數據利維坦(Data LEVIATHAN)——政府數位監控之制度性啟示
Tags: ,

人工智慧與法律規範學術研究群
第二年期(2019-2020)

第九次會議之一
2020年3月30日(星期一)

主持人:李建良(中央研究院法律學研究所特聘研究員兼所長)
主講人:林昕璇(博士後研究學者)

◎整理:邱筠雅、洪于庭
◎定稿:李建良

監控資本主義

充滿個人化與智能的手機、產品與服務,都是科技巨擘試圖以巨量數據從市場獲得商機的商業活動,但卻為人類溝通模式帶來前所未見的鉅變。哈佛商學院教授Shoshana Zuboff在其2019年出版的《The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power》一書中,率先提出監控資本主義(surveillance capitalism)的概念意涵,藉以勾勒資本主義鑲嵌於科技與網路新經濟時代的諸多病徵。

Zuboff主張Google、Amazon、Facebook開拓了一種新經濟秩序疆域,卻欠缺有效的規範與監管機制。首先,科技巨擘聲稱人類經驗是商業預測、銷售和實踐的免費原物料,數據蒐集分析行為又不受反托拉斯法的節制,企業利用網路跨地域性質得以遂行無所不在的監控,提取眾人資訊,猜測、助推、引導、控制眾人的行為,達致商業利益最大化。從人權角度以觀,在此情境下,話語權傾斜集中在監控型企業,數據的原始提供者卻無權決定其資訊如何被使用,資訊自由以及資訊自主權從公民流向企業,資訊近用之大幅落差自然也使個人隱私權益岌岌可危。

Google、Amazon這些科技巨擘玩的是資本主義的遊戲規則,他們可以恣意的使用大量的個資,進行再利用及再分配,數據的資本流動和財富再分配。但在這個狀況之下,公民的隱私權也被再分配,公民並沒有辦法對於這些數據的使用和再使用予以控制,這會影響到每個人的資訊自主權和資訊自決權。

Photo by Michael Aleo on Unsplash

數據利維坦

Zuboff對於Google、Amazon、Facebook等科技巨擘提出「監控資本主義」(surveillance capitalism)的概念,是以數位時代為背景,與國家的數位監控構成了複雜交錯的關係,尤其是2013年6月的史諾登揭密事件的發生。國家大規模監控的脈絡,其實可以回溯到美國二戰之後,美國為了情報的機密共享,與英國、加拿大、澳洲、紐西蘭,組成所謂的Five Eyes1,數位監控與情報共享的組織。大規模的監控在美國已經行之有年,比較大的歷史轉捩點,是史諾登揭露了兩個計畫:UPSTREAM、PRISM。這個計畫的特色大致以國安單位為中心、從愛國者法案或相關的授權,可以強制電信業者或科技巨擘去提取或命令交付資訊,再去進行整合。也就是說,政府立法去課予業者有配合的義務、由第三人介入或協力的公私夥伴模式、結合大數據。

在這個脈絡下,哥倫比亞大學法學院教授David Pozen曾在「Leaky Leviathan」一文中描繪了美國聯邦政府作為一個有機體,如何策略化、有意識地運用法律作為制度化工具,達到調控國家資訊公開與否和國家安全的動態平衡之目的。Leviathan原為《希伯來聖經》中的海上巨獸,在Thomas Hobbes的同名著作中奠定現代國家觀念的基礎與核心要素。時序推移,放在數位時代的視野下,或可衍生其義為國家擁有類似「利維坦」般的強大的政治權力並得以數據作為統治工具,供政府以大型資料庫、電子數位監控和社會信用制度等監控全民之科技作為手段,遂行全面性、無差別監視,甚至侵害人民基本權利與自由之作為。所謂「數據利維坦」(Data Leviathan)或「數位利維坦」(Digitaler Leviathan)的面貌輪廓於焉成形2

AI、監控與民主

問題意識:政府數位監控的問題面向多端,以下從「民主」的觀點切入。

  • 如果承認數位監控是現在國家不可避免的一種行政治理模式或管控管道,要怎麼類型化?類型化的目的是為了思考,哪一些數位監控已經侵害到基本人權?哪些侵害到隱私權很嚴重,需要更強化其正當法律程序,強化民主監督?有哪些侵害程度還不是這麼深,所以不需要高強度的民主監督?
  • 史諾登揭露事件之後,美國的NGO、公民團體對美國國安提出訴訟,聯邦最高法院的代表性判決是否可以看出美國是如何思考數位監控的合憲性問題?
  • 在AI、機器學習、神經網路被用於監控之後,也就是由機器來介入之後,監控的系統跟監控的架構會變成什麼樣的形貌?面臨什麼樣的挑戰?

數位監控的類型化:政府數位監控的類型

分類標準一:兩個要素、四個象限

  • 明確連結至終端目的/非明確連結到終端目的
  • 特定人的個資蒐集/不特定人的個資蒐集

史諾登所揭露的美國國安局大規模撈取的資料,就是非明確連結到終端目的/不特定人之各資蒐集的流刺網型,不管是美國人、非美國人的資料,它們都歸類到流刺網型的監控。

分類標準二:涉外情報監控法(Foreign Intelligence Surveillance Act, FISA)

從法律的架構可看出,只要資訊之蒐集是涉及美國人,仍然是需要透過法律、取得法院令狀。

然而第七章(Title VII)702條款(Section 702)創設了例外,不需要法院令狀即可監控境外人士;只要司法部長、國家情報總監共同簽發監聽命令,就可以監聽,為期一年,也就是不需要法院的介入,只要行政權就可以准許。

在美國的法律架構下,可以透過citizenship跟location,數據所涉及的citizenship跟數據是否在美國境內,可以劃分成四個象限(美國公民/非美國公民、美國境內/非美國境內)。

非美國境內、非美國境內,為了反恐,就可以不透過司法審查,可以由行政權批准這個監控。

這些資料是怎麼撈取的?

美國國家安全局之情報分析人員監控SOP:首先會先進行視覺化分析,先由某一個特定嫌疑人為中心,接下來找出特定關聯,與中心點之人五年內有通聯記錄的人,再以這些人當作中心,再找出一百個有特定關聯的人,這個等比級數往上疊加的後果,可以找到一百萬個,不需要透過法官審查就可以去蒐集這多達一百萬人的個資,為了國安目的的運用。

監察流程

只需要低度的Reasonable Articulable Suspition (RAS,合理懷疑),就可以送出申請,只要送到司法部做很形式的審查,到了一個專責的法院,美國為了特別審查這些申請,就專門設立了這樣的司法組織。

法院必須審查是否符合Minimization Requirement,是否是完成反恐的目的所必要:但這幾年的准駁率基本上是百分之百,法院僅是一個橡皮圖章。

美國法政府數位監控相關指標性判決

這些控告數位監控的案件,經過統計,通常都在啟動權利保護程序這一個部分時,在當事人適格的部分就被打回票,認為一直都是巨量的資料在撈補,不足以構成明確、具體且即將發生的損害。

在第三人理論的部分則有一個轉捩點,在一個案件是為了去得到連續搶劫犯以及其共犯同夥的行動電話紀錄,美國聯邦法院很意外地以5:4之票數,去鬆動第三人原則之適用,法院認為去取得這些通聯紀錄,已經很詳盡,只要去標定這個犯罪行為人,他五年來的通聯紀錄都完全被抓到,在現代社會很難以想像,就可能會被進入這個侵害類型,此侵害之大應該已經可以鬆動第三人原則。在這樣的案子裡,第三人理論可能就應該被鬆動。類似馬賽克理論的運用,非常詳盡、非常網羅式的的運用資料,認為是已經違反了美國聯邦憲法法院增修條文的第四條,因此而構成了隱私的侵害。在這個脈絡底下,是否會繼續被沿用呢?在這樣的例外式個案被運用?

在美國法的思考下,還是有一定的民主監督的思維在其中;主要是立法、行政、司法構成的,例如行政權之Executive Order,或是Inspector General,數據監察官的機關,確保國家監控的行為可以在合法與合憲的情況下進行。

歐巴馬總統設立之Privacy and Civil Liberties Board,審查國家的任何行為,侵犯隱私或公民自由,在美國國會,有設立情報監察委員會,其也有發揮情報監控監督的功能。

司法權者有FISA和FISC去專門監察國安資訊監控、電信監控的合法性和合憲性,和巡迴法院、聯邦法院有實權去審查這些是否違憲。

雖然還是會覺得其像巨獸一樣侵蝕人民的隱私,但其實在美國法下也有相關的防堵措施,或是事後的配套措施。

Photo by Niv Singer on Unsplash

從巨量數據監控到AI監控

若是監控加入了AI會變成怎樣的形貌?

卡內基國際和平基金會的現況報告The Global Expansion of AI Surveillance,目前有51%民主國家部署了AI監視系統。相比之下,37%的封閉式專制國家,41%的選舉專制/競爭性專制國家和41%的選舉民主/指導式國家都部署了AI監視技術。

AI監控並不是專制國家的特權,AI監控全球普及的三大應用領域為:

  • 智慧城市
  • 人臉辨識:透過攝影鏡頭去決定觀看者的人口屬性
  • 智慧型警政:犯罪偵防

新南威爾斯自動化臉部辨識 (AFR LOCATE)

在大型的運動賽事,為了避免恐怖組織混入大型賽事,去佈建自動化臉部辨識。

流程:在賽事現場捕捉人臉的照片->將資料送回警察局->與警察建立起的watch list比對->若有判定為match->警察就去進行強制處分的行動

由此可知警察可能會跟AI合作,但最後判定的依然還是警察。

Edward Bridges v. South Wales Police (2019)

第一個對於AI監控提起的訴訟

爭點1:違反《歐洲人權公約》第8條?

主要focus在是否違反歐洲人權公約第8條第1項

法院認為,即便是在公開場合取得,但還是有一定的公開隱私性,還是某種程度去侵害了原告的合理隱私期待,但也不代表當然違反歐洲人權公約,但還是必須進入法律保留之檢驗,必須拆分成法律保留與法律明確性,法院在這部份則是認為,英國有數位監控相關的規定,有法官和命令,新南威爾士的警察都有照著這些規定,授權的母法和子法,去依循相關的規定來做。符合法律保留和法律明確性,所以不違反歐洲人權公約的第八條,如此可見目前還是合法且可以繼續進行。

所以在這個脈絡之下,2013年史諾登揭露到現在的體系之下,目前的思考還是傾向於,如何合法的民主課責、法治國原則下的規範,可能還是必須由正當法律程序的層面入手。

正當法律程序之規範誡命

就法源依據的部分,則應該分成憲法層次、實定法層次、嚴格區分國安通訊監察程序、刑事偵查程序兩者的界限和資料庫流用的禁止,國安監控和刑事偵查的目的必須嚴格劃分。

必須要有不同的規範依據。必須要透過法律明定的要求去建立一個民主監督機制。

演算法AI監控的變容與挑戰

Double black box

傳統國安監控,已經比刑事偵察系統更不透明,甚至設立了像FISC這樣的法庭去審理,所以原本的國安監控就已經是黑箱,無法透過人為解釋的東西加入,就變成雙重黑箱,隨之而來的民主課責的疑義就越來越嚴峻。比傳統的數位監控更嚴重。

這樣的民主課責跟民主監督到底應該如何設計?

美國的司法權,FISC其實根本沒有實質的審查,僅是橡皮圖章,更不用說AI監控了。司法權會越來越弱化。

目前AI監控甚至沒有數位監控相關的制度化設計跟民主監督機制,原有的數位監控相關的制度設計可能可以用來借鏡。

Photo by Francesco Ungaro from Pexels

問題與討論(敬稱省略)

何之行:

新南威爾斯這個案件,去年2019年11月,原告提起上訴,以英國法院審理的時程估算,可能會需要再等一年到一年半的時間,才會有結果。如同講者說的,從法律保留的角度來看,人臉辨識的部分可能有違反歐洲人權公約第八條之虞,但其仍有法律保留的特性,所以其實包含授權明確性。另外,英國個資法規定,在有重大公益的時候,政府其實是可以蒐集處理利用個資的,原審法院認為本案有重大公共利益,所以政府可以如此執行。但目前沒辦法知道上訴之後,法院是不是會維持這個結果。

邱文聰:

以同樣案子為例,警察得否以common law為依據,認為透過臉部辨識這個手段是合法的?在英國法下、歐盟法下,對於形式上符合法律保留原則的一個國家權利的行使,有沒有依據不同的基本權而賦予其不同的審查基準?

林昕璇:

Common Law的部分,基本上比較沒有著墨,論述主要還是偏重在是否構成歐洲人權公約第8條第2項的例外,也就是有無法律依據授權警察可以做這些事情,甚至有資料保護等的詳細規定。

邱文聰:

意思是說,Common Law是可以作為法律保留原則的法律依據?不需要有國會本身的立法,Common Law本身就可以作為一個作用法上的依據?個資法可以作為警察職權行使的依據嗎?

林昕璇:

在這個部分,其在法院的結構應該是獨立於法律授權明確性的規範,這件事情有其歷史脈絡的規範,法院並沒有把Common Law當作法律保留原則的法律規範,法官並無意把Common law作為一個判斷是否符合法律保留原則,也沒有對此而論述,並沒有明文承認common law可以作為授權之一環。

個資保護法可否作為警察行使職權的行為法上依據,法院其實不只列了個資保護法,也列了1988和現在新修的個資保護法,同時也列了監控攝像機的職權行使法。

邱文聰:

這是一個法嗎,或是一個secondary act?

林昕璇:

從資料看起來可能是secondary act,但還是有母法的授權依據存在。

楊岳平:

  1. 監控如何以公私協力來運作?公私協力是否會影響到,法院審查的基準或內容?
  2. 科技巨擘的市場管制的問題,因為剛剛提到不能用反托拉斯法來規範?理論上應該不至於到不能以反托拉斯法來規範這些科技的個資使用?

林昕璇:

最傳統國安監控,還是透過愛國者法案、涉外監控法,要求私人電信服務業者,提供通聯記錄,這些法律有不同的要求,可以要求私人科技服務網路服務繳交手上資料給國安機構,以進行後續監控或是刑事偵查。

楊岳平:

是否是被逼的?聽起來不像是協力,協力應該是政府請GOOGLE來幫忙建置一個平台或是提供資料監測?但聽起來似乎不是這個方向?還是可能有真正的協力的應用?

林昕璇:

可能有,但是在國安的領域,畢竟上對下,上命下從,和國家公權力、國家高權的行使成分還是相對強烈,所以只要有國安需求或是national security interest,只要國安的大帽子扣下去,私人的電信業者恐怕很難有拒絕的機會。再加上有法律授權的依據,幾乎很難有拒絕的機會,所以就如同楊岳平老師所說的,其實基本上並不是典型的公私協力。並不是處在平等的地位,但某種程度還是可以反映,國安單位並沒有能量自己去蒐集資訊,自己去分析這些資訊、整合這些資訊,某種程度還是要透過這些私人科技業者、所謂科技巨擘,去掌握這些龐大的資料的數據資訊的利益。

李建良:

這篇報告涵蓋法律制度、實務運作及學說見解不同層面的問題,內容相當豐富,但同時也需要進行耙梳,有所區別。

一個形式性的問題,報告中提到正當法律程序,從美國法角度來看應該包含實質的正當法律程序,亦即是憲法的形式及實質的誡命。

如果把報告中提到的憲法規範誡命,拿來分析新南威爾士的案件,結果會是什麼?警察是否符合憲法誡命?

林昕璇:

制度面、實務層面、學說層面來處理數位監控的問題,在論述的時候,是否有必要先從法院的實際面去切入,再探討實際層面是否有缺漏、或是有缺陷需要補足,再加入制度面的思考,或是把超前學說的部份整合進來,在流程跟脈絡上可以更細緻化的去排列,而非每一個部分都東抓一塊、西抓一塊?

李建良:

要看議題而定,不同的議題會有不同的處理方式及研究取徑。可以先把最主要想要探討的問題提列出來,再分別從制度、實務及學說層面逐一分析。