CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款

法國資料保護主管機關CNIL(Commission Nationale de l’Informatique et des Libertés, CNIL)於2021年1月27日分別對某資料控制者(Data Controller)及其資料處理者(Data Processor)2間公司分別處以150,000歐元與75,000歐元(共225,000歐元,約新臺幣756萬元)的罰款,理由是因為其未能採取充分的適當安全措施,導致資料控制者所經營網站的客戶個人資料遭受憑證填充攻擊(credential stuffing attacks),以致於資料外洩。

在2018年6月至2020年1月期間,CNIL收到數十份與網站相關的個人資料外洩通報,CNIL指出該網站遭受到無數次的憑證填充攻擊。

憑證填充攻擊,攻擊者通常使用因為資料洩漏而遭公布在網路上的帳號密碼,並藉由機器人以自動化方式嘗試登入網路服務。假設使用者經常在不同的網路服務中使用相同的帳號與密碼,則攻擊者使用憑證填充攻擊,嘗試與網路服務進行大量連接,身份驗證成功後,攻擊者將可以查看與帳戶相關的資訊。

CNIL表示,攻擊者因此取得該網站會員姓名、電子郵件地址、出生日期、會員卡的餘額以及與訂單相關的資訊。CNIL認為該兩間公司未能履行歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第32條規定的保護客戶個人資料安全義務。

儘管公司開發一種工具用偵測與組織來自機器人的攻擊,但是該工具的開發距離第一次攻擊長達1年的時間。CNIL認為,公司在防止攻擊與減輕衝擊部分,本來可以考慮採取其他更適當的措施,例如:(1)限制網站上每個IP地址允許的存取數量,可以有助於減緩攻擊發生的速度;(2)使用驗證使用者身份機制。 CNIL強調,資料控制者必須決定安全措施的實施,並向資料處理者說明,同時資料處理者也必須尋求最適切的解決方案,將其提供給資料控制者,以確保個人資料保護的落實。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

關於語音助理的幾件事,CNIL的語音助理白皮書告訴你

不論是Apple HomePod還是Google Nest Audio,語音助理在智慧家庭中的角色越來越重要,不管是想要知道天氣、行事曆或是播放音樂,只要動口不動手,優秀的語音助理都能替你完成。然而,語音助理也會知道你的一切相關資訊。

法國個人資料保護主管機關「國家資訊自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)」在2020年12月16日發布語音助理(voice assistants)白皮書「On the record」,指出由於語音助理在智慧手機、汽車甚至是冰箱等產品已經成為一種必需品,為了探求語音助理所涉及的倫理、技術與法律議題,CNIL透過與眾多研究人員與專家的合作,發表了該份白皮書。

該份白皮書旨在為設計師(designers)、應用程式開發人員(application developers)、整合人員(integrators)與期望推出語音助理的組織提供領先的隱私保護實踐指引,強調聲音是屬於個人的生物特徵(biometric characteristic of individuals),因此語音助理的設計必須符合透明性與安全性,以符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與保護個人隱私。白皮書還提供使用者如何實施良好安全措施的建議,例如確保資料傳輸的機密性,或保護可能與這些設備互動的兒童。

對於語音助理的使用者,CNIL強調除了喚醒的條件與資訊、可用的服務、安全措施等條件的選擇之外,最重要的是認識到這些設備所伴隨的挑戰,使用者應該注意下列五點事項:

一、確保交流的機密性

※選擇使用的設備

1.與進行遠距資料處理(remote processing)的設備相比,優先使用進行本機資料處理(local data processing)的設備。

2.選擇配備物理式麥克風靜音的設備。

3.選擇透過手動按壓啟動而非透過喚醒詞來啟動的設備,這將會讓使用者對於啟動時間有更多控制。否則,請優先考慮啟動與結束時會發出訊號的設備,並於設定語音助理時啟動該功能。

※關於設備的使用

1.如果你不想讓別人聽到你的對話,在設備允許的情形下,關閉基於改善產品對你的互動進行分析的功能。

2.如果你不想分享技術資料,關閉基於改善產品對你的互動進行分析的功能。

3.如果你不想被語音助理聽到,可以將其關閉或靜音。

4.通知第三方(訪客、家事清潔人員)關於對話錄音的潛在風險,或關閉/靜音設備的麥克風。

5.相對的,如果你待在一個有語音助理的地點,如果你不想被錄音,可以要求擁有者關閉設備/拔掉插頭。

6.當嵌入專用設備時,請將語音助理放在顯眼且對所有人可見的位置。

7.定期檢查使用者帳戶中記錄資料的歷史紀錄,並刪除機敏資料。

二、個人資料將被用來營利

1.留意你在裝置前所說的內容可能會被用來建立關於你的廣告資料。

2.選擇不需要建立帳戶即可使用的設備。

3.如果功能允許,選擇使用「私密瀏覽」模式。

4.考量共享個人資料與敏感性的隱私風險後,再連結到真正有用的助理服務。

5.定期檢查哪些服務與助理連結,並禁用很少或沒有使用的服務。

6.如有任何疑問可以與服務專線聯繫,必要時也可以與主管機關聯繫(即CNIL)。

三、留意沒有螢幕的設備

1.除了透過語音介面進行裝置管理與資料刪除,選擇也能透過螢幕或使用者帳戶進行的設備。

2.定期檢視助理的儀表板以及根據需要自定義其功能,例如選擇使用的預設搜尋引擎或資料來源。

3.可以使用語音助理功能來設定關於本章節內容的小訣竅提醒。

四、監督兒童使用

1.以明確得指導方式說明語音助理的工作方式並示範簡單的設置(例如關閉按鈕)。

2.避免將設備放置在兒童專用區域(臥室、遊戲室等)。

3.監督兒童與設備的互動,當兒童使用設備時,留在房間裡陪伴他使用,當兒童不使用設備時,將其關閉。

4.確保預設情形下,將裝備設置為過濾兒童資料。

5.如果裝備記錄了歷史紀錄,則以尊重兒童隱私的方式查閱相關統計情形與過去的互動情況。

6.定期刪除歷史記錄。

五、預防駭客入侵的風險

1.避免使用無法識別或無法輕鬆識別其來源、設計者、控制者等的設備。

2.謹慎選擇可以由語音助理控制的服務,並避免那些有風險的服務(開門、上鎖或開車)。

3.謹慎安裝與存取合法的應用程式,駭客可以建立惡意軟體來蒐集使用者資料(帳戶、信用卡號碼、密碼、地址或聯繫方式等)。

4.如果設備允許,則透過雙因素身份驗證(例如透過電子郵件或簡訊發送驗證碼)來設置設備或某些敏感應用程式的安全性。

5.仔細選擇與你帳戶相關服務(電子郵件、日曆、銀行帳戶、電話等)的啟動。

6.保護語音助理連接到的網路(尤其是Wi-Fi)。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會(Ireland’s Data Protection Commission)於2020年12月制定針對兒童資料處理方法的基礎概念(Fundamentals for a Child-Oriented Approach to Data Processing)」草案文件,其中納入專門針對兒童的資料保護解釋原則與建議措施,這些原則與措施將提供對於兒童的保護水準,使兒童免於資料處理風險所帶來的影響,該份草案文件的公開諮詢程序至2021年3月31日止,任何人都可以向愛爾蘭資料保護委員會提供相關意見與評論。

值得注意的是,愛爾蘭資料保護委員會也直接向兒童諮詢相關意見,兒童們紛紛提出他們對於資料保護的各種看法,愛爾蘭資料保護委員會也特別於該份文件內呈現出來。

在愛爾蘭,兒童的定義是指未滿18歲的人,與聯合國兒童權利公約(UN Convention on the Rights of the Child, UNCRC)的定義相同,而愛爾蘭資料保護委員會確立組織應遵循的14個基本原則,組織在處理個人資料時應注意對於兒童的保護,為兒童們提供一個比目前更安全、更合適以及更尊重隱私的網路環境,讓孩子們盡情得玩耍、互動、學習與創造。以下是該文件所列出的14個基本原則:

1.一定程度的保護(FLOOR OF PROTECTION)

線上服務提供者(Online service providers)應對所有使用者提供一定程度的保護,除非其採取風險導向的方法(risk-based approach)來驗證使用者的年齡,以將基本原則中所規定的保護措施應用於所有處理兒童資料的行為。

2.明確同意(CLEAR-CUT CONSENT)

當兒童同意處理其資料時,必須是明確、知情且自由得陳述,或給予明確同意。

3.零干擾(ZERO INTERFERENCE)

線上服務提供者處理兒童資料時,應確保追求合法利益的同時,不會對兒童的最佳利益造成干擾、衝突或負面影響。

4.瞭解受眾(KNOW YOUR AUDIENCE)

線上服務提供者應採取措施來識別其使用者,並確保針對兒童或可能被兒童所接觸的服務已制定針對兒童的資料保護措施。

5.每個情景的資訊(INFORMATION IN EVERY INSTANCE)

兒童有權獲得有關處理其自身個人資料的資訊,即便是由父母所代理同意處理的個人資料。

6.針對兒童的透明性(CHILD-ORIENTED TRANSPARENCY)

必須以簡潔、透明、可理解與可接觸的方式提供有關如何使用個人資料的隱私資訊,並應使用兒童易於理解且適合兒童年齡的語言。

7.讓兒童自主行使權利(LET CHILDREN HAVE THEIR SAY)

兒童本身即是資料主體,在任何年齡都擁有與其個人資料有關的權利。愛爾蘭資料保護委員會認為,只有兒童有能力,且符合他們的最佳利益,兒童可以隨時行使這些權利。

8.同意不會改變兒童的本質(CONSENT DOESN’T CHANGE CHILDHOOD)

從兒童或父母/監護人所取得的同意不應作為將所有年齡的兒童當作成年人對待的理由。

9.平台責任(YOUR PLATFORM, YOUR RESPONSIBILITY)

透過數位與線上技術提供或出售服務而獲得收入的公司,對於兒童的權利和自由可能會構成特殊的風險,如果此類公司使用年齡驗證或依靠父母同意進行資料處理,則愛爾蘭資料保護委員會期望公司在關於年齡驗證以及父母同意的驗證方面能夠更加努力。

10.不要拒絕兒童使用者或剝奪其使用體驗(DON’T SHUT OUT CHILD USERS OR DOWNGRADE THEIR EXPERIENCE)

如果公司所提供是提供針對兒童或可能被兒童所接觸的服務,公司不能透過將兒童拒於門外或剝奪使用體驗來繞過公司所應負擔的義務。

11.最小使用者年齡並非藉口(MINIMUM USER AGES AREN’T AN EXCUSE)

設置提供服務的使用者最小年齡不會取代組織遵守歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的資料控制者與對未成年人保護等相關義務。

12.禁止剖繪(PROHIBITION ON PROFILING)

考量兒童的特殊脆弱性(particular vulnerability)與對行為廣告的敏感性(susceptibility to behavioural advertising),因此線上服務提供者不得基於行銷/廣告的目的對於兒童進行剖繪(profile)或針對兒童使用自動化決策(automated decision making),或以其他方式利用其個人資料,除非能夠清楚得說明「如何」以及「為什麼」這樣做符合兒童的最佳利益。

13.實施資料衝擊影響評估(DO A DPIA)

線上服務提供者應進行資料保護衝擊影響評估(Data Protection Impact Assessments, DPIA),以最大程度得降低其服務的資料保護風險,尤其是因為處理個人資料所對於兒童造成的特定風險。兒童的最佳利益原則必須是資料衝擊影響評估的關鍵標準,並且當兩者利益間發生衝突時,兒童的最佳利益必須優於組織的商業利益。

14.融入制度(BAKE IT IN)

定期處理兒童個人資料的線上服務提供者應根據「從設計與預設階段著手資料保護」原則,使其具有一貫的高標準資料保護程度,並將其融入於服務之中。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

中國大陸國家互聯網信息辦公室公布App蒐集個人資料的必要範圍

中國大陸國家互聯網信息辦公室於2020年12月1日公布「常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿)」文件,指出現行App往往有超出範圍、強制蒐集使用者個人信息(即個人資料)的情形,而使用者拒絕同意則無法安裝使用App。因此該文件羅列了地圖導航、網路約車、即時通信等38種常見類別App的基本功能與必要個人信息。

必要個人信息是指保障App基本功能正常運行所必須的個人信息,缺少該信息App即無法提供基本功能服務,只要使用者同意蒐集必要個人信息,App不得拒絕使用者安裝使用。

從該份文件可以知道,要滿足一般App基本功能的必要個人信息範圍並沒有想像得來的多,業者在超出必要範圍的部分,不僅不能拒絕使用者安裝使用App,在其他個人信息的取得與利用更應該要尊重使用者的自主意志。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.中國大陸個人信息保護法草案全文發布
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿):

1.地圖導航類:

基本功能服務:定位和導航。

必要個人信息:位置信息。

2.網絡約車類:

基本功能服務:預約汽車出行。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)乘車人出發地、到達地、位置信息、行踪軌跡。

3.即時通信類:

基本功能服務:提供文字、圖片、語音、視頻等即時通信服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)賬號信息:賬號、聯繫人賬號列表。

4.網絡社區類:

基本功能服務:博客、論壇、社區等話題討論、信息分享和關注互動。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

5.網絡支付類:

基本功能服務:收款人或付款人依托公共網絡遠程發起支付指令,由支付機構提供貨幣資金轉移服務(如支付、提現、轉賬等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)付款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

6.網上購物類:

基本功能服務:購買商品。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

7.餐飲外賣類:

基本功能服務:購買餐飲。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

8.快遞物流類:

基本功能服務:包裹、印刷品等物品的快遞寄收件。

必要個人信息:

(1)寄件人真實姓名、地址、聯繫電話。

(2)收件人姓名、地址、聯繫電話。

9.交通票務類:

基本功能服務:交通相關的票務服務及行程管理(如票務購買、改簽、退票、行程管理等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)旅客姓名、證件類型和號碼、旅客類型。旅客類型通常包括兒童、成人、學生等。

(3)旅客出發地、目的地、出發時間、車次/船次/航班號、席別/艙位等級、座位號(如有)。

(4)支付信息。

10.婚戀相親類:

基本功能服務:婚戀相親。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)婚戀相親人的性別、年齡、婚姻狀況。

11.求職招聘類:

基本功能服務:職位信息查詢和求職簡歷投遞。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)求職者提供的簡歷。

12.網絡借貸類:

基本功能服務:通過互聯網平台實現的個人消費貸款。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)借款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼。

13.房屋租售類:

基本功能服務:個人房源信息發布、房屋出租或買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)房源基本信息:房屋地址、面積/戶型、期望售價或租金。

14.二手車交易類:

基本功能服務:二手車買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)購買方姓名、證件類型和號碼。

(3)出售方姓名、證件類型和號碼、車輛行駛證號、車輛識別號碼。

15.問診掛號類:

基本功能服務:在線問診、掛號。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)患者姓名、證件類型和號碼。

(3)患者預約掛號的醫院、科室。

16.旅遊服務類:

基本功能服務:旅遊產品訂購。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)出行人旅遊目的地、旅遊時間。

(3)出行人姓名、證件類型和號碼。

17.酒店服務類:

基本功能服務:酒店預訂。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)住宿人姓名、聯繫方式,入住、退房時間,入住酒店名稱。

18.網絡遊戲類:

基本功能服務:通過網絡提供遊戲產品和服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

19.學習教育類:

基本功能服務:在線輔導、網絡課堂等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

20.本地生活類:

基本功能服務:家政維修、家居裝修、二手閒置物品交易等日常生活服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

21.女性健康類:

基本功能服務:女性經期管理、備孕育兒、美容美體等健康管理服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用於健康管理的歷史信息。

22.用車服務類:

基本功能服務:共享單車、共享汽車、租賃汽車等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)使用共享汽車、租賃汽車服務用戶的證件類型和號碼,駕駛證影印件。

23.投資理財類:

基本功能服務:股票、期貨、基金、債券等相關投資理財服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件。

(3)投資理財用戶資金賬戶、銀行卡號碼。

24.手機銀行類:

基本功能服務:通過手機等移動智能終端設備進行銀行賬戶管理、信息查詢、轉賬匯款等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

25.郵箱雲盤類:

基本功能服務:郵箱、雲盤等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

26.遠程會議類:

基本功能服務:通過網絡提供音頻或視頻會議。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

27.網絡直播類:

基本功能服務:向公眾持續提供實時視頻、音頻、圖文等形式信息服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

28.在線影音類:

基本功能服務:影視、音樂播放和下載。

必要個人信息:無須個人信息,即可使用基本功能服務。

29.短視頻類:

基本功能服務:不超過一定時長的視頻搜索、播放。

必要個人信息:無須個人信息,即可使用基本功能服務。

30.新聞資訊類:

基本功能服務:新聞資訊的瀏覽、搜索。

必要個人信息:無須個人信息,即可使用基本功能服務。

31.運動健身類:

基本功能服務:運動記錄、健身管理等服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

32.瀏覽器類:

基本功能服務:瀏覽互聯網信息資源。

必要個人信息:無須個人信息,即可使用基本功能服務。

33.輸入法類:

基本功能服務:文字、符號等輸入。

必要個人信息:無須個人信息,即可使用基本功能服務。

34.安全管理類:

基本功能服務:查殺病毒、清理惡意插件、修復漏洞、清理優化、騷擾攔截、權限管理等。

必要個人信息:無須個人信息,即可使用基本功能服務。

35.電子圖書類:

基本功能服務:電子圖書閱讀。

必要個人信息:無須個人信息,即可使用基本功能服務。

36.拍攝美化類:

基本功能服務:拍攝、美顏、濾鏡等。

必要個人信息:無須個人信息,即可使用基本功能服務。

37.應用商店類:

基本功能服務:App下載和管理。

必要個人信息:無須個人信息,即可使用基本功能服務。

38.實用工具類:

基本功能服務:日曆、天氣、詞典翻譯、計算器、遙控器、手電筒、指南針、時鐘鬧鐘、文件傳輸、文件管理、壁紙鈴聲、截圖錄屏、錄音、協同辦公等。

必要個人信息:無須個人信息,即可使用基本功能服務。

沒有牙齒的老虎—個人資料保護法中損害賠償與行政罰鍰

我國對於個人資料(下稱個資)保護重視程度,或許能夠從個人資料保護法(下稱個資法)損害賠償與行政罰鍰相關規定略窺一二。

損害賠償

當公務機關或非公務機關違反個資法法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利時,應依個資法第28條與第29條負損害賠償責任。

然而,當被害人不易或不能證明其實際損害額時,被害人得請求法院依侵害情節,以每人每一事件新臺幣(下同)500元以上2萬元以下計算(個資法第28條第3項與個資法第29條第2項規定參照)。其修法理由表示:「考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點『證人、鑑定人到場之日費,每次依新臺幣500元支給』之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。」。

立法者於修法理由中表示前述金額已考量個資的價值性,似乎是認為當事人於個資受侵害時,其個資的價值只值500元~2萬元,同時也沒有考量到當事人訴訟費用與律師費等費用的支出,其金額的訂定,似乎過於草率。

行政罰鍰—限期改正

個資法中關於行政罰鍰的規定,主要分別有兩種不同的規範情形:
1.處5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之(個資法第47條)。
2.先限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰(個資法第48條)。

如果企業未依個資法第27條第1項採行適當安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,或是未依個資法第27條第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,則適用個資法第48條第4項規定(即前述第2種情形)。換句話說,主管機關將會先命企業限期改正,屆期未改正時,才會處以2萬元以上20萬元以下的罰鍰,但是企業於期限內改正時,主管機關便不能予以裁罰。

然而,第2種的行政管制手段,真的能夠有效促使企業遵循個資法的規定嗎?還是企業其實可以什麼都不做,等到被主管機關抓到之後再來改正就好?

行政罰鍰—金額

以下比較我國與其他國家的關於個資法的行政罰金額:

國家行政罰金額規定
我國最高按次處新臺幣50萬元以下罰鍰
歐盟一般資料保護規則(GDPR)最高處2000萬歐元(約新臺幣6.7億元)或企業者前一會計年度全球年營業額4%
巴西一般資料保護法(LGPD)最高處巴西幣5000萬元(約新臺幣2.7億元)或前一會計年度營業額2%金額
新加坡個資法(PDPA)對年營業額超過1000萬新元(約新臺幣2.1億元)的公司,最高處營業額10%的金額
中國大陸個人信息保護法草案最高處人民幣5000萬元(約新臺幣2.1億元)以下或者前一年度營業額5%的金額
印度個資法草案最高處1.5億盧比(約新臺幣5700萬元)或年營業額4%的金額

由上表可知,隨著歐盟一般資料保護規則(GDPR)的制定與施行,有許多國家逐漸仿效GDPR中關於行政處罰的模式,而大幅提高行政罰的金額,而我國目前的行政罰金額則是較為偏低。

對於處罰的金額應該如何訂定,經濟學家Avinash Dixit 與 Barry J. Nalebuff 兩位所合著的《思辯賽局(The art of strategy)》中提到:

停車計費器記錄的違規停車的罰金,往往是正常收費標準的好幾倍。設想一下,假如正常收費標準是每小時1美元,按照每小時1.01美元的標準進行處罰,能不能讓大家從此變得安分守己?有可能,條件是交通警察一定可以在你每次停車而又向計費器投錢時逮住你。但這種嚴格的管理方式可能代價不菲,這會讓交通警察的薪水成為首要課題;此外,為了保證警方說到做到,必須經常檢測收費機,這筆費用也可能相當龐大。

相反的,監管當局採用了一個同樣管用、代價卻更低的策略,那就是提高罰款金額,同時放鬆監管力度。比如,罰金若是高達每小時25美元,此時哪怕25次違規只有1次會被逮到,也足夠讓你乖乖付費停車了。一支規模更小的員警隊伍就能勝任這項工作,而收到罰金也更可能彌補管理成本。

從經濟學賽局理論的角度來看,儘管較低的罰鍰金額也能達到管制的目的,只是在監管上面,便會面臨人力不足與較高的管理成本等考量,而提高罰鍰金額,則一定程度能夠解決前述的人力與管理成本問題。

結語

加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada, OPC)今(2020)年11月提出其對於加拿大個資法改革的建議,其中便提到罰鍰最主要目的不在懲罰或阻止業者創新,而是力求確保最大程度的法令遵循,這是信任與尊重權利的基本條件。

前述議題,究竟如何處理才能在個資保護與企業法令遵循成本,以及其他許多面向(例如外資投資意願)中取得平衡,或許還需要從經濟學與心理學等角度分析,並且尚待更多的實證研究,然而假如當立法者都不願意重視個資保護的價值時,又如何能喚起機關或企業對此的重視與投資?

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

人工智慧與個人資料保護

隨著人工智慧(Artificial Intelligence, AI)技術的進步,AI在零售業、銀行與醫療等各領域都有了驚人的應用,推動了AI技術與資料利用等方面的創新,然而使用AI的組織仍然須持續面對挑戰,例如AI是解決問題的正確方式嗎?AI會產生什麼樣的道德問題?我們如何確定AI的使用是合法的?

儘管AI提供了一個能夠顯著改善社會的機會,然而AI的使用往往也會帶來風險(從AI系統帶來的安全風險到歧視與偏見的風險),而對於組織來說,如何評估AI的使用對資料保護的法令遵循性將會是一大挑戰。

英國個資保護主管機關ICO(Information Commissioner’s Office)於今(2020)年7月30日發布人工智慧與資料保護指引(Guidance on AI and data protection)」,提供設計、架構與實施AI系統的法令遵循路線圖,其內容約略分為以下幾個面向。

AI的問責與治理

在運用得當的情形下,AI將使組織更具效率與創新。但是,AI也對個人的權利與自由以及組織的法令遵循挑戰帶來巨大的風險。

與其他處理個人資料的技術相同,相同的資料保護概念也適用於AI的使用。資料保護法中,透過風險導向的方法要求組織在特定情形下遵守義務並採取適當措施,因此在法令遵循面必須包含評估個人權利和自由的風險,並進而識別、管理和減輕這些風險。

AI系統的合法性、公平性與透明性

首先,AI系統的開發與部署往往涉及針對不同目的以不同方式處理個人資料,組織必須分解每個不同處理操作,並為每個操作確定目的和適當的合法依據,以便遵守合法性原則。

其次,當組織使用AI系統來推斷個人的資料,則為了使處理過程更加公平,組織應確保1.該系統在統計上足夠準確,並且避免歧視,以及2.考慮個人合理期望的影響。

例如用於預測貸款還款率的AI系統在以下情況可能會被認為違反公平原則:
1.作出經常被證明是錯誤的預測。
2.導致群體間(例如男人與女人間)結果的差異,且無法證明是為實現合法目標的適當手段。
3.以個人無法合理預期的方式利用個人資料。

最後,組織需要透明得瞭解如何在AI系統中處理個人資料,以遵守透明性原則。(可以參考揭開黑箱,說清楚講明白—可解釋性AI人工智慧

AI系統的安全性

使用AI處理個人資料對於風險有著重要的影響,因此組織需要仔細評估與管理這些風險。然而,實際上並不存在一種「萬能的」安全方法,組織應針對不同個人資料處理所產生的風險等級與類別,分別採取適當的安全措施。

指引內也提到兩大適用AI模型的隱私攻擊種類,「模型反轉(model inversion)」與「成員推斷(membership inference)」,組織應該檢視自身的風險管理實踐情形,以確保個人資料在AI的使用環境中是安全的。

AI系統的資料最小化

資料最小化原則要求組織確定實現目標所需最小數量的個人資料,並且僅處理該個人資料(GDPR第5條第1項第c款參照)。AI系統通常需要大量資料,乍看之下彷彿難以符合資料最小化原則,然而資料最小化原則並不意謂著「不處理任何個人資料」或「處理大量資料就會違法」,關鍵的地方在於,組織是否僅處理其所需要的個人資料。

AI系統與個人權利

依據資料保護法,當事人對於其個人資料有許多相關權利,無論在AI系統的開發或是部署的生命週期各階段中,均有當事人權利的適用,組織應予以重視,例如以下情形:

  1. 訓練資料(training data)。
  2. 用於預測的資料及預測本身的結果。
  3. AI的模型內。

例如零售業者打算以過去的交易資料來預測消費者行為,需要大量的客戶交易資料集來訓練模型。而在將客戶交易資料轉換用於訓練統計模型的訓練資料時,儘管訓練資料已經較難連結到特定的個人,然而如果其仍然能單獨或與組織可能要處理的其他資料(即使不能與客戶的名字相連結)共同「挑選(single out)」相關的個人,此部分仍有資料保護法的適用,而組織應於當事人行使其權利行使時,將此部分納入考量。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

中國大陸個人信息保護法草案全文發布

中國大陸第13屆全國人大常委會日前於第22次會議針對《個人信息保護法(草案)》進行審議,並公布草案全文,徵求各界意見至2020年11月19日止。

鑑於我國不乏有企業與中國大陸進行商務往來,此次中國大陸個人信息保護法草案,倘通過立法,其對於我國企業於中國大陸的經營,將可能帶來不小的衝擊。該草案全文共70條,內容不僅賦予自然人就其個人資料之權利,更課與個人信息處理者相應義務,且違反者最高可處5000萬元以下或上一年度營業額5%的罰款,同時可能遭命暫停相關業務、停業整頓或吊銷營業執照等處罰,其所規範的法律效果值得有關企業重視。

同時由該草案全文也可略窺歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的影子,雖然並未全部移植GDPR規範內容,然而不論是對於自然人的權利、企業的義務、罰款金額,甚至是域外效力的規範,均可看出該個人信息保護法草案試圖仿效GDPR就個人資料的處理與保護進行規範。以下簡要介紹該草案的內容

一、地域適用範圍

依該草案第3條,於下列情形,均有個人信息保護法的適用

(一)在中國大陸境內處理(包含個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動)自然人個人信息的活動。

(二)在中國大陸境外處理自然人個人信息的活動,且符合下列情形:
1.以向境內自然人提供產品或服務為目的。
2.為分析評估中國大陸境內自然人的行為。
3.法律、行政法規規定的其他情形。

二、個人信息的定義

依該草案第4條規定,所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息(不包括匿名化處理後的信息)。同時於草案第29條第2項將種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤與其他一旦洩漏或者非法使用可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息列為敏感個人信息,而需另外遵守特別規定(第29條至第32條)。

三、個人自主權保障

(一)自主同意與個人信息處理

倘個人信息的處理是基於個人的同意,應當在個人充分知情的前提下、自願、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定(第14條第1項),同時,個人有權撤回其同意(第16條)。

當個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應重新取得個人同意(第14條第2項)。另外,個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息時,應取得未成年人監護人的同意。

最後,除個人信息的處理是提供產品或服務所必須外,個人信息處理者不得以個人不同意處理個人信息或者撤回同意為由,拒絕提供產品或服務(第17條)。

(二)自動化決策相關權利

個人信息處理者利用個人信息進行自動化決策時,應保證決策的透明度和處理結果的公平合理。當個人認為自動化決策對其權益造成重大影響時,有權要求個人信息處理者說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

同時通過自動化決策進行商業營銷、信息推送時,個人信息處理者應同時提供不針對其個人特徵的選項。

(三)個人關於個人信息的權利

1.知情權(第44條)
2.決定權(第44條)
3.限制或拒絕個人信息的處理(第44條)
4.請求查閱、複製個人信息(第45條)
5.請求補充更正(第46條)
6.刪除權(第47條)

四、企業個人信息保護的義務

(一)個人信息保護原則的遵循

1.誠實信用原則(第5條)
2.目的特定原則、資料最小化原則(第6條)
3.公開透明原則(第7條)

(二)維持個人信息正確性(第8條)

(三)採取安全措施(第9條)
1.必要安全措施(第50條)
2.指定個人信息保護負責人,在中國大陸境外的個人信息處理者應於中國大陸境內設立專門機構或指定代表(第51條)。
3.定期審計(第53條)
4.風險評估(第54條)
5.個人信息洩漏通知義務(第55條)

(四)告知義務(第18條)

個人信息處理者在處理個人信息前,原則應以顯著方式、清晰易懂的語言向個人告知:
1.個人信息處理者的身份和聯繫方式;
2.個人信息處理目的、處理方式、處理的個人信息種類、保存期限;
3.個人行使本法規定權利的方式與程序;
4.法律、行政法規規定應告知的其他事項。

前述應告知事項變更時,應將變更部分向個人告知。

(五)保存期限(第20條)

個人信息的保存期限,除法律或行政法規另有規定外,應為實現處理目的所必要的最短時間。

(六)共同個人信息處理者(第21條)

該草案第21條類似GDPR共同控制者(joint controllers)的規定,規定兩個或兩個以上的個人信息共同決定個人信息處理目的和處理方式時,應約定各自的權利義務,該約定不影響個人向任何一個個人信息處理者行使本法規定的權利。

同時,個人信息處理者共同處理個人信息,侵害個人信息權益時,應依法承擔連帶責任。

(七)委託監督義務(第22條)

(八)個人信息轉移、提供之告知義務(第23條、第24條第1項、第39條)

個人信息處理者因合併、分立等原因須要轉移個人信息時,應向個人告知接收方的身份、聯繫方式。接收方應繼續履行個人信息處理者義務。接收方變更原先處理目的、處理方式時,應依照本法重新向個人告知,並取得同意。

另外個人信息處理者向第三方提供其處理的個人信息時,也應向個人告知第三方的身份、聯繫方式、處理目的、處理方式與個人信息的種類,且應取得個人的單獨同意。

(九)禁止第三方再識別(第24條第2項)

個人信息處理者向第三方提供匿名化信息時,第三方不得利用技術等手段重新識別個人身份。

五、跨境提供個人信息(第38條)

個人信息處理者因業務等需要,確需向中國大陸境外提供個人信息時,應符合以下其中之一的條件:
1.通過國家網信部門組織的安全評估;
2.按照國家網信部門的規定經專業機構進行個人信息保護認證;
3.與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護水準:
4.法律、行政法規或者國家網信部門規定的其他條件。

六、處罰規定(第62條)

違反本法處理個人信息,或未按照規定採取必要的安全保護措施,情節嚴重時,將由履行個人信息保護職責的部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下之罰款,並可責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時對直接負責的主管人員和其他直接責任人員最高處10萬元以上,100萬元以下的罰款。

綜觀中國大陸該份個人信息保護草案,儘管與我國個人資料保護法(下稱個資法)有許多相似之處(例如個人資料處理的合法事由、委託監督義務與部分當事人權利等),然而其個人信息保護法草案引入GDPR諸多概念,包含自動化決策、禁止再識別、個人信息保護負責人與個人信息跨境提供等規範,這些均為我國個資法所無。

另外該個人信息保護法草案有域外適用的規範,我國企業不僅與中國大陸通商頻繁,且均使用華語,倘該法通過,我國許多企業較其他國家業者容易被認定為有個人信息保護法之適用,我國企業宜密切注意該部草案立法動向,並事先部署個人資料保護管理制度,以利面對這波全球對於個人資料保護法立法或修法的浪潮。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

靠攏GDPR,日本通過新修正個人情報保護法

日本國會於今年(即令和2年)6月5日通過「個人資料保護相關法律部分修正法案(個人情報の保護に関する法律等の一部を改正する法律案)」,該法將於兩年後全面施行。

本次修法旨在提升個人資料當事人的自身意識、平衡創新運用與個資保護以及因應資料跨境流通伴隨的新型風險,其修訂重點如下:

一、當事人權利的強化

  1. 放寬請求停止利用個資權利的要件
    新增在危害該當事人的權利或正當利益等特定情況下,得請求業者停止利用其個資或請求停止向第三方提供個資。
  2. 當事人得指定個人資料的揭露(開示)方法,例如以電磁紀錄方式或個人資料保護委員會(個人情報保護委員會)所規定的方法。
  3. 當事人得請求揭露業者提供個資給第三方的紀錄。

二、加重業者的義務

  1. 個資事故通報與通知義務
    業者發生個資事故而可能嚴重危害個人權益之虞時,原則應依該法第22條之2規定通報個人資料保護委員會與通知個資當事人。
  2. 禁止個資不當使用
    依該法新修訂第16條之2的規定,業者不得以具有助長或誘發違法或不當行為疑慮的方法利用個資。
  3. 向第三方提供個資時的告知義務
    對第三方提供個資時,應事先告知當事人或使當事人可得而知(包含業者姓名或名稱及住址、法人負責人姓名與提供給第三方個資的取得方法等事項),而在向國外第三方提供個資時,必須事先向當事人提供該外國之個資保護相關制度、該第三方保護個資所採取的措施與其他相關資訊。

三、刑事處罰的加重

該法同時也提升刑罰的法定刑,例如對於違反個人資料保護委員會命令的行為人,將法定刑提高至1年以下有期徒刑或100萬日元(約新臺幣27萬元)以下罰金,而對法人的罰金上限則提高至1億日元(約新臺幣2741萬元)。

四、假名化資料(仮名加工情報)的規範

為促進資料創新運用,該法訂定假名化資料相關規定。除法定情形外,假名化資料不得提供予第三方,僅能內部使用。另外假名化資料也排除日本個人資料保護法部分規定的適用(如當事人請求揭露、請求停止利用等)。

五、鼓勵業者取得個資保護認證

依照新修正的規定,除現行制度外,業者也能以業者特定部門取得個資保護認證。

六、域外效力

該法第75條於本次修法後,明確規定對日本國內提供產品或服務的業者、在國外處理日本國內當事人個資的業者以及在國外使用日本國內當事人個資建立假名化或匿名化資料等情形,均有該法的適用。

七、國際承諾的誠實履行

依照該法第78條之2規定,明確表示施行該法時,應避免妨礙日本所簽訂的條約與其他國際承諾誠實履行,同時也必須遵守已經成立的國際法規。由於日本已取得歐盟適足性認定,因此該條規定的新增,是否會使日本的執法逐漸向歐盟一般資料保護規則(GDPR)靠攏,仍值得觀察。

日本不僅與我國交流頻繁,其同時也是亞洲地區第一個獲得歐盟適足性認定的國家,而這次域外效力的修訂與若干當事人權利提升以及企業義務加重,其對於個人資料保護法的修訂與未來執法方向,將對我國國內企業與修法帶來不小的影響。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

加州立法強化兒童的隱私保護

加州於今(2020)年9月8日,將由立法機關通過的父母責任與兒童保護法(Parent’s Accountability and Child Protection Act)提交給加州州長簽名。加州州長簽署後,該法將自2021年7月1日起,要求在加州經營社群媒體(social media)網站或應用程式的個人或企業,原則不得讓其實際知悉(actually knows)的未滿13歲兒童建立網站或應用程式的帳號,除非該網站或應用程式透過合理措施確保於建立帳號前取得該兒童父母或法定監護人的同意,例如透過以下方式:

  1. 簽署同意書,然後傳真、郵寄或掃描發送給個人或企業。
  2. 提供信用卡或其他線上支付系統資訊,為使用該帳號進行的每筆單獨交易通知父母或監護人。
  3. 撥打電話或視訊會議由以進行身份確認。
  4. 提供身份證件的副本。
  5. 回答一系列問題(除了兒童父母或監護人外的其他人難以回答的問題)。
  6. 提供附有照片的身份證明,能夠與父母或監護人提交的照片以臉部辨識方式進行比對。
  7. 提供符合1998年兒童線上隱私保護法(Children’s Online Privacy Protection Act of 1998)的可驗證父母同意(verifiable parental consent)。

同時該法規定,企業如故意無視消費者年齡則將視為實際知悉消費者的年齡。另外,除有必要,前述基於確認父母或監護人同意所蒐集的資料不得被保存或使用。

依照父母責任與兒童保護法,其中所指的社群媒體是指向大眾開的電子服務或帳號,能夠於公開或半公開的頁面發布內容或通訊(包括但不信於影片、照片或訊息)。

父母責任與兒童保護法與加州消費者隱私法( California Consumer Privacy Act of 2018)一樣,並未將規範對象明文限制於加州境內的企業或個人,因此只要於加州境內經營社群媒體網站或應用程式,即必須遵循前述規範。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

《華頓商學院最受歡迎的談判課》心得

「法律是什麼?」,在某個理應賴在床上的禮拜六早上,教授穿梭在同學之間,不斷詢問學生的看法。從在教室內為什麼有人選擇不戴口罩、為何多數人在台北捷運的電扶梯都靠右站,再到紅綠燈號誌的遵守。一個又一個的問題,讓人深思法律到底是什麼?

從事法律工作之後,我就深深體會到法律的重點不在於法條,而在於「人」,不論是與客戶溝通、調解、和解或訴訟,每個階段都難免與人打交道,因此在某次翻閱到這本《華頓商學院最受歡迎的談判課》時,便將他帶回家。這本書儘管無法讓人一朝一夕就成為「喬王」,但是如果不斷試著去嘗試實踐裡面所提到的一些方法,有時候確實能讓人取得令人滿意的結果。

不是每個人天生都是談判高手,至少我不是。還記得某次要跟老闆談薪水的時候,他很明白的對我說:「如果你多拿,就是我少拿。」,然而直到我看完這本書之後,才瞭解到談判不是只有單方全輸或全贏的結果,而是彼此透過合作,實現各自的目標,然後各取所求。

書本中列出以下12種談判技巧:

  1. 目標至關重要
  2. 以對方為主
  3. 動之以情
  4. 因時因地制宜
  5. 循序漸進
  6. 交換評價不相等的東西
  7. 找出對方認定的標準
  8. 保持透明、建設性,但不操弄
  9. 隨時溝通、開誠布公,表述願景
  10. 找出真正的問題,化問題為機會
  11. 接納彼此的差異
  12. 做好準備,列出清單並事先練習

其中最讓我印象深刻的是「7.找出對方認定的標準」。曾經與某間公司的法務主管交手,一開始以電話與信件來往討論議題時,他與高層堅持自身的想法,毫不退讓。直到我前往該公司拜訪時,剛好在其門口看到洋洋灑灑寫著公司政策與守則,當下便聯想到前述方法。

作者提到,由於人類心理「討厭自我否定」的原則,在「符合自己的標準(呼應之前說過和承諾的事情)」與「違反自己的標準」,一般人通常會盡量選擇前者。

因此,後來在會議室討論的時候,除了法律面的分析,也稍微稱讚一下公司門口記載的政策與守則,引導後續對話,最後則是在雙方的討論中商量出彼此都能接受的方案。

書裡面所列出的技巧或許不是每次都有用,不過只要不斷得練習,在適當的時機使用,總會有較大的機會取得不錯的結果。