文 | 黃錦輝

“谷歌”（Google）的網上搜索引擎服務膾炙人口，全球廣泛使用。利用Google，學生在網上尋找資訊協作他們做功課、普羅大眾用它去尋找心儀合適的商品等，應用場景確實多不勝數。但是最近幾年，Google因違反數據私隱法規已被多次罰款。據報，Google全球累積的罰款金額高達100多億美元。例如：

在歐洲，Google曾因觸犯歐盟“通用數據保護條例”（GDPR），被法國CNIL（National Commission on Informatics and Liberty）處罰。譬如於2019年被控未把用戶數據使用方式透明化，因而被罰款5000萬歐羅（5600萬美元）；又例如，2022年Google的Cookie彈窗手法被CNIL認定為“強迫用戶接受跟蹤”，被罰1.5億歐羅（1.68億美元）。在2021年，又被瑞典罰款7500萬歐羅（7900萬美元），原因是沒有完全删除用戶搜索歷史記錄，違反GDPR的“被遺忘權”。

美國多個州政府亦對Google的網上營商行為虎視眈眈，特別嚴懲公司侵犯客戶私隱及壟斷市場的手段。據報，美國多州於2023年聯合罰了Google約4億美元之多。各州政府主要控告公司通過“誤導性位置追蹤”，有意或無意地侵犯用戶私隱；用戶即使關閉了定位設定，Google仍能通過其他方式收集用戶位置數據。

Google於2021年因為不妥當地收集及處理用戶位置數據，而遭澳洲政府重罰6000萬澳元（3866萬美元）。

概括而言，以上罰款的核心問題是Google在未經同意下採用“第三方Cookie”去收集、跟蹤、處理、儲存用戶數據，沒有嚴謹地尊重用戶私隱。那麼什麼是“第三方Cookies”呢？且看以下常見例子，當用戶瀏覽一個新網站時，網頁瀏覽器（例如Google Chrome）會在用戶電腦上生成一個Coockie文字檔案。Cookie使Web伺服器能在用戶的裝置儲存狀態資訊──第三方資訊（如添加到線上商店購物車中的商品）或追蹤用戶的瀏覽活動（如點選特定按鈕、登入或歷程記錄）。以線上商務為例，瀏覽器可以利用Cookie上的資訊，進行網上行銷（Online Marketing），推送相關產品予該用戶。這功能是電子商務的“必殺技”，有效提升銷量，所以深受商界歡迎。然而，在未獲得用戶同意而利用“第三方Cookies”去收集其網上活動資料，實際上於法於理也不合。

宜參考私隱署框架

針對網上數據私隱問題，Google一直嘗試不同解決方案，公司自2020年開始逐步淘汰“第三方Cookies”。有網絡專家指出，停用“第三方Cookies”，互聯網經濟會出現新的營運生態：其一，是“第一方數據”的崛起；企業將更依賴直接從用戶獲取的數據（如網站註冊、會員制度）。例如，Amazon透過分析購物行為，提供精準推薦，無需“第三方Cookies”。不過，這做法對中小企業會構成很大挑戰──他們需要加大力度做好“客戶關係管理”（CRM），才能把客人“箍住”。其二，是創新追蹤技術會湧現，包括“情景廣告”（Contextual Advertising）：根據網頁內容而投放廣告，例如運動品牌投放在健身文章旁，無需跨站追蹤；“裝置指紋”（Device Fingerprinting）：透過“網際協定”（Internet Protocol, IP）及“操作系統”（operation System, OS）等組合識別用戶的身份，但這做法可能會面臨隱私爭議；“統一身份認證”（Unified ID 2.0）：由行業聯盟推出的開源方案，以加密電郵取代Cookies，但這方法必須先獲得用戶授權。

然而，Google於2024年7月突然宣布保留“第三方Cookies”，把相關維護私隱計劃延長一年。此舉當然大受商界歡迎，讓他們可以維持高銷售量。例如，Google廣告收入佔母公司Alphabet的總營業額之80%，淘汰Cookies會直接衝擊其核心業務。因此，保留“第三方Cookies”一方面可以維持現有廣告生態及經濟收入，另一方面讓Google可以爭取時間開發更穩健的替代“第三方Cookies”的技術。不過，“有人歡喜，有人愁”，Google延後淘汰“第三方Cookies”的策略難免會影響消費者。即使到日後“第三方Cookies”被取消，個人隱私能夠雖獲得更多保障，降低用戶對“被追蹤”的不適感，但代價則是用戶在瀏覽網頁，將遇更多“登入牆”（Entry barrier）與付費內容（Paid Content）的出現。

近年“生成式人工智能”（GenAI）風靡全球，利用“大數據”（Big Data）及“深度學習”（Deep Learning）建造人工智能模型是時代大趨勢，因此維護數據私隱尤其關鍵。私隱問題在人工智能應用場景更加複雜，除了數據內容之外，學習運算亦會從數據中挖掘（暴露）出個人私隱，因此用戶必須要謹慎處理。就此，筆者建議人工智能使用者認真參考“香港個人資料私隱專員公署”於2024年7月所發布的《人工智能（AI）：個人資料保障模範框架》；《框架》協助機構在採購、實施及使用人工智能時，遵從《個人資料（私隱）條例》的相關規定，確保機構在善用人工智能之餘，亦能保障個人資料私隱。

（作者係全國政協委員、香港立法會議員，文章僅代表作者個人觀點）