近来被揭露某社群媒体其平台之应用程式开发者，将蒐集来的个人资料用于影响美国选民的投票行为，引起广大的争议。

该社群媒体不仅面临了股东的集体诉讼、乡民的批评抵制，以及来自各国主管机关(包含美国联邦贸易委员会(FTC)、欧盟第29条工作小组(Article 29 working party)以及澳洲隐私委员会等)的调查及裁罚等，最切身的震撼的莫过于其股价在2天内掉了9.5%、市值瞬间蒸发500亿美元的冲击。

此社群媒体的创办人及遭指控违法滥用使用者个资的英国策略顾问机构，双双否认有违法的情事。究竟这次事件除了造成使用者(特别是美国乡民)产生「被骗了」的感觉之外，在法律上的意义为何?本文特别从台湾现行法制的角度，来反省台湾个人资料保护上的漏洞。

个资争议始末

简单来说，英国剑桥大学一位心理学教授透过其所设立的商业组织，在上述社群媒体平台开发一组心理测验程式，要求受试者授权其存取受试者本身以及其朋友的在该平台上的个人资料，并于2014年将该等资料卖给由美国保守派人士大量资金贊助的数据分析公司，该数据分析公司则将该资料用于分析美国选民对政治议题的倾向，再针对不同倾向选民在上述社群媒体推播广告，藉此影响选民的投票行为。虽然该教授的受试者只有大约27万人，但加上受试者在该社群媒体上朋友的数量，其所掌握的美国人在该社群媒体上的个资，多达5,000万人。问题是，这些27万人并没有授权，也没有权将朋友的个资授权给他人，作政治目的的蒐集、处理及使用。

若发生在台湾，这个社群媒体可能全身而退

该社群媒体将滥用个资的法律责任推到上述教授跟分析公司身上，但声称作为服务提供者，其有义务调查事情始末，并保证相同事件不再发生。这套说词对各国主管机关来说是否行的通，在此不予评论。然若同样事件发生在台湾，这个社群媒体还真的可能只有「道义责任」而已。

首先，以台湾个资法来说，规范的对象为蒐集、处理或利用个人资料的公务或非公务机关。然而这个社群媒体仅是个供他人(应用程式开发商)蒐集、处理或利用个资的平台(工具)。就工具本身，或提供工具的人而言，不会是行为归责的对象(就跟不会判决杀人的刀子或单纯卖刀子的杂货店老闆有罪一样)。所以若同样的事情发生在台湾，台湾个资法对这社群媒体莫可奈何，台湾乡民必须跨海找那教授或分析公司算帐。

再来，这个社群媒体的使用者是否能依照消费者保护法，主张它的服务「不安全」?答案很不幸的是，不行。暂时先撇开「隐私的安全」究竟是否属于消费者保护法范畴的问题不谈， 社群媒体的使用者是否为「消费者」，就已经有疑虑，因为社群媒体提供给一般社会大众的服务本身是无偿的。换句话说，社群媒体的使用者既然不是「消费者」，就无法主张消费者保护法。此外，在法律体系的适用上，消费者保护法课予企业经营者的无过失责任，不会也不应该拿来对付无偿提供服务的人。

最后，受试者(及其朋友)可能主张该社群媒体违反服务合约，在未经本人授权的情形下，任由他人存取个资。但问题在于，主张违反合约的人，在法庭上必须负担举证责任，除了要证明当时社群媒体违反哪一条服务条款之外，还要证明社群媒体的行为造成乡民的损害。前者因属于证据偏在的情形，律师可以让法院对社群媒体请求提出特定资料，问题还不大；但后者就尴尬了，对于个人资料被拿来针对特定选民下广告，是否如何造成选民投票给特定候选人，因果关系已经卡住，加上还要证明当初谁投票给特定候选人，以及因为投票的行为造成选民的损害等等…。这些大概只有「与神同行」的时候，透过业障镜才有办法知道了。

借镜欧盟GDPR

如果台湾的法律保护不周，那国外呢?

本文简单从下个月25日就要上路的欧盟个人资料保护法(General Data Protection Regulation)来检视，在GDPR新规定下，受规范的主体分为「控制者」(controller)与「处理者」(processor)，前者的定义包括自行决定处理个人资料的目的及手段的法人或其他组织。在该定义下，即便不是自己直接蒐集、处理、利用个资的社群媒体，也会落入GDPR的范畴，而必须建立适当的、科技化且有组织的措施来确保资料的安全性。另根据GDPR的规定，个人的政治意见属于所谓「特种资料」(special categories)，原则上除非该当于例外的情形(例如取得当事人的明示同意) ，否则是禁止处理的。

本案中，这个社群媒体很明显无法证明4,973万名的使用者将个资授权给第三方分析公司作政治目的的剖析与利用。而且该社群媒体虽然在2015年就已经知道这分析公司把从其平台上拿到的个人资料用于政治用途，但却只有将该教授所开发的APP下架，以及请分析公司声明已删除从其平台上所蒐集到的个人资料，可能难以通过GDPR对于资料安全性的要求。只要建立这些事实，在GDPR下，该社群媒体将面临欧盟最高2,000万欧元，或前一年全球营业额4%的罚锾，以较高者为准，无疑会是很痛的一张罚单，对其他业者应有十足的吓阻效果。

台湾法制的检讨必要

如前述，现行的台湾法制对无偿提供社会大众网路服务的多数业者(无论国内外)，是欠缺约束力的。当务之急，应先检讨将拥有庞大台湾人个资的网路平台服务提供者，纳入个资法规范的主体，以及其应负担的义务及相应的罚则。只有正面回应日益高涨的隐私期待，才能确实保护个人的资料财产不被窃取滥用。尤其在对公平选举特别敏感的台湾，应针对未来可能发生的选举争议先防范于未然，否则若发生同样的事件，但又找不到企业负责，可能导致的外部成本以及对民主的打击，才是金钱难以衡量、且社会族群难以回復的损害。