將文字修正為「中國(出於條款的目的,不包括香港、澳門和台灣)」之後就解決了。因為對我們來說,問題始終是:台灣人民在Airbnb的資料,究竟是受哪一國的哪些法律管轄?
意識到這點後,再來檢視Airbnb的隱私政策,就會發現Airbnb始終不曾正面回答這個問題。台灣使用者既不清楚Airbnb的資料存放政策,且Airbnb在台灣又沒有分公司,因此台灣使用者的資料,並非全無可能受到中國法律管轄。
換言之,儘管Airbnb在隱私政策中宣示與中國用戶有關的資料將會留存在中國,接受中國法律管轄,但這並不連帶保證台灣用戶資料就能避免這個風險。
在意個人資料去向的使用者,必需當心企業隱私政策的說明與其細節,方能避免陷入虛假的安全情境裡。而台灣人民,甚至台灣政府,其實有權要求Airbnb解釋清楚:台灣使用者的資料,究竟受到哪一國的哪些法律所規範。
問題二:迫使Airbnb調整政策的中國因素為何?
除了台灣資料歸誰管的問題外,有人可能也會問:「為什麼一個平素形象還不錯的企業,遇到中國就得做出這種看來有些駭人的政策調整?」
事實上,中國在習近平上任,並建立所謂的「總體國家安全觀」後,近年來在各種立法中針對網路資料進行強力管制。Airbnb 這次因應中國分公司的設立,重新調整資料儲放政策,完全是有跡可尋。
中國強調網路主權
2015年7月1日,中國第12屆人民代表大會通過了新版的「國家安全法」;該法在第25條宣示要「實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的『安全可控』」,以加強網路管理,維護國家的「網路主權」。
當在中國的國安法將「安全可控」確立為基本原則後,從該法以降,各相關法律也都進行了相對應的調整。
2015年12月27日所通過的「反恐怖主義法」(下稱反恐法)可能是最明顯的案例之一。撇除法律中對「恐怖主義」的定義不談,在2014年的草案第15條中,我們可以看見如下的宣示:
在中華人民共和國境內提供電信業務、互聯網服務的,應當將相關設備、境內用戶數據留存在中華人民共和國境內。拒不留存的,不得在中華人民共和國境內提供服務。
儘管反恐法在最後通過的版本中,刪除了上述的文字,但它依然明文要求電信業和網路服務業者,必須提供技術介面與解密的支援,以隨時維持國家的反恐能量。倘若企業不配合,不僅可能面臨第84條無上限的罰款,甚至人身自由也會遭受限制。 在反恐法以後,類似的規範也接二連三出現。2016年3月10日開始施行的「網路出版服務管理規定」,規範著從事網路圖書、音樂、電子、報紙、期刊的網路出版業者,在該法第8條,也明文要求必須將必要的技術設備、相關服務器和存儲設備都留存於中國境內。此外本月初才經過第三次審議的「網絡安全法」,雖然還是草案,尚未完成立法程序落地施行,但在討論到境內「關鍵訊息基礎設施」的營運時,也要求這些境內營運者,必須要將所搜集和產生的個人資料都存放於中國境內。
當一個國家強硬推行企業的資料在地化,人們自然會擔憂,這些被強迫落地的資料,後續會帶來什麼影響、資料又會被如何處理與利用。對此,中國固然制定了《電信及網際網路用戶個人信息保護規定》這樣的個人資料保護法規,但該法規所規範的對象,卻僅限於電信與網際網路服務業者;且更重要的是,法規在內容上幾乎不提公務機關在資料取用上的限制。相較台灣的《個人資料保護法》對公務機關進行了各式限制,兩者完全無法相提並論。
2015年12月16日,在浙江烏鎮召開的「第二屆世界互聯網大會」中,習近平曾表示要各國尊重彼此自主選擇網路發展、管理模式、不搞網路霸權、不干涉他國內政。倘若將習近平的發言與資料在地化的「安全可控」的管理模式結合,其實就能得出以下三個結論:
- 中國政府希望一切有關中國人的資料皆受中國的法律管轄;
- 中國政府希望由國家全面幫人民決定網路上能接觸到的資訊;
- 中國政府希望國家能隨時掌握人民的動向。
這樣的結論,從「反恐法」要求提供技術接口、要求主動通報,到「網路出版業管理規定」中對境外出版品的事先審查、再到「網路安全法」中要求落實各種的實名制才能使用相關的網路服務等,都能反覆得到印證。
而中國政府同時在言論自由與個人隱私上進行全面管制,也讓許多國家或組織持續批評,認為中國正在建立史上最專制的網路監控體制。 經過上述說明,再回到這次Airbnb的案例,也許就不難理解何以Airbnb在進駐中國後,必須進行這樣的政策調整。
事實上,Airbnb也非第一個做這類政策宣示的跨國企業;有些跨國企業會更直白地告訴用戶,他們就是必須讓中國的公務機關去檢視客戶資料,如中國花旗銀行的服務條款中,有關客戶隱私的部分就做了類似的宣告。
最後,一個不算八卦的八卦是,由於世界各國對個人資料保護的法規都不盡相同,因此企業在資料中心設立選址來說,也有地理位置的好壞之分。而毫無疑問,中國在個資保護法規上的不完備,以及行政機關執法任意度近乎無限大的情形下,肯定是全球最不適合設置資料中心的地方之一。因此Airbnb究竟在中國存放了哪些人的資料,就不免讓人非常好奇。 有興趣的讀者或許可以親自詢問Airbnb,身為台灣使用者,我們的資料有沒有可能被存在中國境內。
問題三:Airbnb新政策是否會幫助中國打壓維權人士?
Airbnb新政策不可避免地,會直接影響到Airbnb在中國的使用者。中國境內目前就已有許多Airbnb的註冊使用者,但在Airbnb尚未在中國設立分公司,政策還未改變前,這些用戶的資料也許還不至於非受中國政府控管不可。但2016年12月7日新政策上路後,就不是那一回事了。
近年來,中國政府善用網路資源逮捕或壓迫境內異議人士的消息時有所聞。中國政府會透過通訊社交軟體「微信(WeChat)」取得異議人士通訊內容,早就惡名昭彰;2015年的7至9月的三個月間,中國政府封鎖外國加密通訊軟體Telegram、逮捕近三百名律師與維權人士(亦稱「709大逮捕」),更可說是中國政府熟知網路工具特性的一個經典案例;當時失蹤人數逐日攀升,同時引發全球救援活動,情況之危急,至今歷歷在目。
而可以想見的是,也許在不久後的將來,中國政府就會要求Airbnb提供住戶資料,使其能更完整地掌握所有異議人士的住宿選擇、交友狀態、財務狀態等。儘管目前還沒有此類案例被揭露,但Airbnb確實可能成為中國政府打壓維權人士的幫兇。
習近平在今年4月19日的一場談話中說,利用網路鼓吹推翻國家政權、煽動宗教極端主義、宣揚民族分裂思想、或是教唆暴力恐怖活動等,都是堅決要被制止跟打壓的。這些在中國被禁止的言行,在民主國家中並不鮮見;而且由於民主國家言論自由保護,這些異議人士並不會因言獲罪。Airbnb來自美國加州,是否要因為商業利益考量,犧牲對人權的保護?類似的問題,其實值得所有跨國企業深思。
同樣的,即使最後證明了台灣人民在Airbnb上的資料不歸中國法律管,但擔心中國政府拿走自己資料的台灣人民,也不該就此高枕無憂。類似的跨國企業資料管轄權問題並不只發生在Airbnb上,而是所有跨境服務都有的問題。站在保護使用者自身利益的立場,我們有必要督促企業落實人權保護的責任。唯有如此,未來的企業才不致在商業利益與個人權利保護間失衡。
問題四:更友善閱讀的繁體中文服務條款在哪裡?
除了前述三個比較政治面向的問題之外,Airbnb這次事件也突顯服務條款本身的閱讀友善問題。
相對前三個問題的彼此關聯,這雖是個較為旁枝的問題,但一份對閱讀友善的服務條款,既能便於客戶理解自己的權益,也能讓企業免除不必要的糾紛。
回到這次事件,如果Airbnb並未提供條款變更的繁體中文說明,如果沒有眼尖網友比對英文版官網說明,發現問題所在,我們真能確保這類細微卻嚴重的錯誤在日後不會再次發生嗎?
Airbnb雖有繁體中文網站,且這次也就條款變更提供相關的繁體中文說明,但若想檢視條款的原始文字,就會發現Airbnb的繁中網站內只找得到英文授權條款,內容還非常長大(超過16,000個英文字)。這不僅拉高繁體中文使用者的閱讀門檻,也大幅降低了相關使用者的閱讀意願。過長又難以閱讀的英文服務條款,連英語母語用戶都難以閱讀,更何況中文使用者。
在網路服務型態多樣化,資料搜集、處理、利用狀況變得複雜的今日,一份對使用者友善,卻又不至過於簡略的服務條款,到底該長成何種模樣,一直困擾著各個企業。2014年曾有國外組織針對30個熱門網站服務條款的可讀性與內容進行研究,研究結果顯示多數企業的服務條款預設讀者應有大學或研究所以上的程度;即便是以英文為母語的讀者,要讀完30個網站的服務條款,也得耗掉整整八小時以上。
兩年過後的今天,情況有無好轉?目前還不得而知,但可確定的是,過度冗長的條款,加上小螢幕行動載具的盛行,都加深了一般使用者完整閱讀服務條款的難度。白宮轄下的國科會(National Science and Technology Council, NSTC)在今年七月初公布了一份「國家隱私研究策略(National Privacy Research Strategy)」;在該策略的「透明化(Transparency)」章節中,便提及以下兩個值得研究的問題:
- 該如何檢視已公開的隱私政策的文字、字體、標誌或圖像的成效,以進一步改善隱私政策,使其取得讀者的通盤理解?
- 對行動載具或者小螢幕載具而言,資料搜集者或資料使用者該如何就資料的運用提供有意義的通知?所謂「即時」的揭露要怎麼做才有效率?
回到這次的事件,或許我們該慶幸Airbnb至少還提供了簡要的中文說明,讀者才有機會發現問題。但在此同時,我們是否也可以問問各跨國企業,在提供某種語言的服務時,相關的服務條款是否至少也該因應語言的不同,作相應的修正?
這或許有些吹毛求疵,但倘若服務條款本身也是一種服務,同樣都是使用者,繁體中文的使用者難道不應得到和英文用戶同樣的服務嗎?
結語
為何筆者在Airbnb事件已經平息之際還寫這篇文章?原因是網路企業在個人資料保護上所引發的問題,未來肯定還是會繼續出現。筆者希望能從這次Airbnb事件中,試著找出一些關鍵問題,避免未來再次發生類似事件。
從這次的事件中也能發現,身為使用者,我們都很在乎自己的權利。因此在當前的處境裡,使用者最笨但同時也是最好的策略,還是在開始在使用線上服務前,先花點時間仔細讀相關的服務條款或隱私政策,試著檢視它們是否有回答了我們在意的問題。如此才能儘量確保自己的權益。