要求填寫的資訊範圍過廣
購買世博會的電子門票需要註冊世博ID,而註冊時又需要同意日本國際博覽會協會(世博協會)提示的「個人資訊保護方針」。遭到詬病的首要問題就是主辦方收集的個資範圍明顯過廣。
起初要求輸入的是姓名、地址、信用卡號等購買電子門票的必要資訊,可除了這些之外,又要求填寫位置資訊、頭像照片和指紋等「生物識別資訊」、企業名和部門名等「單位資訊」、是否被認定為身障者、社群媒體(SNS)帳號和密碼、已婚還是未婚、是否有孩子,等等。
世博協會解釋稱,之所以要求填寫覆蓋面如此之廣的內容,是為了便於大家參加各種活動,以及包括國內外工作人員和相關人員在內的ID註冊工作需要,但針對這種範圍過廣的個資收集行為,SNS上不斷湧現出「到底出於什麼目的」「太可怕了」之類深表憂慮的網帖。世博擔當大臣伊東良孝在國會上被追問,要求加以說明,之後世博協會於3月28日宣佈,將刪除指紋和SNS帳號密碼等資訊收集專案,所獲資訊也僅提供給場館出展方。
會場內的場館也遭到質疑
關於此次世博會,有媒體報導稱,大阪府和大阪市設立的名為「大阪衛生保健館」的展館將在徵得本人同意的前提下收集入場觀眾的健康資料,提供給部分贊助企業。
此前大阪府和大阪市世博推進局一直堅稱,向企業提供的是經過加工,難以鎖定具體個人的資料,不會引發問題。但有觀點指出,即便是加工過的資料,但只要將之與原資料或企業掌握的其他資料進行比照,也可能鎖定具體個人。
之後,相關部門修改了該展館的「個人資訊處理方針」,使用參觀者相關資訊的規定改成了「除《個人資訊保護法》及其他法令允許的情況外,不會超越使用目的範圍過度收集活動參與者的相關資訊」。毫無疑問,這也是在遭受媒體抨擊後才做出的調整。
這些事例暴露出日本對妥善處理個資的意識低下,法制建設不夠充分。在世博會這樣一個全球矚目的活動中「失態」,難免會讓尤為重視保護個資的歐美人產生強烈的不信任感。
在歐美會成為「違規」案例
反觀歐美的情況如何。歐盟(EU)制定了《歐盟通用資料保護條例》(GDPR)來保護個資。該條例對個資的處理和轉移相關原則、個資的管理者和處理者的義務以及個資的保護等問題做出了規定。儘管該條例是歐盟制定的法律,但所有在歐洲開展業務的企業都屬於適用對象。
2019年,法國政府相關部門以違反GDPR為由,向美國Google開出了5000萬歐元的罰單。這是歐美國家首次依據GDPR對美國IT巨頭實施處罰。儘管個資並未洩露,但法國仍判斷Google沒有遵守法律規定。
另一方面,美國針對13歲以下兒童制定了《兒童線上隱私權保護法》(COPPA)。Google及其子公司Youtube曾在2019年收到美國聯邦貿易委員會(FTC)和紐約州總檢察長認定其違反COPPA的指控。該指控認定Google在未經家長同意的情況下,從針對兒童的Youtube頻道非法收集了個資,最後Google支付1.7億美元達成了和解。
參考歐美國家這些嚴厲處罰的事例,基本上可以認為世博ID的事件應該會被他們判定為「違規」。在世博會英文版網頁上,也必須同意隱私條款才能取得世博ID。一方面要求用戶同意隱私條款,而另一方面,處理資訊的法律依據薄弱,在指定原本應該得到廣泛保護的用戶個人「正當利益」時,縮小保護內容的範圍,這種做法可能會觸犯GDPR。
歐盟或英國的資料保護部門不可能出來指責世博ID相關操作存在問題,或處以罰款。但考慮到作為世博會這樣一個全球民眾齊聚一堂的國家項目中的個資保護方針,就應該使之符合其他國家和地區的法律規定,確保不會在國際上引發問題。
匹配國際標準
日本2015年修訂《個人資訊保護法》之後,民間企業向協力廠商提供使用者個資時,必須承擔寫入隱私條款、向國家的個資保護委員會提前申報等義務。雖然個資相關法制建設隨著網際網路時代的發展不斷進步,但依然難言足夠到位。
2023年10月出臺《贈品標記法》,禁止掩藏廣告實質而對商品或服務進行宣傳的行為,即所謂的隱性行銷。此前,網紅隱性行銷現象氾濫,口碑網站和SNS上充斥著不可信資訊的情況至今仍讓人記憶猶新。日本之所以決定出手監管隱性行銷,是因為這種行為在許多國家都是違法的。在經濟合作暨發展組織(OECD)主要成員國(名義GDP前9名)中,只有日本沒有針對隱性行銷的監管措施。在跨越國界互聯互通的網路上,只按本國標準行事是行不通的。
調查顯示,對隱性行銷置於法網監管之後,網紅收到的隱性行銷業務已經減少,法制建設的效果顯而易見。世博ID事件卻意外地暴露出了制度的缺陷,針對個資處理問題,現在已經到了應該參照歐美嚴格標準進行法制建設的時刻。與此同時,或許還應該透過各種形式的教育,提高每一個國民的資訊素養、個資相關意識。必須儘快審視日本特有的問題點和課題,研究如何與其他國家的法律法規相適應等問題。
標題圖片:大阪關西世博會會場,2025年3月10日,大阪市此花區[小型無人機拍攝](時事)
