文 | 黄锦辉

“谷歌”（Google）的网上搜索引擎服务脍炙人口，全球广泛使用。利用Google，学生在网上寻找资讯协作他们做功课、普罗大众用它去寻找心仪合适的商品等，应用场景确实多不胜数。但是最近几年，Google因违反数据私隐法规已被多次罚款。据报，Google全球累积的罚款金额高达100多亿美元。例如：

在欧洲，Google曾因触犯欧盟“通用数据保护条例”（GDPR），被法国CNIL（National Commission on Informatics and Liberty）处罚。譬如于2019年被控未把用户数据使用方式透明化，因而被罚款5000万欧罗（5600万美元）；又例如，2022年Google的Cookie弹窗手法被CNIL认定为“强迫用户接受跟踪”，被罚1.5亿欧罗（1.68亿美元）。在2021年，又被瑞典罚款7500万欧罗（7900万美元），原因是没有完全删除用户搜索历史记录，违反GDPR的“被遗忘权”。

美国多个州政府亦对Google的网上营商行为虎视眈眈，特别严惩公司侵犯客户私隐及垄断市场的手段。据报，美国多州于2023年联合罚了Google约4亿美元之多。各州政府主要控告公司通过“误导性位置追踪”，有意或无意地侵犯用户私隐；用户即使关闭了定位设定，Google仍能通过其他方式收集用户位置数据。

Google于2021年因为不妥当地收集及处理用户位置数据，而遭澳洲政府重罚6000万澳元（3866万美元）。

概括而言，以上罚款的核心问题是Google在未经同意下采用“第三方Cookie”去收集、跟踪、处理、储存用户数据，没有严谨地尊重用户私隐。那么什么是“第三方Cookies”呢？且看以下常见例子，当用户浏览一个新网站时，网页浏览器（例如Google Chrome）会在用户电脑上生成一个Coockie文字档案。Cookie使Web伺服器能在用户的装置储存状态资讯──第三方资讯（如添加到线上商店购物车中的商品）或追踪用户的浏览活动（如点选特定按钮、登入或历程记录）。以线上商务为例，浏览器可以利用Cookie上的资讯，进行网上行销（Online Marketing），推送相关产品予该用户。这功能是电子商务的“必杀技”，有效提升销量，所以深受商界欢迎。然而，在未获得用户同意而利用“第三方Cookies”去收集其网上活动资料，实际上于法于理也不合。

宜参考私隐署框架

针对网上数据私隐问题，Google一直尝试不同解决方案，公司自2020年开始逐步淘汰“第三方Cookies”。有网络专家指出，停用“第三方Cookies”，互联网经济会出现新的营运生态：其一，是“第一方数据”的崛起；企业将更依赖直接从用户获取的数据（如网站注册、会员制度）。例如，Amazon透过分析购物行为，提供精准推荐，无需“第三方Cookies”。不过，这做法对中小企业会构成很大挑战──他们需要加大力度做好“客户关系管理”（CRM），才能把客人“箍住”。其二，是创新追踪技术会涌现，包括“情景广告”（Contextual Advertising）：根据网页内容而投放广告，例如运动品牌投放在健身文章旁，无需跨站追踪；“装置指纹”（Device Fingerprinting）：透过“网际协定”（Internet Protocol, IP）及“操作系统”（operation System, OS）等组合识别用户的身份，但这做法可能会面临隐私争议；“统一身份认证”（Unified ID 2.0）：由行业联盟推出的开源方案，以加密电邮取代Cookies，但这方法必须先获得用户授权。

然而，Google于2024年7月突然宣布保留“第三方Cookies”，把相关维护私隐计划延长一年。此举当然大受商界欢迎，让他们可以维持高销售量。例如，Google广告收入占母公司Alphabet的总营业额之80%，淘汰Cookies会直接冲击其核心业务。因此，保留“第三方Cookies”一方面可以维持现有广告生态及经济收入，另一方面让Google可以争取时间开发更稳健的替代“第三方Cookies”的技术。不过，“有人欢喜，有人愁”，Google延后淘汰“第三方Cookies”的策略难免会影响消费者。即使到日后“第三方Cookies”被取消，个人隐私能够虽获得更多保障，降低用户对“被追踪”的不适感，但代价则是用户在浏览网页，将遇更多“登入墙”（Entry barrier）与付费内容（Paid Content）的出现。

近年“生成式人工智能”（GenAI）风靡全球，利用“大数据”（Big Data）及“深度学习”（Deep Learning）建造人工智能模型是时代大趋势，因此维护数据私隐尤其关键。私隐问题在人工智能应用场景更加复杂，除了数据内容之外，学习运算亦会从数据中挖掘（暴露）出个人私隐，因此用户必须要谨慎处理。就此，笔者建议人工智能使用者认真参考“香港个人资料私隐专员公署”于2024年7月所发布的《人工智能（AI）：个人资料保障模范框架》；《框架》协助机构在采购、实施及使用人工智能时，遵从《个人资料（私隐）条例》的相关规定，确保机构在善用人工智能之余，亦能保障个人资料私隐。

（作者系全国政协委员、香港立法会议员，文章仅代表作者个人观点）