隱私的合理期待

How fragile a thing, law. “……It’s important for our fellow citizens to understand, ……, because we value the Constitution.” These statements, it turned out, were not true… ~ Jed Rubenfeld / The End of Privacy, Stanford Law Review at 61 STAN. L. REV. 101 (2008)

前言

最近美國高潮迭起的發展，讓筆者想起多年前看過的一篇文章：“The End of Privacy”。沒想到上網搜尋這篇文章時，在原始出處的Stanford Law Review (史丹佛法律評論)網站，看到這篇文章以這種方式刊載：

The End of Privacy, Stanford Law Review at 61 STAN. L. REV. 101 (2008)

感覺就像是一種聲明？或控訴(I accuse……)？還是想太多？

這已經是將近20年前(2008)的文章，看到這種方式的版面呈現，對照目前美國的紛擾，總是忍不住想到歐威爾(Orwell)的1984。

文章第一句話很簡潔，但非常真實：How fragile a thing, law. (法律，如此脆弱)。

版面上顯示的最後一句話：“These statements, it turned out, were not true …”，是指當時的美國總統沒有說實話。

這篇文章主要是討論美國憲法第四修正案(The Fourth Amendment)，這項修正案禁止任意搜索逮捕，但在美國，一般認為這是保障隱私權的憲法依據。對於重視隱私權、重視正當法律程序的人來說，這是值得細讀的文章。

但是，讓筆者想到這篇文章的原因，不是美國總統，而是美國的 IRS (Internal Revenue Service)。IRS官方網站繁體中文版翻譯為「國稅局」，隸屬於美國財政部，相當於台灣的國稅局（目前區分為臺北國稅局、高雄國稅局、北區國稅局、中區國稅局、南區國稅局）。

IRS

根據美國富比士(Forbes)報導，在美國報稅季結束之後不久，美國 IRS就準備開始更大規模的裁員，預計在五月中將再裁員11,000人，2025年上半年總計將裁員20,000人。依據美國CBS報導，裁員幅度甚至可能高達40％。

今年初美國新任總統上台不久，IRS 就已經被裁員7,000人，引發許多訴訟(詳前述富比士報導)，但人事紛擾不僅限於一般僱員，IRS 高階主管也頻頻異動。在此之前，富比士就報導前任 IRS局長(commissioner of the IRS)在 IRS 與美國移民暨海關執法局(The US Immigration and Customs Enforcement，ICE)達成協議後決定離職，因為依據該協議，IRS 將協助確認或提供非法移民資料給 ICE。

此外，根據美聯社(The Associated Press)報導，政府效率部(Department of Government Efficiency)要求 IRS 與其他聯邦政府機關分享納稅人資料，IRS首席法律顧問(chief counsel)因為不願意配合而遭撤換。

這二則 IRS 高層主管離職或遭撤換的事件，都和個人資料有關，從新聞報導內容來看，離職或遭撤換的 IRS 高層主管似乎傾向於保護個人資料；但從過去這幾年的事件來看，IRS 對於隱私權的官方態度並非如此。

先看一則2019年 IRS 廣發給超過1萬名美國納稅人的告誡函(Letter 6173)：Reporting Virtual Currency Transaction：

IRS Letter 6173

內容大約是IRS告誡納稅義務人：因為你擁有或曾經擁有虛擬幣(virtual currency)帳戶，而且可能沒有依法申報交易所得，請在通知函內所載期限以前，修改所得申報書或補充申報虛擬幣交易所得，否則 IRS 可能對你啟動調查，漏未申報交易所得者，可能受罰。

如果你突然收到國稅局這種告誡性的提醒，會怎麼想？怎麼做？IRS 怎麼知道誰擁有或曾經擁有虛擬幣帳戶？

Coinbase

Coinbase 是美國目前最大的比特幣(Bitcoin)和虛擬幣交易所。2018年Coinbase寄送電子郵件通知給13,000名使用者，表示Coinbase會將他們的個人資料交給 IRS。

這源於2016年間，IRS為了調查買賣比特幣的使用者是否逃漏所得稅(income tax)，要求Coinbase提供所有曾經在2013年至2015年間買賣過虛擬幣的使用者個人資料給 IRS，在當時，這涵蓋約50萬名使用者，但是 IRS提出這項要求時，並未表示有任何使用者涉嫌非法逃漏稅。換句話說，IRS提出這項概括性的要求，並非基於任何個案調查上的需要。

由於Coinbase不願意將平台上所有使用者的龐大資料交給 IRS，於是IRS在2016年11月向法院提出聲請，命令Coinbase交付個人資料。經過一連串的法律攻防之後，IRS勝出，但是範圍有相當幅度的限縮。法院在2017年11月裁定，Coinbase應將2013年起至2015年止，交易(包括買、賣、發送、接收)金額達相當於2萬美元以上價值的使用者的下列資料交給 IRS：

(1) 稅籍編號(taxpayer ID number)

(2) 姓名(name)

(3) 出生年月日(birth date)

(4) 地址(address)

(5) 帳戶交易紀錄，包括儲存交易日期、金額及交易種類(買、賣、交換)的記錄，交易完成後的餘額，以及交易相對人的姓名(records of account activity including transaction logs or other records identifying the date, amount, and type of transaction (purchase/sale/exchange), the post transaction balance, and the names of counterparties to the transaction)

(6) 所有定期對帳單或發票等(all periodic statements of account or invoices (or the equivalent))

Coinbase認為這是他們對抗 IRS的勝利，因為使用者範圍、資料範圍都大幅縮減。原本 IRS要求Coinbase提供「所有」使用者的資料，現在只涵蓋1萬多名使用者，依照美國CBS報導，約佔當時Coinbase使用者人數的 1% 左右。另外，IRS原本所要求的資料範圍相當廣泛，尤其還包括使用者的護照或駕照複本、使用者所擁有或控制的虛擬幣帳戶或電子錢包的所有註冊資料、電子錢包位址、和公開金鑰。

比特幣和區塊鏈的特性之一就是匿名性，雖然區塊鏈上的交易都是公開資訊，包括電子錢包位址和公開金鑰，但電子錢包位址和公開金鑰本身不足以辨識使用者真實身份；能夠將使用者真實身份和區塊鏈交易資訊連結在一起、相互勾稽的，主要就是使用者開設交易帳戶或電子錢包的虛擬幣交易所或平台。

由於Coinbase是美國最大的虛擬幣交易所，如果 IRS取得Coinbase所有使用者的身份資料、以及電子錢包位址和公開金鑰，等於撤除區塊鏈的匿名性，影響相當深遠。

而且，不只是Coinbase，2021年年初，IRS也對Circle、Poloniex交易所索取資料，2021年5月再向Kraken交易所索取資料。由此可見，IRS的官方立場是盡可能廣泛地取得虛擬幣的使用者資料和交易資料，作為查稅之用。

Harper

但 IRS也不是完全沒有遭遇挑戰。

Jim Harper是前述 IRS 2019年告誡信的收信人之一，他認為 IRS取得資料的過程，剝奪了他提出異議的權利，侵犯他的隱私權、不符合正當法律程序，違反美國憲法第四修正案(The Fourth Amendment)和第五修正案(The Fifth Amendment)，因此在2020年向法院提起訴訟，控告 IRS和 IRS局長等高層主管。

Harper是美國智庫American Enterprise Institute (美國企業研究院)的成員，研究範圍包括隱私權和比特幣。他希望藉由訴訟，促使 IRS 銷毀取得的資料，他認為如果這個案件獲得法院支持，其他收到 IRS 告誡信的人，也可以提出同樣的主張。

美國司法部(Department of Justice，DOJ)在這件訴訟中代表 IRS。DOJ 認為 Harper 沒有理由提起訴訟，IRS 調取資料的行為，根本不應該受司法審查，如果Harper認為 IRS 的課稅決定有誤，應該針對 IRS 的決定提出申訴，或者在重新核定之後依照程序退還稅款。

Harper的回應是：如果 IRS 侵入他的住宅，翻箱倒櫃之後發現他並沒有漏繳稅款，難道他的救濟方式是提出退還稅款(refund)的要求？

Harper在地區法院和上訴法院都以敗訴收場，目前這個案件已繫屬於美國最高法院(Supreme Court)，根據路透社(Reuters)報導，包括西維吉尼亞(West Virginia)、堪薩斯(Kansas)、內布拉斯加(Nebraska)、北達科達(North Dakota)、俄亥俄(Ohio)等州政府，以及CATO Institute (加圖研究所)、Americans for Prosperity Foundation等保守派政策研究機構，都以法庭之友(amicus brief)的形式向美國最高法院表達支持Harper的立場。

Coinbase也以同樣的方式，向最高法院表達反對 IRS 作法的立場，並促請最高法院思考 IRS案例所創設的“危險先例”(sets a dangerous precedent)。

美國最高法院對這個案件的判決，將對美國憲法第四修正案所保障的隱私權範圍和解釋方式產生重要影響，尤其是在雲端時代。

Third Party Doctrine

美國憲法第四修正案、以及這個案件主要的爭議之一，是所謂的「第三方原則」(Third Party Doctrine)。

為了瞭解什麼是第三方原則，必須先看一下美國憲法第四修正案的內容：

美國憲法第四修正案原文：The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.（美國國會網站）

中文翻譯：「人人具有保障人身、住所、文件及財物的安全，不受無理之搜索和拘捕的權利；此項權利，不得侵犯；除非有可成立的理由，加上宣誓或誓願保證，並具體指明必須搜索的地點，必須拘捕的人，或必須扣押的物品，否則一概不得頒發搜捕狀。」（美國在台協會網站）

也就是說：政府搜索或逮補人身、住所、文件及財物之前，必須取得法院命令(warrant)，而且必須有充分理由(probable cause)。

至於第三方原則，源自美國最高法院 Katz v. United States (1967)判決。

這個案件是執法人員在公共電話亭外安裝竊聽器，竊聽本案嫌犯使用公共電話安排賭注的對話，本案嫌犯認為未取得法院命令而竊聽電話，侵犯第四修正案所保障的隱私權。

就判決結果來看，美國最高法院認定執法人員未取得法院命令就竊聽電話，即使竊聽器是裝設在公共電話亭的外面，也違反第四修正案。

但是，本件判決理由認為，第四修正案不能解釋為一般性地在憲法上賦予隱私的權利，該項修正案保護個人隱私以對抗特定形式的政府侵擾，但其保護範圍不止於此，而且經常和隱私無關；其他憲法規定保護個人隱私以對抗其他形式的政府侵擾；但是個人一般性的隱私權 ⎯ 不受他人干擾的權利 ⎯ ，就像個人財產及生活的保護一樣，大部分委由各州法律處理。（…… the Fourth Amendment cannot be translated into a general constitutional “right to privacy.” That Amendment protects individual privacy against certain kinds of governmental intrusion, but its protections go further, and often have nothing to do with privacy at all. Other provisions of the Constitution protect personal privacy from other forms of governmental invasion. But the protection of a person’s general right to privacy — his right to be let alone by other people — is, like the protection of his property and of his very life, left largely to the law of the individual States.）

也就是說，第四修正案只是保護個人對抗不合理的搜索和拘捕，以保障人身、住所、文件及財物的安全。

而且，第四修正案保護的是「人」，而非場所；只要是個人有意地揭露給公眾的，即使是在他的住所或辦公室之內，也不受第四修正案保護。但如果是他有意維持隱私的，即使是在公眾得以接近的地方，也可能受憲法保護。（For the Fourth Amendment protects people, not places. What a person knowingly exposes to the public, even in his own home or office, is not a subject of Fourth Amendment protection. …… But what he seeks to preserve as private, even in an area accessible to the public, may be constitutionally protected.）

這就是「隱私的合理期待」（reasonable expectation of privacy），個人得以合理期待維持隱私的部分，才受憲法保護。由此也衍生出第三方原則：個人有意識地交給第三方的資料，不能認為有隱私的合理期待，不受第四修正案保障。之後的美國最高法院判決，又進一步闡釋這項原則：

＊ 美國最高法院 United States v. Miller (1976) 判決：

如果個人有意地將資料交付給第三人，尤其是該等資料構成第三人的營業紀錄（business records），就不受第四修正案的保護；所以，帳戶所有人交給銀行的支票、存款單等，因為是帳戶所有人主動交給銀行(第三方)，而且構成銀行的營業紀錄，所以不受第四修正案保護，執法機關即使未取得法院命令也可以向銀行調取這些紀錄。

＊ 美國最高法院 Smith v. Maryland (1979) 判決：

警方在電話線路上裝設電話記錄器(pen register)，以記錄該電話線路所撥出的所有電話號碼，不算違反第四修正案，因為所有撥打出去的電話號碼，都會被電信公司(第三方)取得及記錄，不能認為有隱私的合理期待。

這些判決做成的年代，都是在個人電腦、網際網路興起之前。但即使是在70年代，電話使用應該已經相當普及，竊錄撥出號碼不算侵犯隱私權？以現代標準來看，還是難以理解。

Cloud

進入21世紀，個人電腦、手機、平板隨處可見，網際網路深入日常生活，所有線上服務幾乎都是以雲端服務(cloud service)的方式提供，不只是網路銀行、電子支付、證券投資，還包括電子郵件、網路相簿、網路硬碟、網路筆記、網路行事曆、網路搜尋、手機定位、行動導航、社群媒體、即時通訊、語音及視訊會議、串流影音(streaming)、智慧居家(smart home) ……

看一下Google所提供的服務，就知道雲端服務有多普遍：

Google services - 1

一個畫面看不完，要往下捲動：

Google services - 2

還有：

Google services - 3

當然，並不是所有個別業者的雲端服務都包山包海，也不是每一個人都集中使用同一家業者的服務，但是這些服務幾乎等於現代生活的日常，不只是個人生活幾乎離不開第三方所經營的雲端服務，每一分每一秒也都有人主動將一部分的自己留存在網路上，也就是第三方所經營的雲端服務。依照第三方原則，面對政府公權力時，隱私權豈不是有名無實？

這也是為什麼第三方原則必須有所調整。

＊ 美國最高法院 United States v. Jones (2012) 判決：

美國最高法院認為，執法人員在嫌犯的汽車裝設GPS定位追蹤器、使用該裝置監看嫌犯移動記錄，構成第四修正案的「搜索」（search），執法人員未取得法院命令就裝設GPS定位追蹤器監看嫌犯移動記錄，構成非法搜索、侵犯憲法第四修正案賦予嫌犯的權利。

＊ 美國最高法院 Carpenter v. United States (2018) 判決：

美國最高法院在判決中表示：「第四修正案不只保護財產利益，也包括對隱私的特定期待。因此，當個人有意對某些事物保持隱私，而社會也準備將這種隱私的期待認定為合理時，若政府侵入該領域，通常就構成搜索，必須有充分理由支持，並取得法院命令。」（The Fourth Amendment protects not only property interests but certain expectations of privacy as well. Thus, when an individual “seeks to preserve something as private,” and his expectation of privacy is “one that society is prepared to recognize as reasonable,” official intrusion into that sphere generally qualifies as a search and requires a warrant supported by probable cause.）

這個案件源自於執法人員為了調查搶案，取得行動電話基地台的手機位置資訊(cell-site location information, CSLI)，包括一萬多個定位點，記錄嫌犯一百多天的行蹤，平均每天有約100筆定位資料，最後嫌犯遭到定罪。

美國最高法院認為，個人對自己在實體空間的移動，有隱私的合理期待，手機定位資訊記錄一個人的隱私生活，若政府取得這些資訊，將給予政府完美監控(perfect surveillance)個人的能力；而且，雖然手機定位資訊構成電信業者的營業資料，但是在適用前述美國最高法院 United States v. Miller (1976) 及 Smith v. Maryland (1979) 判決的時候，必須考量資料性質上的差異。手機定位資訊足以完全記錄個人的行蹤(the exhaustive chronicle of location information)，手機持有人也不是真的自願將定位資訊揭露給電信業者，使用手機已經是普遍、而且持續性的日常生活的一部分(“such a pervasive and insistent part of daily life”)，是參與現代社會生活所無法欠缺的，而且手機定位資訊是電信營運自動產生的資訊，不需要手機持有人的任何確認作為。因此，欠缺充分理由支持、未取得法院命令就監看手機定位資訊，侵犯第四修正案所保護的隱私權。

不過，值得注意的是，這則判決雖然在實質上限縮、或因應科技發展而調整「隱私的合理期待」、「第三方原則」的解釋，但美國最高法院在本件判決也特別表明：

“This decision is narrow. It does not express a view on matters not before the Court; does not disturb the application of Smith and Miller or call into question conventional surveillance techniques and tools, such as security cameras; does not address other business records that might incidentally reveal location information; and does not consider other collection techniques involving foreign affairs or national security.”（本判決所涵蓋的範圍有限，對於未向法院提出的事項並未表示意見，不影響Smith及Miller判決的適用，對傳統監控技術及工具(例如影像監視器)並未表示質疑，對其他可能附帶地揭露位置資訊的營業記錄並未表示意見，對於涉及外國事件或國家安全的資訊蒐集技術並未列入考量）

由此可見，美國最高法院對於第四修正案所保障的隱私權範圍的解釋非常謹慎，就算已經意識到「隱私的合理期待」、「第三方原則」必須因應現代科技發展而加以調整，但仍未放棄數十年來所建立的基本架構。

Taxpayer Bill of Rights

在 Carpenter 判決之後，Harper 案是另一個重要的試金石，雲端服務對日常生活的滲透率和影響力，相較於手機電信服務，應該有過之而無不及，再加上 Harper 案涉及比特幣和區塊鏈等議題，美國最高法院是否、或如何更進一步調整「隱私的合理期待」和「第三方原則」，值得觀察。

雖然Harper案還有待美國最高法院作成決定，但是對於前述 IRS 廣發告誡函(Letter 6173)的做法、以及告誡函的內容，早在2020年，Taxpayer Advocate Service（納稅人辯護服務處）就公開表示質疑。

納稅人辯護服務處是 IRS內部的獨立機關，也有自己的網站，工作目標是確保納稅人瞭解自己的權利、獲得公平的對待。

2014年，IRS 在美國國會的壓力下，通過並採用 Taxpayer Bill of Rights（納稅人權利法案 / 中文翻譯版），以宣示維護納稅人的正當權益：

• The Right to Be Informed

• The Right to Quality Service

• The Right to Pay No More than the Correct Amount of Tax

• The Right to Challenge the IRS’s Position and Be Heard

• The Right to Appeal an IRS Decision in an Independent Forum

• The Right to Finality

• The Right to Privacy

• The Right to Confidentiality

• The Right to Retain Representation

• The Right to a Fair and Just Tax System

但是在納稅人辯護服務處2020年遞交給美國國會的工作報告FY 2021 Objectives Report To Congress中，納稅人辯護服務處特別將保護IRS告誡函(Letter 6173)收信人的權益，列為工作重點之一：

FY 2021 Objectives Report To Congress

納稅人辯護服務處除了在工作報告中詳述 IRS告誡函如何忽略或妨害納稅人應有的權利之外，也明白表示該做法違反納稅人權利法案中的二項（第79頁，FY 2021 Objectives Report To Congress）：

• The Right to Be Informed （知的權利）

• The Right to Privacy （隱私的權利）

不過，這份報告中並未說明 IRS告誡函如何侵犯收信人的隱私權。

雖然 IRS 強調，Letter 6173 告誡函只是柔性勸導(soft letter)，但稅務機關突然來函提醒是否漏報交易所得，字裡行間又充滿若不如何就如何的語氣，而且還限期回應，很難不讓收信人聯想自己是不是即將被立案調查。所謂柔性勸導，其實更像語帶威脅。

手握公權力的政府機關以這種不言而喻的手法推行政策，就像擋在捷運車廂門口見人就喊：有沒有逃票？逃一罰十！而且，他已經事先知道你的身分證字號、姓名、地址 …… 高科技辨識技術嗎？不是，是第三人提供的。

據說美國納稅人辯護服務處有1,000人左右的規模，但是在目前美國聯邦政府以裁減人力為政策目標的情況下，會受到何種影響，不得而知。

接下來，就看美國最高法院如何處理雲端時代的資料調閱爭議。

國稅局

國內的個人資料保護法源自歐盟，持平而論，就保護個人資料及隱私權的角度來看，法制規劃上已經比美國完整許多。

但即使如此，極其類似的爭議其實也曾經在國內發生過，而且源頭也是稅務主管機關，只不過不是針對所得稅，而是營業稅；最終結果不是法律途徑解決，而是透過政策手段達成目的。

只能說，稅務領域的正當法律程序，路途還很漫長，國內外皆然。