2012年6月25日 星期一

良心廠商挺身抵抗政府保護你的隱私

非洲羚羊擔任警戒保護同伴 英文 「I've got your back」 意思是 「我會幫你注意你的背後 -- 如果有人要傷害你, 我會通知你。」 上個月 EFF 公佈了一份報告: 「When government comes knocking, who has your back?」 當政府來敲門刺探你的隱私的時候, 哪些廠商會挺你? 一家小型的 ISP Sonic.net 拿到唯一的滿分。 富比士專訪 CEO Dane Jasper, 他說: 「我們的用戶連線記錄檔 (user logs) 兩個星期後就銷毀。 你的 ISP 也應該這麼做。」 以下摘要給中華電信、 提供寬頻上網的有線電視業者、 還有其他網路服務業者參考。

Jasper 的公司從去年開始接到色情片業者以 「著作權遭侵犯」 為由, 透過法院要求調閱連線記錄。 一開始他們也覺得很好笑; 但後來發現這是一個近乎敲詐、 令人不恥的商業手段。 幫普通影片蒐集版權費的律師, 成功率大約是 5%; 但當他改行幫 A 片蒐集版權費時, 成功率提高到 30%。 因為就算你是無辜的、 就算侵權的其實是你的小孩、 來你家住的訪客、 你的室友、 或是借用你未加密的無線網路上網的路人, 你都不會希望在法院上留下一筆記錄, 裡面你的名字跟色情影片並列。 許多人選擇花錢消災。

Jasper 不願意成為敲詐勒索的幫兇, 於是召集大家開會。 他發現公司所留下的 log 檔主要有兩個功用: (1) 處理用戶回報的垃圾信件 (2) 配合執法。 前者其實通常只會調閱前一天的記錄。 至於後者, 他們著眼於合理的法令, 例如協助調查綁架、 兇殺案等等, 最後決定保留兩個星期的記錄也就夠了。 Jasper 認為其他 ISP 也應該像他們一樣, 大幅降低資料保存期限、 收到法院傳票時應通知客戶、 並且在合理範圍內阻止洩漏用戶的隱私。 事實上, 對於已有 個人資料保護法 的臺灣而言, 這其實也是廠商應有的自保手段之一。 減少 log 檔的欄位內容與保存期限, 萬一客戶個資外洩時, 至少可以大幅降低傷害。

有趣的是: Sonic.net 並不以這個獨特的公司政策來作為行銷的賣點。 Jasper 並不希望給客戶帶來錯誤的期待, 也不希望以此鼓勵盜版。 他只希望有多一些 ISP 公司在市場上競爭, 這樣所有的 ISP 自然就會更加 (1) 保護用戶隱私 (2) 遵守 網路中立性。 他的正直與知識, 讓身處於臺灣電機資訊學術界的我感到極度汗顏...

當政府來敲門刺探你的隱私的時候, 哪些廠商會挺你? 順便摘要一下 EFF 的報告。 EFF 給星等的依據分別是: (表格四欄由左到右)

  1. 有人要調閱客戶隱私資料時, 公司會不會告知客戶?
  2. 針對 「政府向我們索取用戶資料」 一事, 公司是否公告 (1) 頻率統計資料 (左半星) (2) 公司回應的政策 (右半星)?
  3. 公司有沒有在法庭上力挺用戶隱私?
  4. 公司有沒有加入 Digital Due Process coalition, 透過國會遊說呼籲政府調閱隱私資料應遵循一定的合法程序?

各公司的得分如下:

  • 4 顆星: sonic.net
  • 3.5 顆星: twitter
  • 3 顆星: google、 dropbox、 linked in
  • 2.5 顆星: spideroak
  • 2 顆星分: amazon
  • 1.5 顆星: 臉書
  • 1 顆星: 雅虎、 微軟、 蘋果、 looped、 comcast、 AT&T
  • 0 顆星: skype、 myspace、 foursquare、 verizon

當政府要侵犯你的隱私時, 微軟和蘋果並不會警告你。 可不可以這樣說呢: 除了 google 等少數的特例之外, 多數大公司似乎都比較傾向忽略客戶權益、 比較願意配合政府刺探隱私? 「花錢真的是大爺嗎?」 「你的雲端廠商有沒有積極採取保護客戶隱私的技術與政策?」 在這個奇特的年代, 這些都是一個聰明消費者必須經常提醒自己的問題。

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。

2012年6月10日 星期日

只要 30 秒! 網站 Mobile 版本自動生成

隨著行動上網用戶的增激,相信不少的網站經營者都有發現透過行動裝置瀏覽的訪客數提高了;為了優化行動訪客的瀏覽經驗,為網站製作一套 Mobile 版本可說是最基本的事了,但有什麼方法可以節省開發時間及成本,就能夠擁有一套 Mobile 版本呢?

由 bMobilized 開發的 30 秒生成網站 Mobile 版本的服務應該可以為你解決這個問題。只需在 bMobilized 首頁上輸入你的網站網址,點擊 Mobilize 的按鈕,之後再註冊成為 bMobilized 會員後,即可連結至網站 Mobile 版本的後台,你可以在後台自定義網站的各個項目,如版面、編輯列表、顏色……等。

2012年6月7日 星期四

我們需要第三方支付專法嗎?從各國相關法規看第三方支付業務發展 | TechOrange

基於國內金融業務受主管機關高度監管的現況,所有有志於支付或電子商務領域的創業者都需要增加對法規的理解,除了能從中尋找新的業務機會,也能保護自己免於誤踏法網。未來我想從支付業務角度出發,試著以較淺顯的角度切入法規層面議題,以系列專文與各位分享一些個人心得,也歡迎業界先進們不吝指教。

台灣需要第三方支付專法嗎?很多業界朋友都說產業無法發展是因為沒有專法,真的是這樣嗎?到底甚麼是第三方支付?專法又需要規範些啥?首先,讓我們一起看看各國在支付領域的法規框架,藉此思考國內需要甚麼,或其實已經足夠?

美國:

說到網路支付業務,絕對少不了 PayPal 的角色。 PayPal 草創初期,並未受到政府機關太多注意,直到業務蒸蒸日上,才引發諸多關於適法性的討論。

PayPal 面對的第一個挑戰即為預收款項的法律定位,來自聯邦存款保險法(Federal Deposit Insurance Act, FDIA)對「存款」的定義首先引起論戰,到底 PayPal 預收款項是否適用於存款保險?若是,則需依相關條件申請設立銀行。對此,聯邦存款保險公司( Federal Deposit Insurance Corporation, FDIC )首先表示該款項並非FDIA定義中之「存款」,依法不受保障,但仍以「在途款保險( Pass-through Insurance )」的方式為 PayPal 開設於銀行之保管帳戶內的每一使用者權益提供最高 USD$10 萬元的保險。(相關說明可參照 PayPal – FDIC Pass-Through Insurance

確認非屬存款的法律定位後,接下來 PayPal 就依各州州政府的態度逐一取得執照。各州適用法規不同,有的州是以資金傳輸者法( Money Transmitters Act )為母法,亦有利用一般金融法規者(如Uniform Money Services Act ),大體上均為規範欲營運此業務之企業相關要件,如資本額、負責人、申請方式、資金運用限制及風險管理等基本框架,對業務運作方式則給予相當之解釋空間,這也是 PayPal 能不斷創新,開發各種新型態支付業務的法規背景。( PayPal 於各州適用之主管機關及法規可參考 PayPal State Licenses

歐洲:

歐洲中央銀行為增進會員國間之支付服務效率,訂定了支付服務指令( Payment Services Directive, PSD, 2007/64/EC ),讓會員據以完成國內相對應法規之立法。而 PSD 內明文涵蓋範圍即包含信用卡、自動化轉帳及第三方支付等電子支付樣態,且其內容甚為細緻,除申請方式、限制及風險承擔原則等項目外,亦包含相關定型化契約、服務品質等規範。

另外歐盟在電子貨幣指令( e-money Directive, PSD, 2000/46/EC )中亦明確規範發行電子貨幣之機構所需具備的各項資格及營運規範,作為儲值性質支付業務的法規基礎。

日本:

日本在 2009 年通過「資金決済に関する法律」,其主要章節包涵前払式支払手段(儲值支付)、資金移動(代收付業務)、資金清算(銀行間資金清算,類似財金公司的角色)這三種業務樣態,針對各該業務範圍進行資格、業務內容及風險管理等規範。

如果國內要針對支付業務進行整合性的立法工作,我認為日本這部資金決濟法實在非常值得參考,一次滿足各種非銀行機構營運相關業務的法源定義及規範,甚至還包含業者間的自律組織、 ADR ( Alternative Disputes Resolution, 替代性爭端調處,類似台灣的金融消費者保護機制)。

中國:

歷經支付產業飛速成長數年後,人民銀行終於在 2010 年制定「非金融機構支付服務管理辦法」,作為第三方支付業務的依循標準,至 2012 年 5 月為止,共計發放 101 張支付業務牌照,也落實政府對相關業者之管制。

「非金融機構支付服務管理辦法」第二條很明確的把業務範圍都講完了(好大的範圍),包含網絡支付、預付卡的發行與受理、銀行卡收單,而網絡支付又可涵蓋貨幣匯兌、互聯網支付、移動電話支付、固定電話支付、數字電視支付等,看人家走得多先進?行動支付都先納入了,還給你做貨幣匯兌,提供業者國際化的空間。

台灣:

最後還是看看台灣的現況。國內關於支付工具專法,只有票據法跟最新的電子票證發行管理條例是立法院三讀通過的法律,其他均屬主管機關頒布之法規命令層級。至於第三方支付,我覺得大家要分成「因為沒有法源而不能做」跟「被現有法規綁住而不能做」來思考。PayPal、支付寶甚至 M-PESA 都在沒有法源的情形下先做了再說,而歐美、中國的微型創業市場也跟著先起飛了再說,那政府喊了雲端n年的台灣呢?

馮昌國律師在「不同位置的不同腦袋:第三方支付制度不同參與者的觀點(I)」一文中對第三方支付是甚麼有相當精彩的討論,不管代收付還是價金保管,目前業者都能做(這就是支付連之所以存在的原因),問題終究在「Paypal 到 Paylink,第三方支付到台灣為什麼全變了形?」提過的儲值及信用卡收單。

即便經濟部曾經力推的「資金傳輸服務管理條例」(a.k.a. 第三方支付法)草案,也僅是加強規範代收付業者應具備的資本條件等門檻及在途資金應受到的保護等內容,依然未解決一個符合市場期待的第三方支付平台需具備之業務條件,所以我建議由修訂「電子票證發行管理條例」及其相關子法著手,茲羅列主要項目如下:

  • 調整進入門檻的資本限制(或用階梯級距限制資本額與業務承做量的關係)
  • 取消「不得為電子票證間之資金移轉」的限制
  • 調整特約機構的定義與特約機構訂定契約的方式
  • 大幅調整「電子票證應用安全強度準則」內不合宜的安控標準,便利網際網路交易得以使用者代號加密碼的形式進行
  • 放寬單一電子票證儲值金額限制,或以階梯級距區分票證樣態與儲值金額關係

 

以上是我能想到較快速的方式,藉此處理代收付、儲值及信用卡收單架購,如果立委諸公們為法規完整性著想,建議取法日本,以一部涵蓋面完整的資金結算法規讓業界得以依循。但法規是一回事,更重要是主管機關該拋開「因循」心態,否則就如電子票證一般,即便有一部母法存在,所有依規申請者受長官們重重技術性阻礙,更甚者直接擱置申請件,這讓大家如何適從?

所以,我覺得有第三方支付專法很好,如果沒有的話,就來修「電子票證發行管理條例」吧!

這篇文章對許多讀者而言可能稍嫌無趣且生硬,但身為業內人士,要讓產業的聲音往上傳達,還是需要一些法規背景研討以加強與主管機關的溝通力道。後續我會再用幾篇專文討論主管機關的觀點,官員怕的是什麼?是洗錢議題?偽冒交易?或者云端交易會為貨幣市場帶來風險?還是一切都來自「因循」二字,阻礙了台灣產業發展?

(圖片來源:andresrueda, cc licensed)