這一則謊言你我都不知道說過多少次。每當我們下載或安裝軟體,或在網站開設帳戶的時候,我們都被迫重複這一則謊言。沒有人會去閱讀那些長篇大論的法律條文,可是我們各個都睜眼說瞎話,說我讀了而且同意。
如果你真的曾經閱讀過,我只能說你的確很不正常。我曾經試著掃描一眼(請注意,掃描跟「看」,跟閲讀,跟了解,都有很大的區別),可是立刻就很謙卑地按下同意鍵。
一份人人都同意,但從來沒有人閱讀的合約
iTune 的使用者同意書 長達 62 頁,多達 1 萬 7 千多字,如果全部印列出來大約有 25 公尺長。其中有一句 「⋯⋯我同意不得利用這項產品研發核武⋯⋯」 相信除了當初撰稿的律師團之外,沒有人了解為什麼安裝音樂下載軟體,會跟製造核武扯上關係。不過那已經不重要了,因為在歷經全世界幾億人都按下 iTune 「我已閱讀並同意 」的按鍵之後,還是沒有人知道這句話的存在。
從這裡我們已經看出一個心態:所有未來千年之內可能發生的事,這份同意書都必須考慮到,並設法保護原始立約人。
有人估計過,如果誠心誠意認真閱讀所有使用者同意書,我們每人平均一年必須花費 250 小時,也就是大約一個半月朝九晚五的工作天──那還只是閱讀的時間,並不保證你一定能夠了解內容。哪怕你是學法律的,閱讀之後你可能仍舊是一頭霧水。
絞盡腦汁就怕你看得懂
4 年前臉書創辦人祖克柏在國會聽證會上,就曾經多次被國會議員質問,為什麼臉書關於資安與隱私的條文能夠寫到讓學法律的國會議員們都看不懂。祖克柏當時對這些問題並沒有正面回答,不過我猜想他心裡一定在狂笑。
如果使用者同意書用的是老嫗能解的白話文,那可能有一半的人都不同意 Google 和臉書如何處理你隱私的方式──這包括臉書對所有你上傳的照片和影片,都有擁有權。你也許更不會同意可以開放這些資訊給所有的人分享,放在網上任人搜尋,並可以把這些資訊轉賣給第三方。所以他們選擇用莎士比亞看了都頭昏眼花的英文,用長篇大論,沒有標點符號,密密麻麻不分段落,字體小到看起來像是背景配圖,一句話裡面包含了十幾個子句的格式,來表達一些你看了可能會不同意的事情。
不過無論怎麼玩文字遊戲,這都只是第二道防護網。這裡面一共有三道保護措施:第一他們篤定你根本不會去閱讀這些條文,第二就算讀了也是一頭霧水,第三就算讀懂了,也會對鋪天蓋地考慮周詳的條文俯首稱臣,讓你知道沒有見縫插針的餘地。有 91% 的使用者根本不會去讀那些條文。千禧世代的年輕族群更有高達 97% 的人從來不去閱讀。
一旦你同意了,即使後來發現被困惑、被誘騙、或被耍都太遲了。2017 年美國聯邦法院判定故意隱藏重要合約文字誘使消費者按下同意鍵的案子 Uber 勝訴 。一旦同意連平反的機會都沒有。
《華爾街日報》估計網路使用者在不知情的條件下點擊 「我同意」 的按鍵,每年帶給資訊產業界 2,500 億美元的額外營收。
那⋯⋯我到底同意了些什麼?
「我同意」 的按鍵具有法律效用,這跟親筆簽名沒有差別。所以在法律上,除了同意蘋果不製造核武之外,到底我還同意了些什麼?非常多,多到超越你我的普通常識──比方說你只能下載音樂供個人使用,而不能與人分享,你對產品只有使用權而沒有擁有權,你只能下載一次⋯⋯如果你遺失手機,你對音樂的使用權也跟著消失,你的使用權一次只限定在一支屬於你自己的硬體設備上,把音樂拷貝到不屬於你的硬體上就是非法,你一次最多只能擁有一份拷貝。
當然蘋果並不會認真去執行這些法律。把這些條文鉅細靡遺地列舉出來,只是在提醒你如果不依照遊戲規則玩,他們有權把你的手機變成一塊廢鐵。
在你同意的這些條文之中,最重要的是蘋果還擁有所有你所提供的個資,並且可以利用這些資料來「改善消費者使用經驗」。這句話聽起來很善良──可是如果把這些資料賣給廣告商,一樣也算是改善消費者使用經驗。這些條文故意留下一些灰色地帶,準備萬一在法庭上對簿公堂的時候使用。這也等於跟消費者擺明,那些可能對他們不利的,上面都已經抹了油,讓你沒有著力點。
一份單純的 iTune 使用合約洋洋灑灑寫了 62 頁的用意何在?目的就是要你看了以後只有困惑、疲倦和膽怯,除了按下同意鍵之外,沒有其他任何勇氣。
一些光怪陸離的條約內容
有一個英國遊戲網站為了證實這件事情的荒謬,在這上面開了一個小玩笑。他們把幾千字的合約中暗藏了一句 「我同意捐出我的靈魂」。結果有 7 千多人按了同意鍵,而沒有一個人發現這個小秘密。另外有一個美國網站在合約中加了一句 「第一個看到這句話的人可以領到一千美元獎金」。結果 5 個月之後才出現了第一位領獎者。在他之前的 3 千人都與這筆天上掉下來的財富失之交臂。
加拿大多倫多約克大學做了一項實驗,他們創立了一個假的社交網站,在設立帳號的時候使用者必須同意「捐出自己第一個出生的孩子」。結果 98% 的人接受了這個荒誕的條約。這還只是一個名不見經傳的新網站。如果是大的知名網站,接受率可能將近百分之百。
2017 年英國曼撤斯特一家公司以免費 Wi-Fi 交換使用者每人奉獻一千小時社區服務,洗廁所、刷地板、清下水道⋯⋯結果兩萬兩千人不知情地同意了。他們依法都必須執行合約,沒仔細閲讀並不是理由。當然這只是一個凸顯人們有多容易受騙的玩笑。
不過這些條約中也有一些讓人看了不知道是工程師幽默,或真是不合理要求。有一家叫做 Micro Chip 的公司在推出的軟體使用合約上說 「我們有權在半夜 3 點到府上臨檢,以確保使用者依照合約執行」。我很想向半夜 3 點登門拜訪那位工程師感謝他的幽默。
即使擁有龐大律師團隊的世界級知名網站,在這方面也可能出現一些令人啼笑皆非的錯誤。蘋果剛推出視窗版瀏覽器 Safari 的時候,安裝合約上寫著 「此產品不得在視窗上使用」。Google Chrome 的合約上也曾經大剌剌地說「Google 擁有你的一切(資料)」。
當然你也會看到純美式幽默:蘋果 IOS 7 使用者合約第 46 頁曾經出現下面令人爆笑的小幽默 :⋯⋯好吧,已經到第 46 頁了,不信有人還在讀,咱們就該始胡說吧⋯⋯坐在蘋果總部 5 樓的東尼一身都是沙丁魚腥味⋯⋯
我希望這位幽默的合約撰文師沒被 fire 掉,更希望這是他跟他老闆甚至高階主管的共謀。這個世界需要這樣的人來調侃如此的荒謬。
同意未來的空白支票
在美國只有買賣房子的時候需要簽一份超過 62 頁的合約。不同的是簽約的時候,公證人有義務跟你用白話解釋每一頁合約的真正意義。而且一旦簽約之後,合約內容就不得更改。這應該是天經地義的事。但是網路世界並非如此。
天下所有的合約應該只有簽約的那一份才算數。可是網路上的合約往往在最後包含了一條「我同意網站未來所有更新的條文,如果不同意我可以選擇退出」──也就是說你簽約的那一刻也同意了未來的合約,如果不同意,你必須要選擇退出才算數。如果沒有意見,就表示同意。這等於是簽了一張空白的支票。
這些網站在合約片面改變時候,從來不會通知你,而且不會在網站上告訴你如何選擇退出。Sony 算是非常夠意思,在合約改變的時候在最後加了一句 「如果你選擇退出,必須在 X 天之內寫信通知我們」。他們當然知道這年頭不會有人去寫信。大部份人家裡連郵票信封都找不到。
當法律有新的規範對網站有較嚴格約束,而依照規定必須通知使用者的時候,他們也可以玩弄一些 Opt-in 和 Opt-out 的文字遊戲。
Opt-in(加入)和 Opt-out(退出)的文字遊戲
所謂 opt-in 就是使用者必須主動表示同意加入才算數。Opt-out 剛好相反,使用者必須主動表示退出才成立。但是因為大部份的人都不會表示意見,所以這就成為一張非常容易操弄的王牌,正反兩面都可以打。
比方擁有你個資的網站要把你的資料賣給第三方,而法律規定必須得到使用者同意──當然,法律並不會規定要如何取得這項同意,所以這裡面的文字技巧就有很大的學問。
這時候網站有兩種做法,兩者對他都有利。他可以在 email 寄出的條文上說「我退出」(opt-out)。由於大部分的人都不會回覆,所以等於間接同意這項交易,達到了法律的基本要求。反過來說,他也可以用「我加入」(opt-in)拒絕的行列,同樣可以達到目的。基本上它讓你「加入拒絕」,或「退出贊成」。怎麼玩都是少數人反對,都是他贏。
不過幾年前上路的 GDPR(歐盟個資保護法)就不再是省油的燈。這些文字遊戲就很難再玩得下去了。
GDPR 歐盟個資保護法──看透了這些文字把戲
2018 年 5 月 25 號 GDPR 推出的前後,大家也許曾收到一大堆個資保護法的 email。美國有一位記者把這些 email 列印出來,結果足足有一個橄欖球場那麼長,而且內容仍舊是咬文嚼字,令人不忍卒睹。
GDPR 的遊戲規則適用於所有資料庫存有歐盟國民的公司。但是這些公司在處理歐盟成員之外的資料時,並不受限於這項法律。也就是美國人跟歐洲人看到的使用者合約內容有可能不同,網站在資料的處理上也有可能不同。
GDPR 內容非常詳盡,有將近上百條的規範,但大部分都著重在公司應該如何處理個人資料。下面只列舉幾項直接跟消費者有關的規定。
在歐盟個資保護法之下,所有關係到個資的合約條例必須要用淺顯易懂的日常生活語言來撰寫,而且必須提供明確對等 opt-in 和 opt-out 的選擇。在個資有重大改變時候,只有 opt-in 選擇加入才算數,不能反向操作認定沒有意見就是同意。
GDPR 資料刪除新規範──這次玩真的
假設你在臉書 post 了一則不適當的消息稍後又刪除,或刪除有法律責任的不當留言,或決定刪除自己的帳號完全關閉臉書,如果你真以為這些資料從此就從地球上消失,那就太天真了。網站上大部分的刪除都只不過是在資料上做一個記號,讓網站軟體跳過那一行資料。這個記號只對特定介面有效。你說過的每一句話仍然存在於白紙黑字上,而且已經不知道被拷貝成多少份。你對這些網站的商業價值仍然存在,他們在你以為帳號都已經不存在之後,還繼續靠你賺錢。你永遠是他們珍貴的商品──哪怕是在你過世之後。
這種刪除叫做 「軟刪除」或是假刪除,在矽谷各大公司都已經行之有年。你的資料「從來沒有刪除過」。這是資產,沒人會消除資產。網路上根本沒有「刪除」這件事。
可是 GDPR 使出殺手鐧,規定所有刪除要玩真的,也就是「硬刪除」,並溯及既往──從網站設立第一天起,所有使用者刪除的帳號,都必須回溯消除,而且追溯到拷貝和下游相關附屬資料,不能只砍頭不砍尾。亦即當帳號刪除之後,所有過去說過的話、GPS 記錄去過的地方、上傳的照片和影片⋯⋯所有相關數據都必須刪除。使用者必須從商品貨架上真實、徹底而永遠消失。
這條法規在各大網站搞得雞飛狗跳。這件事聽起來簡單,其實非常複雜。你得計算每一個列表、每一個資料庫每秒可以刪除幾行, 否則會影響網站正常營運。有些資料每秒刪除一萬行,24 小時不停全年無休,也要幾年才能清乾淨。所以現在你應該知道矽谷大型網站到底搜集了你多少資料,對你有多了解了吧。
這是一件史無前例的挑戰。
以上的一切只限於歐盟用戶,網站只需對歐盟客戶負責,而不需對其他地區用戶有任何作為。這也意味著短期内,歐盟以外所看到的使用同意書,仍然會被三道防護網保護著──沒人看,看不懂,懂了也被嚇到,刪除 PO 文/關閉帳號仍然可能全是騙人,人們也會繼續按下那個 「我已閲讀並同意」全世界最大的謊言鍵。
執行、核稿編輯:林欣蘋
