【投稿】Clubhouse 安全嗎?從 GDPR 角度,探討 Clubhouse 的個資保護疑慮

【為什麼我們挑選這篇文章】近期 Clubhouse 在台灣爆紅,但早在今年年初,歐洲就已經開始流行 Clubhouse。然而 Clubhouse 連結使用者通訊錄,加上處理個資的規範不明確,因此有個資保護的疑慮,從 GDPR 的角度來看,Clubhouse 仍有進步空間。(責任編輯:郭家宏)

作者:曾冠傑(國立高雄科技大學科技法律研究所研究生)

瞬間竄起知名度的語音話題聊天室 Clubhouse,上週開始,從台灣的各大領域 KOL(Key Opinion Leader,關鍵意見領袖)引領潮流,但在 2021 年初的歐洲,Clubhouse 早已開始流行。

目前多數歐洲國家皆處於封城或半封城的防疫狀態中,大部分的民眾還是需要遠距工作、上課的模式,因此像高需求性的 Zoom 開始提供線上會議的服務,但在歐盟地區進行服務,都必須受到史上最嚴格的歐盟個資保護法—— General Data Protection Regular (GDPR)檢驗。

如同本文要探討的 Clubhouse,一款需要透過邀請或連結手機用戶聯絡人的語音群聊式交流平台,在許多層面也需要經過 GDPR 的審視,才得以繼續在歐盟區域運行,截至目前為止, 大部分的用戶還是以非商業目的來使用,德國 Reuschlaw 法律顧問 Dr.Carlo Piltz 以及 Stefan Hessel 對此發表了 Clubhouse 可能會遇到的考驗,也願意提供欲從事商業用途的公司法律諮詢。

Clubhouse 有個資保護疑慮,德國個資保護機關將其評為嚴重等級

有批評人士指出:「Clubhouse 對個資保護有嚴重威脅性」,德國薩爾邦(Saarland)的個人資料保護機關(die saarländische Landesbeauftragte für den Datenschutz)專員 Monika Grethel 發表了以下三點,因此 Clubhouse 被評為嚴重(Kritisch)等級:

1. Clubhouse 連結使用者的聯絡人清單

首先,Clubhouse 沒有迫切需要取得使用者的聯絡人資訊,基本上被邀請進入 Clubhouse 後,便會擁有 2 個邀請名額,而使用第三天後還會再提供 3 個邀請額度, 理論上有沒有蒐集聯絡人清單,都不會影響使用 Clubhouse 的用戶體驗。但如果想要透過已加入會員,藉由聯絡人清單的方式來傳送邀請碼時,這些使用者的聯絡人資訊將被傳送到 Clubhouse,並且由他們進行許多不同目的的處理方式後,會透過原使用者審核的方式,選擇 Let them in! 或 Ignore 的方式來進行額度外的邀請。

(參見 Clubhouse 隱私權政策第 2 條 – 如何處理您的個人資料)

但本文撰稿者於 2/7 測試時,發現似乎無法透過聯絡人清單來達成邀請,並詢問尚未加入的被邀請者開啟 iPhone 設定,發現在成為會員前僅有下載 App 的狀況下,並不會自動連結。

下圖為已成為會員之設定連結頁面,可以看見是否連結聯絡人的選項。

下圖為僅進行註冊而尚未獲得邀請之設定連結頁面,並沒有連結聯絡人的選項。

過去 WhatsApp 也使用相同的模式來進行蒐集用戶的行為,有個資保護主義者對此批評,認為此種蒐集方式仍然需要透過當事人同意才得以進行採用,如果透過這種方式進行剖繪分析(Schattenprofile),那麼大部分的資料會被 Clubhouse 所存取,對於已經是使用者的資料主體進行蒐集是沒問題的,但若是間接取得非使用者的資料,將可能無法符合 GDPR § 6 (f) 之法規範。

GDPR § 6 (f)
processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
處理係控管者或第三者為追求正當利益之目的所必須者,但該資料保護之資料主體之利益或基本權與自由優先於該等利益,特別是該資料主體為兒童時,不適用之。

同樣的問題也出現在連結第三方軟體,Clubhouse 同時可以連結兩大主要社群平台 Instagram 、Twitter,這將會大量使用到使用者聯繫方式、個人資料,但 Clubhouse 的隱私權政策第一條中有提到,將會蒐集這些資訊。

Clubhouse Privacy Policy
When you create your account, and/or authenticate with a third-party service like Twitter, we may collect, store, and periodically update information associated with that third-party account, such as your lists of friends or followers.
您創立帳戶或透過 Twitter 等第三方服務進行身份驗證時,我們可能會收集,儲存和定期更新與該第三方帳戶相關的信息,例如:您的朋友或關注者清單。

(參見 Clubhouse 隱私權政策第 1 條 – 從第三方/公開取得之個人資料)

2. Clubhouse 處理個資的規範不明確

雖然 Clubhouse 有隱私權政策的頁面,或許未來修改隱私權政策的一些細節後,被批評的現象可能會好轉些,但仍應注意,隱私權政策中目前沒有提供使用者刪除其帳戶的選項,只有提到如果需要刪除帳號可以聯絡官方 Email,這樣子的方式可能不夠明確表示如何接續處理後續的個人資料,例如銷毀或保存等等。(參見 Clubhouse 隱私權政策第 5 條 – 更新資訊)

3. Clubhouse 語音內容錄音

從 Clubhouse 的隱私權政策中,可以發現在語音群聊後會保存記錄,但是是基於違反了相關使用條款,雖然提及到僅供調查使用,即便在政策中提及會對語音內容進行加密,但似乎沒有明確指出何種情形將會錄音。(參見 Clubhouse 隱私權政策第 1 條 – 您提供的個人數據)

從個資法的角度來看,語音記錄的臨時儲存似乎不是關鍵問題,特別是因為這種記錄的使用限制在於 Clubhouse 與使用者之 間的關係,在有需要進行調查是否違反規定的情況,此方面應該更仔細規範。

除了上述三點是關係到使用者與 Clubhouse 之間的議題,再來要提及的是關於跨境傳輸個人資料時,Clubhouse 需要面臨到的問題。

個人資料跨境傳輸有爭議,必須與使用者達成協議

Clubhouse 由位於舊金山的美國公司 Alpha Exploration Co.,Inc. 所經營,在隱私權政策中,關於國際傳輸的規定如下:

Clubhouse Privacy Policy
By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service.
透過使用我們的服務,您了解並確認,您的個人數據將從您的位置傳輸到我們在美國的設備伺服器,並在適當的情況下傳輸到伺服器,我們將用來提供伺服器的技術夥伴。

(參見 Clubhouse 隱私權政策第 10 條 – 國際用戶)

這部分的規定並不構成有效的同意聲明,即使沒有充分的決定或其他保障措施,根據 GDPR§49 (1)(a),這些資料主體的同意必須是「明確的」,因此跨境傳輸資料仍然具有爭議,必須與使用者達成協議。再者,Clubhouse 並沒有在歐盟區域內設置歐盟代表處,來處理相關議題,應儘速成立相關配套措施。

況且去年歐盟法院(CJEU)才宣告歐美隱私盾協議(EU-US Privacy-Shield)無效, 因此在跨越大西洋傳輸個人資料目前僅透過標準合約條款(SCC)的規範來進行傳輸,由於美國是否屬於歐盟 GDPR 所認定的個資保護與歐盟有相同水準之第三國,應該進行審慎的討論,但上述的這些問題,有待時間的檢驗來觀察。

目前 Clubhouse 尚未通過 GDPR 檢驗

目前為止,Clubhouse 似乎還沒通過 GDPR 的檢驗,但並不代表不能使用,由於 GDPR 的適用通常在於解決個資是否外洩的糾紛,才有討論空間,但如果要探討此議題,就必須區分個人使用或商業用途,根據 GDPR§2 (2) (c),GDPR 並不適用當事人所為單純之個人或家庭活動的情況,因此,若只是透過 Clubhouse 進行於私人通話, 通常不需要滿足 GDPR 的嚴格要求,但 Clubhouse 本身仍然要遵守 GDPR§18 的相關規範,過去歐洲法院(ECJ)的裁定來看,將聯絡人資訊從使用者的通訊錄清單轉移到 Clubhouse,並不是完全沒有問題,但是實務上,使用者與個人資料保護機構產生糾紛的風險可能性很低。

但如果 Clubhouse 是使用於商業用途,就會跳脫出私人家庭活動的討論,儘管 Clubhouse 不太可能對進行商業目的的公司採取法律行動,但從使用者條款可以看出,此款 App 並非提供公司使用,因此,站在個資法角度而言,並沒有明確的責任劃分。

結論:Clubhouse 的個資保護還有進步空間

從個人資料保護的角度來看, Clubhouse 還是有進步的空間,因此,可以考慮將 App 用於商業目的的公司應進行深入的政策規劃,以避免損害使用者的權益,例如開發給廣告商一個完善的環境來進行商業活動,但如果想透過 Clubhouse 討論公司的商業手法或分享經營,應該注意到保護商業機密以及商譽的議題,在處理上應該要多加小心。

在新型態的社群平台出現,也讓大家更有提出想法的空間,相信 Clubhouse 會在後續處理相關隱私權政策有更多著墨,但 Clubhouse 確實是可以串連許多議題的一個語音社群,值得大家繼續關注。

你,開房間了嗎?

參考資料

Hype-App “Clubhouse” – Zulässigkeit geschäftlicher und privater Nutzung

“Clubhouse” – ist eine DSGVO-konforme Nutzung für Unternehmen möglich?

Clubhouse Privacy

Fraglicher Datenschutz im Clubhouse

(本文經原作者 曾冠傑 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈Clubhause 合乎歐盟個資法規範嗎?〉;意投稿者可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。首圖來源:Unsplash CC Licensed

延伸閱讀

超強工程師花 55 個小時開發出 Web 版 Clubhouse,還把它開源了
【投稿】你「開房間」了嗎?從 4 個維度,觀察 Clubhouse 的數位公關策略應用
語音社群 Clubhouse 全球爆紅 ——背後中國技術商 Agora 有幾把刷子?


點關鍵字看更多相關文章: