從抖音案看中國大陸個人資料保護的發展

(本文主要介紹中國大陸法制與判決,相關用語均尊重原文)

中國大陸第13屆全國人民代表大會(下稱全國人大)第3次會議於今(2020)年5月28日表決通過了「中華人民共和國民法典(下稱民法典)」,民法典將於2021年1月1日起開始實施,民法典第1032條至第1039條針對隱私權與個人信息(即個人資料,以下為尊重原文與統一用語,將以個人信息稱之)制定基礎的保護原則、定義個人信息的概念、載明個人信息處理的合法基礎、規範個人信息處理者的義務、自然人就個人信息的權利與行政機關的職責等事項。另外,中國大陸的國家市場監督管理總局與國家標準化管理委員也於今年發布「GB/T 35273-2020信息安全技術個人信息安全規範」,將於今年10月1日正式實施,其針對「多項業務功能的自主選擇」、「用戶畫像(profiling)的使用限制」、「個性化展示的使用」、「基於不同業務目的所收集個人信息的匯聚融合」、「第三方接入管理」、「個人信息安全工程」、「個人信息處理活動紀錄」、「徵得授權同意的例外」、「個人信息主體註銷帳戶」、「明確責任部門與人員」以及「個人生物識別信息」等內容進行增加與修改。而全國人大常委會也於今年表示預計將「個人信息保護法」與「數據安全法」等草案提請審議,可以看得出中國大陸對於制定個人信息保護相關規範的重視。

另外北京互聯網法院於2020年7月30日就抖音App侵害個人權益一案進行一審判決(下稱本案),認定抖音App構成原告個人信息權益的侵權行為,成為網路時代下中國大陸關於App蒐集、處理與利用個人信息的典型判決。以下將簡要介紹本案的內容。

個人信息的定義

中華人民共和國民法總則(下稱民法總則)第111條規定:「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或公開他人個人信息。」,另依網路安全法第76條第5項規定:「個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。」

本案判決認為,根據前揭規定,構成個人信息應滿足「可識別性」與「有一定的載體」兩個要件。「有一定的載體」是構成個人信息的形式要件,即個人信息應以電子或其他方式記錄,沒有一定載體記錄的信息無法構成個人信息。所謂可識別性,包含對於個體身份的識別(是誰)、個體特徵的識別(是什麼樣的人),同時在考量是否具可識別性時,不應機械割裂得對每一個單獨信息進行判斷,而應結合具體場景,以信息處理者處理的相關信息組合進行判斷。

本案所涉及的姓名、手機號碼與地理位置信息均構成個人信息

本案中,原告主張被告(北京微播視界科技有限公司)於2019年2月9日原告註冊使用抖音App前收集、存儲、使用其姓名及涉案手機號碼的行為構成侵權。法院判決認為,姓名是自然人作為社會個體與他人進行區別,在社會生活中具備可識別性的稱謂或符號。手機號碼是電話管理部門為手機設定的號碼,隨著「手機實名制」政策的推行和普及,手機號碼與特定自然人的關連性愈加緊密,因此自然人的姓名與其使用的手機號碼無論單獨或組合均具有可識別性,屬於個人信息。

另外針對地理位置信息部分,根據抖音App的「隱私政策」,其對「個人信息」的解釋包括「個人位置信息」,對「個人敏感信息」包括「精準定位信息」。可見「隱私政策」中的個人位置信息亦非僅限於「精準定位信息」。同時因為手機號碼具有可識別性,在收集手機號碼的情形下,被告收集的位置信息與手機號碼信息組合,能夠識別到特定人,屬於個人信息,與該位置的精確程度無關,因此地理位置信息也屬於個人信息。

本案所涉及的信息蒐集、處理與使用構成原告個人信息權益的侵害

一、被告於2019年2月9日原告註冊抖音App前收集、存儲原告姓名和手機號碼並使用的行為並未徵得原告同意

本案被告通過讀取其他手機用戶通訊錄的方式獲得原告姓名和手機號碼,並在原告註冊後向其推薦可能認識的人。被告對原告姓名和手機號碼的處理可以分為三個階段,而被告於第一階段與第三階段,針對原告姓名和手機號碼並使用的行為並未徵得原告同意:

1.第一階段:2019年2月9日前被告通過向其他手機用戶申請授權收集並存儲了其他手機用戶的手機通訊錄信息,其中包含了原告的姓名和手機號碼,此時原告尚未註冊使用抖音App,被告在未徵得原告同意的情況下對手機號碼為處理。

2.第二階段:2019年2月9日原告使用手機號碼註冊抖音App時,被告收集並存儲了原告註冊時提供的手機號碼,原告註冊的行為應視為其同意被告收集其手機號碼。

3.第三階段:被告使用原告第二階段註冊使用的的手機號碼與第一階段從其他手機用戶手機通訊錄中收集、存儲的手機號碼進行匹配,並向原告推薦「可能認識的人」。被告雖主張該階段信息處理行為已透過「隱私政策」告知原告,但根據隱私政策內容:「你使用推薦通訊錄好友功能時,在獲得你的明示同意後,我們會將你通訊錄中的信息進行高強度加密算法處理後,用於向你推薦通訊錄的好友。」,法院認為該內容應指,被告讀取原告通訊錄後,向原告進行推薦,並非從他人通訊錄收集原告手機號碼並向原告推薦,兩種收集方式與推薦邏輯並不完全相同,不能視為被告已經告知並徵得原告同意。

二、被告未徵得原告同意處理其姓名和手機號碼的行為,構成對原告該項個人信息的侵害

本案法院認為,被告對於姓名和手機號碼的使用,會涉及手機用戶、通訊錄聯繫人與互聯網行業發展的不同利益需求的平衡,應從姓名和手機號碼「信息的特點與屬性」、「信息使用的方式和目的」、「對各方利益可能產生的影響」等面向進行分析。儘管本案被告讀取手機通訊錄時不可避免得會讀取原告的手機號碼,但讀取和匹配行為並不會對原告產生打擾,也通常不會不合理得損害原告利益,且有利於滿足其他有社交需求用戶的利益及行業和社會發展的需要,屬於對該信息的合理使用。

然而法院特別強調,該合理使用仍應符合處理個人信息的合法、正當、必要原則。本案中,原告未註冊時,不存在在抖音App中建立社交關係的可能,被告從其他用戶手機通訊錄收集到原告姓名和手機號碼後,通過匹配可以知道軟件內沒有使用該手機號碼作為帳戶的用戶,應及時刪除該信息,但被告並未及時刪除,直到原告起訴時,該信息仍存儲於被告的後台系統中,超出必要限度,故不屬於合理使用,構成對原告該項個人信息權益的侵害。

三、被告未徵得原告同意收集原告的地理位置信息,構成對原告該項個人信息的侵害

依據原告所提交的公證書顯示,原告下載抖音App後,在瀏覽「用戶隱私政策概要」及「隱私政策」之前,抖音App主頁視頻上方即顯示原告公證時公證處所在城市「成都」。在原告使用手機號碼登錄後,主頁視頻上方同樣顯示「成都」,隨後才彈窗詢問「允許訪問你的位置?你的城市信息將會在個人主頁上展示,可在資料頁手動修改或取消展示」。顯然,無論原告是否同意允許訪問其「位置」,被告已經在詢問前收集到該信息。

被告雖主張其通過IP地址獲得模糊的地理位置信息,然而未提交證據證明。縱使其陳述屬實,作為軟件經營者在互聯網信息交互時獲得了用戶的IP地址,但IP地址並不必然等同於地理位置,通過IP地址去分析用戶所在地理位置並在軟件中進行顯示,屬於對信息的進一步處理和使用,同樣需要徵得用戶的同意,否則依然構成對個人信息的不當使用和過度處理。同時根據抖音App的「隱私政策」條款:「你發布音視頻等信息並選擇顯示位置時,我們會請求你授權地理位置這一敏感權限,並收集與本服務相關的位置信息。這些技術包括IP地址、GPS……」,可知根據「隱私政策」通過IP地址獲得地理位置亦應徵得用戶同意。故被告在未徵得原告同意情況下收集原告的地理位置信息,構成對原告該項個人信息的侵害。

四、被告責任

1.被告應於判決生效日刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息

依中華人民國共和國侵權責任法(下稱侵權責任法)第15條規定:「承擔侵權責任的方式主要有:(一)停止侵害;(二)排除妨礙;(三)消除危險;(四)返還財產;(五)恢復原狀;(六)賠償損失;(七)消除影響、恢復名譽。」另網路安全法第43條規定:「個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。」

本案法院認為,依照前述規定,信息主體要求網路運營者刪除違法收集的個人信息時,無需以構成實際損害為前提。另原告雖要求被告停止使用並刪除2019年2月9日前收集、存儲的其姓名和手機號碼的個人信息與未經授權收集、存儲的地理位置信息,然而就責任承擔的方式,刪除信息即可以實現停止使用。因此,原告得要求被告刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息。

2.被告應於判決生效日起7日內,以書面形式向原告道歉

依照最高人民法院關於審理利用信息網路侵害人身權益民事糾紛案件適用法律若干問題的規定第16條:「人民法院判決侵權人承擔賠禮道歉,消除影響或者恢復名譽等責任形式的,應當與侵權的具體方式和所造成的影響範圍相當。」由於被告侵權行為發生在抖音App中,並未給原告造成向抖音用戶公開的大範圍影響,因此考量被告的侵權方式和所造成影響範圍,法院判決被告應以書面方式向原告道歉。

3.被告應於判決生效日起7日內賠償原告經濟損失1000元與維權合理費用4231元

依照侵權責任法第20條規定:「侵害他人人身權益造成財產損失的,按照被侵權人因此受到的損失賠償;被侵權人的損失難以確定時,侵權人因此獲得利益的,按照其獲得的利益賠償;侵權人因此獲得的利益難以確定,被侵權人和侵權人就賠償數額協商不一致,向人民法院提起訴訟的,由人民法院根據實際情況確定賠償數額。」

本案法院認為,對個人信息的消極利用會給信息主體帶來人身和財產受到侵害的風險,對個人信息的積極利用會給使用者帶來利益。個人信息是數據的重要來源之一,而數據作為新型生產要素又是數字經濟發展的基礎,對於個人信息的採集和利用必然會帶來商業價值和經濟利益。儘管本案原被告均未就原告因個人信息權益受到侵害所遭受的財產損失或被告因此獲得利益的部分提出相關證據,但被告對個人信息的採集和利用必然會為其商業運贏帶來利益。因此判決被告在未徵得原告同意情況下採集原告的個人信息並加以利用的行為,應進行一定的經濟賠償,並考量本案情況酌定賠償數額為1000元(約新臺幣4272元),被告並應賠償原告的維權合理費用(公證費支出)4231元(約新臺幣18075元)。

結語

在數位時代下,消費者所使用的每項產品,其背後的技術與邏輯往往把持於經營者手上,就連法院也必須依據手上現有的證據逐一抽絲剝繭,並且透過專家的協助,才有可能稍稍瞭解其背後的真相。儘管本案判決的賠償金額不高,但其針對抖音App蒐集、處理與利用個人信息的過程,細緻區分每個階段流程,並加以分析判斷各階段流程個人信息處理的合法性,實屬難得。

同時該案判決也於末段強調,因為技術能力,普通網路用戶很難瞭解其個人信息如何被處理和利用,其對網路空間中的個人信息和私人領域的控制力更為減弱。因此互聯網企業更需要從保護用戶權利的角度,合法合規得設計產品模式、開發技術應用。規範個人信息的處理行為並不會影響行業發展,反而會促使技術在個人信息保護方面不斷創新進步。企業可以透過諸如完善隱私政策內容和告知形式、對信息不可復原的匿名化處理等產品模式和技術創新的方式,在加強隱私權和個人信息保護的前提下,促進互聯網行業的發展,而非對公民個人權益和行業發展非此即彼的取捨,互聯網企業應承擔其應盡的法律責任和社會責任。

觀諸中國大陸現行與即將施行的民法典中關於個人資料保護的法令,儘管難謂完善,其仍尚待一部完整的個人資料保護法,然而從本案中可以看出,現時於中國大陸侵害自然人個人資料的權益仍有相對應的法律責任。同時今年10月1日實施的「GB/T 35273-2020信息安全技術個人信息安全規範」,其中已有歐盟一般資料保護規則(GDPR)的影子,未來中國大陸關於個人資料保護的規範,或許會有朝GDPR靠攏的趨勢。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答

資料保護:當量子計算遇見後量子密碼系統

量子計算(Quantum Computing )可以對科學發展帶來巨大的好處,但研究人員同時也認為,一旦發展起來,將可能破壞現在使用的加密技術,危及對於資料的保護。

什麼是量子計算

量子力學為當今的電腦處理資訊的方法開拓出另外一條道路,傳統電腦以位元儲存與處理資訊,1個位元的狀態可以是1或0,但兩者不會同時存在。而量子計算中所使用的是量子位元(quantum bits, or qubits),由於量子的疊加現象,量子位元可以既是1也是0,也可以是兩者之間的任何值。

舉例來說,在兩個位元情形,傳統電腦上每個位元會儲存1或0,組合起來可以有4個可能值(00、01、10與11),然而1次只能儲存其中一個值。而對於量子位元,每個量子位元可以是1、0或兩者,因此可以同時表示前述4個值。如果有3個量子位元,就可以表示8個值(2的3次方),有4個量子位元就可以表示16個值(2的4次方),以此類推。由於量子計算不僅可以對確定的值進行運算,還可以同時對所有可能的疊加進行運算,所以在特定的任務中,量子計算比傳統2進位計算方式具有效率。

對於資料保護的衝擊

量子計算對於資料保護產生重大衝擊的原因很多,原因之一是破解密碼的能力。量子計算可能會破壞現今許多傳統的加密技術,進而嚴重影響IT的安全性,幾乎所有需要安全性、隱私或信任的系統都會受到影響。

對於非對稱式密碼系統的影響

非對稱式密碼系統(asymmetric encryption),又稱為公開金鑰密碼系統(Public-key cryptography),是透過兩個金鑰(公鑰與私鑰)進行加解密。RSA演算法(Rivest-Sharmir-Adleman algorithm)即是屬於非對稱式密碼系統,通常用於在網路發送敏感資料的情形,RSA演算法允許公鑰和私鑰對資訊進行加密,因此可以確保資訊的機密性與真實性。

由於非對稱式密碼系統是奠基於傳統電腦難以解開的數學難題(例如對極大整數進行質因數分解,想像一下10961是由哪2個質數相乘?),需要透過結合公鑰與私鑰才能順利解開。

以RSA-768為例,其表示如下:1230186684530117755130494958384962720772853569595334792197322452151726400507263657518745202199786469389956474942774063845925192557326303453731548268507917026122142913461670429214311602221240479274737794080665351419597459856902143413
= 33478071698956898786044169848212690817704794983713768568912431388982883793878002287614711652531743087737814467999489×
36746043666799590428244633799627952632279158164343087642676032283815739666511279233373417143396810270092798736308917

然而量子計算強大的計算能力,將可能危及到現在的非對稱式密碼系統,攻擊者可以在不事先知道私鑰的情形下進行解密,進而影響到數位簽章(digital signatures)、線上購物與網路銀行等所必須的網路協定,例如HTTPS (TLS)。以我國為例,自然人憑證即是透過RSA加密來確認使用者身份。

對於對稱式密碼系統的影響

量子計算同時也會對於對稱式密碼系統(symmetric cryptography)造成影響(例如Advanced Encryption Standard, AES),透過Grover演算法(Grover’s algorithm)進行暴力破解,可以將破解難度減少到其平方根,因此AES128的強度將降低到2的64次方,AES256的強度則會降低為2的128次方。

後量子密碼系統

根據美國國家標準暨技術研究院(US National Institute of Standards and Technology, NIST)的報告,量子計算將對現行常用的加密演算法造成重大影響(如下表),因此便需要及早準備一個能夠對抗量子計算的密碼系統。

加密演算法類型目的來自大型量子電腦的衝擊
AES對稱加密需要更大的金鑰長度
SHA-2, SHA-3雜湊函數需要更多的輸出
RSA公鑰簽章,金鑰交換不再安全
ECDSA, ECDH
(橢圓曲線加密, elliptic curve cryptography)
公鑰簽章,金鑰交換不再安全
DSA(Finite Field Cryptography)公鑰簽章,金鑰交換不再安全
量子電腦對常用加密演算法的衝擊

後量子密碼系統(Post-quantum cryptography)是指透過使用量子電腦無法比其他電腦更有效求解的數學運算,達到其安全性不受量子電腦影響的密碼學。然而後量子密碼系統同時也會需要更大的運算資源進行加解密、對數位簽章進行簽名驗證,並且需要更多的網路資源來交換更長的金鑰與憑證。

儘管依目前的理解,在可預測的未來,量子電腦不會立即構成威脅,然而由於這樣的不可預測性,同時也會帶來IT的安全風險。因此NIST便開始徵求、評估與標準化後量子加密的標準,目前已有7個演算法進入決選,未來將從裡面選出對抗量子電腦的方法。

參考資料
1.EUROPEAN DATA PROTECTION SUPERVISOR〔EDPS〕, TechDispatch #2/2020: Quantum Computing and Cryptography, https://edps.europa.eu/data-protection/our-work/publications/techdispatch/techdispatch-22020-quantum-computing-and_en.
2.Microsoft, 〈了解量子計算〉, https://docs.microsoft.com/zh-tw/quantum/overview/understanding-quantum-computing
3.研之有物, 〈量子電腦到底有多霸氣?即將引爆終極密碼戰?!〉, https://research.sinica.edu.tw/chung-kai-min-quantum-computer-cryptography/
4.Lane Wagner, Is AES-256 Quantum Resistant?, https://medium.com/@wagslane/is-aes-256-quantum-resistant-d3f776163672.
5.余至浩, 〈【臺灣資安大會直擊】為對抗量子電腦攻擊手法,後量子加密PQC演算法有望變成未來全球加密與數位簽章新標準〉, iThome, https://www.ithome.com.tw/news/139334
6.NIST, NIST’s Post-Quantum Cryptography Program Enters ‘Selection Round’, https://www.nist.gov/news-events/news/2020/07/nists-post-quantum-cryptography-program-enters-selection-round.
7.Lily Chen (NIST), Stephen Jordan (NIST), Yi-Kai Liu (NIST), Dustin Moody (NIST), Rene Peralta (NIST), Ray Perlner (NIST), Daniel Smith-Tone (NIST), Report on Post-Quantum Cryptography, https://csrc.nist.gov/publications/detail/nistir/8105/final.

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答

歐盟法院Schrems II案與常見問答

歐盟法院(Court of Justice of the European Union, CJEU)於今(2020)年7月16日針對 Schrems II case (case C-311/18)作出先行裁決(preliminary ruling),該裁決認定歐盟-美國隱私盾框架(EU-U.S. Privacy Shield framework)因違反歐盟一般資料保護規則(GDPR)而無效,影響成千上萬依賴歐美隱私盾框架的組織。

同時該裁決雖然並未否定歐盟執委會(European Commission)所發布的標準契約條款(Standard Contractual Clauses, SCC)的效力,然而歐盟法院認為,組織在依賴SCC進行個人資料傳輸到第三國前,應確保符合充分的資料保護程度,例如適當安全措施(appropriate safeguards)、資料主體可主張的權利(enforceable rights)與有效的法律救濟途徑(effective legal remedies),否則即應暫停或終止資料的傳輸。

在 Schrems II case出來後,歐盟資料保護委員會(European Data Protection Board, EDPB)與美國商務部(The U.S. Department of Commerce)也分別針對該案發布常見問答,本文整理前述常見問答重點如下。

歐盟EDPB

  • 在歐盟法院 Schrems II case 裁決出來後,由於法院評估美國法律並未提供與歐盟本質上相同(essentially equivalent)的個資保護水準,因此不得再基於歐美隱私盾框架傳輸個人資料至美國,同時沒有任何寬限期(grace period)。
  • EDPB將評估 Schrems II case 對GDPR第46條其他機制的影響(包含行為準則與認證機制),該裁決明確指出GDPR第46條所謂適當安全措施(appropriate safeguards)是採取「本質上相同(essential equivalence)」標準,同時GDPR第46條所列的機制,依據GDPR第44條規定,必須確保GDPR對當事人保護程度不受減損。
  • 組織仍然可以依據GDPR第49條第1項規定將個人資料移轉到歐盟境外,但仍應注意以下事項:
    1. 基於資料主體同意傳輸時
      • 明確的;
      • 限於特定的、一組的資料傳輸;
      • 被告知,尤其是關於傳輸的潛在風險。
    2. 基於履行契約必要
      該例外僅限於因履行契約而「客觀上有必要(objectively necessary)」,且為「非常態的(occasional)」資料傳輸的情形。
    3. 基於公共利益重要原因的必要傳輸
      儘管該例外並未限於「非常態的」資料傳輸,但EDPB強調例外情形不應成為原則,資料傳輸者應確保資料傳輸符合嚴格必要的檢驗(strict necessity test)。
  • 組織仍然可以依據SCC與拘束性企業守則(Binding corporate rules, BCR)將個人資料傳輸到歐盟境外,但仍應遵循歐盟法院於Schrems II case 所作成的標準,同時並應注意:
    1. 依具體個案判斷資料傳輸情況與歐盟境外法律,確認該國是否具有充分的資料保護程度,以及視情況採取相應補充措施。
    2. 歐盟法院強調,進行此項評估是資料傳輸者(data exporter)與資料接收者(data importer)的義務。
  • 組織基於資料控制者(controller)的地位,透過資料處理者(processor)處理個人資料時,依GDPR第28條第3項,應確保處理者關於資料傳輸到歐盟境外的行為已取得控制者的授權(須注意,即使基於管理目的從歐盟境外存取資料,仍然構成傳輸至歐盟境外)。
  • 倘依GDPR第28條第3項所作成的契約約定個人資料將傳輸到美國,然而沒有其他補充措施可以確保符合與歐盟法律本質相同的資料保護程度,同時也沒有GDPR第49條所列例外情形,則唯一的解決方式就是談判與修改契約內容,禁止資料傳輸至美國,資料應在美國之外的地區儲存與管理。如組織將資料傳輸到美國以外的第三國,則應評估該國家的法律,以檢視是否符合歐盟法院的要求與預期的個人資料保護水準,倘沒有適當傳輸到第三國的理由,則不應進行傳輸,僅能在歐盟境內處理個人資料。

美國商務部

  • 根據歐盟法院2020年7月16日 Schrems II case 的裁決,當組織將個人資料從歐盟傳輸到美國時,歐美隱私盾框架不再是遵守歐盟GDPR的有效機制。然而現行歐美隱私盾框架參與者仍應遵守隱私盾框架內的相關義務。
  • 美國商務部將繼續管理「隱私盾計畫」,包含處理自我認證的申請、更新認證與維護隱私盾列表。
  • 組織倘希望繼續留在隱私盾列表中,每年仍然須要進行更新認證。
  • 組織繼續參與歐美隱私盾,係表明了根據一系列隱私原則保護個人資料的承諾,對於歐盟的個人提供了有意義的隱私保護與資源。
  • 另外美國商務部同時也指出,瑞士-美國隱私盾框架(Swiss-U.S. Privacy Shield Framework)不受歐盟法院 Schrems II case 裁決拘束。

結論

歐盟法院 Schrems II case 的裁決,影響的不僅是歐美隱私盾框架的效力,從歐盟EDPB的常見問答中可以知悉,歐盟法院對於SCC的要求與標準,將影響GDPR第46條所列的行為守則與BCR等機制,甚至影響其他國家同樣仰賴前述機制進行資料傳輸的組織。未來歐盟組織資料傳輸時,資料傳輸者與資料接收者都有義務評估該歐盟境外國家的法律對於歐盟資料主體的資料保護程度是否與歐盟法律本質上相同,如果答案是否定的,且沒有其他可行的補充措施或例外情形,則組織不應進行資料傳輸,該等資料的處理僅能於歐盟境內為之。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發

挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發

挪威資料保護主管機關Datatilsynet日前宣布政府已提撥300萬克朗以啟動監理沙盒(Regulatory Sandbox),為人工智慧(Artificial Intelligence, AI)開發提出良好的解決方案。挪威並不是第一個提出類似構想的國家,英國資訊委員辦公室(Information Commissioner’s Office, ICO)於去年便針對資料保護設置監理沙盒,目前已有十家組織參與該監理沙盒試驗階段。而印度最近所提出個人資料保護法修法草案也明文將監理沙盒納入其中,希望針對人工智慧等新興科技設立一個監理沙盒,以鼓勵人工智慧、機器學習(Machine-learning)或其他符合公共利益之新興科技的創新。

什麼是監理沙盒?

對於希望在政府監督下嘗試新產品,技術和服務的組織而言,監理沙盒是一個安全的測試環境。組織可以透過監理沙盒對相關法律規定有更多的瞭解,而主管機關也將對創新科技的技術有更多的認識,而可以輕鬆得識別風險或其他問題。

監理沙盒的目的?

挪威資料保護主管機關表示,監理沙盒總體目標是促進道德和負責任的人工智慧創新。人工智慧開發與實施的成功關鍵,取決於社會大眾對於系統的安全性、公平性與對個人資料的正確處理具有信心。儘管可能很多人認為隱私與創新是互斥的概念,然而恰恰相反,缺乏嚴格的隱私保護才會阻礙創新的腳步。因此,依照隱私保護法規開發人工智慧系統將有助於大眾對於該技術的信心。

監理沙盒中會發生什麼?

組織可以在監理沙盒框架內,接受挪威資料保護主管機關的指導以開發創新服務,監理沙盒不會賦予組織就資料保護法規的豁免,但能夠於項目開發階段中豁免相關執法措施。

監理沙盒將會開放予利用個人資料開發創新產品與服務的企業,且必須證明其產品與服務具有公共利益。

挪威資料保護主管機關表示,企業透過參與監理沙盒,將可以瞭解隱私法規要求,協助企業縮短從開發、測試到實際於市場運行的時間,同時參與監理沙盒的企業也會作為範例,藉此幫助其他開發類似產品或服務的公司。

我國資料保護監理沙盒芻議

我國目前於金融科技發展與創新實驗條例與無人載具科技創新實驗條例的監理沙盒中,雖然對於資訊安全措施與個人資料保護等面向有相關規定,然而考量未來所面臨到個人資料創新利用的產業恐怕不會只侷限於金融科技或無人載具的創新,因此我國未來或許可考慮一個全面的資料保護監理沙盒,作為平衡產業創新與隱私保護的工具。

※歡迎按讚、追蹤還有分享喵喵科技法律隨筆的粉絲團!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.不如換AI當法官試試看?
3.投資個資保護的價值?
4.加拿大隱私專員辦公室提出AI監管方案
5.紐約SHIELD ACT

怎麼寫遺囑?

「未知生,焉知死。」幾千年前古人的一句話,影響了我國民眾對於提及後事的看法,不過最近Youtube上由《我是老爸,我不要當爸》所發起的「我的遺囑」活動,邀請志銘狸貓魚乾蕾菈等知名yotuber一同錄製並上傳自己的遺囑,究竟像這樣錄音錄影的方式,是否會有法律上「遺囑」的效力,讓我們下面為大家來說明。

根據民法第1189條的規定,遺囑必須依照法律規定的形式,因此民眾的遺囑只有在符合法律規定的自書遺囑、公證遺囑、密封遺囑、代筆遺囑與口授遺囑的要求下,才會具有「遺囑」的法律效力,遺囑中的內容才會有法律加以保障,確保遺囑的內容能夠依照民眾的意志來去執行。

一、自書遺囑

民法第1190條規定,「自書遺囑者,應自書遺囑全文,記明年、月、日,並親自簽名;如有增減、塗改,應註明增減、塗改之處所及字數,另行簽名。」簡單說,如果要符合「自書遺囑」,必須自己書寫遺囑,同時須於遺囑上簽名並且記清楚年月日,也就是說「自書遺囑」必須符合遺囑人自書遺囑全文、記明年月日、親自簽名等三個要件,才是有效的遺囑(最高法院28年上字第2293號判例意旨參照)。

至於以電腦打字的方式是否符合「自書遺囑」,由於遺囑制度在於尊重立遺囑人之遺志,而遺囑是在立遺囑人死亡後才發生效力,該遺囑的內容是否確為立遺囑人的本意已無從查證,為避免與遺囑有關的人之間發生爭執,以及確保立遺囑人的真意,而規定遺囑必須依一定之方式為之,才具備遺囑的效力,而如果遺囑以電腦打字的方式撰寫,實際上不僅難以證明該份遺囑是由立遺囑人以電腦親自繕打,同時實務上也認為民法第1190條對於「自書」的定義是指立遺囑人以「親筆書寫」之方式為之,才能透過筆跡鑑定的方式認定是否為本人書寫,在還沒修法前,不應該擴張解釋為包含以電腦打字的方式,因此以電腦打字的方式撰寫遺囑並不符合民法第1190條「自書遺囑」的規定(最高法院102年度台上字第900號民事裁定參照)。

依照前述實務見解,連電腦打字都不符合民法第1190條「自書遺囑」的規定,以錄音錄影的方式甚至是將其上傳Youtube或Podcast的話也不會構成「自書遺囑」。

二、公證遺囑

公證遺囑較自書遺囑慎重,雖可透過公證人與見證人確保立遺囑的人的真意,避免事後的爭執,但程序上較為麻煩,依照民法第1191條第1項的規定,須由遺囑人指定二人以上的見證人,並在公證人前口述遺囑意旨,由公證人筆記、宣讀、講解,經遺囑人認可後,記明年、月、日,由公證人、見證人及遺囑人同行簽名,才符合民法第1191條「公證遺囑」的規定。

公證遺囑須由立遺囑人於公證人前「口述」,此處的「口述」指以口頭陳述、言詞的方式為之,不得以其他舉動表達(最高法院102年度台上字第2141號民事裁定參照),另外公證遺囑的見證人必須於遺囑人立遺囑時始終親自在場,如見證人其中一人中途離去,僅留一人在場時,則不符合「公證遺囑」的方式(最高法院102年度台上字第98號民事判決參照),這些都是公證遺囑時須要特別注意的地方。

三、密封遺囑

密封遺囑(不是蜜蜂遺囑),依民法第1192條第1項規定,立遺囑人應於遺囑簽名後,將遺囑密封,並於封縫處簽名後向公證人提出(如遺囑不是立遺囑人本人書寫,須同時陳述繕寫人之姓名、住所),由公證人於封面記明該遺囑提出之年、月、日及遺囑人所為的陳述,與遺囑人及見證人一同簽名。

四、代筆遺囑

民法第1194條規定,「代筆遺囑,由遺囑人指定三人以上之見證人,由遺囑人口述遺囑意旨,使見證人中之一人筆記、宣讀、講解,經遺囑人認可後,記明年、月、日及代筆人之姓名,由見證人全體及遺囑人同行簽名,遺囑人不能簽名者,應按指印代之。」當遺囑人不便書寫或不識字時,此時便可以透過代筆遺囑,由遺囑人口述遺囑意旨,使見證人中之一人筆記、宣讀、講解遺囑內容,經遺囑人認可後,記明年、月、日及代筆人的姓名,由見證人全體及遺囑人一同簽名。

「代筆遺囑」中所謂「使見證人中之一人筆記」,依照實務見解,由於法律並未規定「筆記」的方式,因此只需將遺囑意旨以文字表明即可,所以不論是由代筆見證人親自書寫,或是由代筆見證人起稿而後以打字方式為之,都符合「代筆遺囑」的規定。(最高法院86年度台上字第432號民事判決參照)。

另外,民法第1194條中關於「使見證人中之一人筆記、宣讀、講解遺囑內容」的部分,最高法院認為,遺囑的筆記、宣讀與講解並不一定都須要由同一個見證人完成,避免增加法律所沒有的限制(最高法院105年度台簡上字第36號民事判決參照)。

五、口授遺囑

口授遺囑是唯一可以透過「錄音方式」作成的遺囑,然而依民法第1195條規定必須限於「遺囑人因生命危急或其他特殊情形,不能依其他方式為遺囑者」的情形,才可以用下列的方式為口授遺囑:
1.由遺囑人指定二人以上之見證人,並口授遺囑意旨,由見證人中之一人,將該遺囑意旨,據實作成筆記,並記明年、月、日,與其他見證人同行簽名。(筆記口授遺囑)
2.由遺囑人指定二人以上之見證人,並口述遺囑意旨、遺囑人姓名及年、月、日,由見證人全體口述遺囑之為真正及見證人姓名,全部予以錄音,將錄音帶當場密封,並記明年、月、日,由見證人全體在封縫處同行簽名。(錄音口授遺囑)

當遺囑人死亡後,應由見證人中之一人或利害關係人,於遺囑人死亡後三個月內,提交給親屬會議認定其遺囑真偽,如對於親屬會議之認定如有異議,得聲請法院判定之(民法第1197條參照)。

另外,由於口授遺囑的前提是「遺囑人因生命危急或其他特殊情形,不能依其他方式為遺囑者」的情形,因此當遺囑人能依其他方式為遺囑的時候起,口授遺囑經過三個月而失去效力(民法第1196條參照)。

最後民法第1195條第1款與第2款分別為筆記口授遺囑與錄音口授遺囑,而民法第1195條第2款雖規定「錄音」與「將錄音帶當場密封」等要件,然而考量現今科技技術,而且原則上錄影會包含錄音的內容,此處或許可以包含透過手機、錄音筆錄音、或錄影後當場燒錄為光碟並密封的情形。

結語

Youtuber們「我的遺囑」活動立意出發良善,讓人省思以及感謝周遭的人事物,並且思考身後財產的分配,然而筆者也必須提醒像這樣以錄影方式作出的「遺囑」,並不符合前面所列出的合法遺囑的情形,因此在民法上並無法構成具有法律效力的「遺囑」,前面提及的Youtuber們有些也有於說明欄特別提醒這個部分。以下本文會簡單整理五種法定遺囑的要件,讓大家比較清楚其中的不同。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護

除了告他還能告誰,個資外洩與系統商責任

最近又傳出購物網站發生個資外洩,導致民眾受到詐騙,損失金額高達2000多萬元。一般民眾通常遇到個資外洩時,通常會選擇向個資外洩的公司求償,不過除此之外,依具體案件情形,民眾也可以考慮一併向維護該公司網站或系統的廠商(下稱系統商)求償,最近便有藝人於A公司的網站上訂購商品,因此於該網站留存姓名、手機號碼、E-mail、地址等個人資料,之後居然發現於Google搜尋引擎可以搜尋到她的個人資料,經過法院審理後,認為維護網站的系統商(B公司)與負責該專案的專案經理應負連帶賠償責任,以下是該臺灣雲林地方法院108年度六簡字第198號民事判決的簡要整理與分析。

一、被告B公司與負責該專案的專案經理應負連帶賠償責任

1.原告隱私權確實遭到侵害

法院認為,依據原告所提出被告A公司會員專區、GOOGLE搜尋引擎所得資料等網頁截圖,能見原告之姓名、手機號碼、E-mail、住家住址等資料,足以認為不特定多數人於被告A公司網站故障當時,若於GOOGLE搜尋引擎鍵入原告之姓名,即能獲得上開資訊,因此足以證明原告隱私權已遭侵害。

2.被告B公司的專案經理沒有提出網站資安防護工作建置相關資料,無法認定其有採取適當安全措施

本件被告B公司負責的專案經理雖然表示經營五年以來都沒有出事過,事發之後也都有進行補救,然而卻沒有提出事前為A公司建置網站資安防護工作的相關資料,作為個資外洩時有對其所取得客戶資料建置有效防護措施之證據,無法認定其有依個人資料保護法(下稱個資法)第27條採取適當安全措施,因此法院認定原告得依個資法第29條與民法第184條第1項之規定請求該專案經理負損害賠償責任。

3.被告B公司應與專案經理負連帶賠償責任

法院認為專案經理於被告B公司任職時,對被告A公司網站取得的客戶資料沒有建置有效的防護措施,導致侵害原告隱私權,依照民法第188條第1項規定,被告B公司應與專案經理未適當保護個人資料的侵權行為負連帶賠償責任。

二、被告A公司與法定代理人無須負賠償責任

本件法院認為,被告A公司的網站所留存的個人資料是由被告B公司支配掌握,被告A公司及其法定代理人對於個人資料被竊取或外洩風險並沒有控制能力,難認原告受有隱私權的損害與被告A公司及其法定代理人間有相當因果關係存在。

三、結論與評析

本件判決僅認定被告B公司與其專案經理應負擔損害賠償責任,卻認為被告A公司及其法定代理人無須負責,否則即有不當擴大企業責任之虞,然而依照個資法施行細則第8條,委託他人蒐集、處理或利用個人資料時,委託者應對受託者為適當之監督,同時必須定期確認與紀錄受託者執行的狀況。因此,本件被告A公司將其網站委託給被告B公司與其專案經理管理時,如有依法善盡委託者的監督管理責任,是否即能於事前發現被告B公司與專案經理並沒有為網站建置防護措施的情形,則被告A公司及其法定代理人是否毫無責任,似乎仍有討論的空間。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護

當個資外洩發生時,企業是否可以向系統商求償?

企業與系統商簽訂契約,要求系統商提供電子商務網站平台及相關服務時,當網站平台的資訊安全系統設計不符合現行科技水準,導致企業因個資外洩所造成賠償消費者金錢、商譽損害等損失,系統商是否須負損害賠償責任?國內最近即有一間公司(原告)向提供不符合現行科技水準網站系統的廠商(被告)成功求償102萬1976元(臺灣臺北地方法院108年度訴字第1721號民事判決),以下簡單介紹該判決的內容。

1.雙方的契約性質為承攬契約

法院認為依照雙方契約內容,原告基於契約所取得的並非僅有旗艦版平台,還包含網址服務、電子發票服務項目、SSL加密憑證、SSL憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務,所以原告所打算取得的標的是具備上開功能與服務之電子商務網站,而非只是單純地租用網路平臺。同時依照契約內容所記載交件、驗貨與報酬給付等細節,可以認為雙方所約定的客製化網路平臺服務,屬於民法第490條所謂的承攬契約。

2.被告應證明損害的發生為不可歸責於被告事由所導致

基於民事訴訟法第277條舉證責任的分配,債務人抗辯損害之發生為不可歸責於己之事由所致,應由其負舉證責任,如不能舉證證明,即不能免責(最高法院107年度台上字第638號民事判決參照)。因此,本件被告主張個資事故是因為駭客攻擊所導致,屬不可歸責於被告之事由而不須要負責時,便應該由被告舉證證明本件損害的發生屬不可歸責於被告之事由所導致。

3.本件被告沒有盡到事前防禦措施,無法證明被告與損害的發生無關

(1)其他使用被告公司提供平台的業者也曾發生多次個資事故

本件判決認為被告雖說明已提供至少有十數項資安防護措施,並有多重之驗證措施、安全性設定機制,以加強使用者使用系統網站功能之保密性及安全性。然而其他使用被告所提供之電子商務平台之業者,也曾陸續發生遭駭客入侵盜取消費者個人資料之情形,甚至同樣使用被告之網路平台之VIVO公司,其網站之資訊安全保護經OWASP標準檢測為最低等級之F。

(2)被告提供的網站平台不符合現行科技水準

被告雖然辯稱他使用至少十數項資安防護措施,且創設數道繁複的手續,然而被告所提供之網路平台在2年間即發生數次個人資料因駭客攻擊而外洩之事件,法院認為如果真像被告所表示採取國際公司規則之資安防護技術,應不致發生如此多次數駭客入侵之情形,且原告與被告雙方雖沒有約定以OWASP標準作為網頁安全漏洞之檢測依據,然而被告所提供之網站如果符合現行科技水準,依OWASP標準檢測之結果,其所獲得之評價也不應該會落入最低等級之程度,因此難以認為被告所提供之網站平台符合現行科技水準。

(3)被告盡到善良管理人注意義務,才有辦法免責

法院更進一步指出,雖然在現行科技水準下,網路世界中雖無法百分之百避免外來之駭客入侵,然網路平台業者仍須善盡其注意義務,維護網絡環境,建置更為良善之資安系統,降低遭駭客惡意侵入之情事發生。被告作為提供網路平台予他人使用之業者,其應負的契約義務除提供權限管道與客戶使用外,還包括維護網站之資訊安全,只有在被告已善盡其善良管理人之注意義務,針對駭客攻擊之事件才有辦法得以免除責任,然而被告並沒有盡到事前防禦措施,因此仍須負起相關責任。

4.原告得向被告請求賠償項目與金額

經過法院認定,原告可以向被告主張的賠償項目與金額有以下三項

(1)解除契約返還報酬

由於原告依民法第494條解除雙方的承攬契約,因此原告可以依照民法第259條第1款、第2款請求先前已給付予被告的承攬報酬。

(2)賠償第三人和解金

由於原告公司因個資外洩事故,導致原告與訴外人達成和解,並給付和解金。同時該和解金與被告提供網路平台的瑕疵間具有相當因果關係,因此原告可以向被告請求此部分損害的賠償。

(3)商譽損失

原告因為網站平台的瑕疵,導致消費者於公共論壇上抱怨與討論,導致原告公司的商譽有所減損,因此法院認定原告可以向被告請求商譽損失。

至於原告主張其他的損失(例如另外與其他網站系統商簽約的支出、網站系統轉換停止營運等損失),則與被告網站平台的瑕疵無關,因此原告不得向被告求償。

由本件判決來看,被告在抗辯的時候除提出抵銷抗辯外,似乎並沒有提出民法第217條過失相抵的抗辯,有點可惜,因此原告公司就個資事故的發生是否有過失,而使被告得以主張賠償金額的減免,在本判決內並無法得知,之後希望可以在上級審的判決中看到更詳細的論述。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

新加坡認可CBPR認證可以作為個資跨境傳輸合法要件

新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於今年6月2日宣布其已增修個人資料保護規則(Personal Data Protection Regulations),將亞太經濟合作組織( Asia Pacific Economic Cooperation, APEC)跨境隱私保護規則(Cross Border Privacy Rules , CBPR)體系與資料處理者隱私認可(Privacy Recognition for Processors, PRP)體系的認證(Certifications)納入新加坡跨境傳輸的合法方式之一。

依據新加坡個人資料保護法(Personal Data Protection Act, PDPA)第26條,除符合特定條件外,組織原則不得將個人資料傳輸到新加坡以外的國家或地區,而依照新修正的新加坡個人資料保護規則第10A條,通過CBPR或PRP認證的組織被視為符合提供相當於PDPA保護的法律義務,新加坡的組織可以將個人資料傳輸給這些經認證的海外接收者,而不須要再額外滿足其他條件。

資料來源:新加坡PDPC

APEC CBPR體系為美國主導推行的跨境隱私保護制度,我國於2018年12月獲准加入該體系,目前美國、墨西哥、日本、加拿大、南韓、新加坡、澳洲與菲律賓等國均為APEC CBPR體系的成員。我國國家發展委員會先前曾表示,透過參與該體系,可望提升消費者對跨境資料傳輸之信賴,進而促進區域內電子商務活動之發展。

新加坡PDPC也提供雙方契約條款範本,並在其新修正的指引中,針對CBPR適用的情境舉例如下:

情境1

總部位於新加坡的旅遊網站Alpha.com與日本Air Bravo航空公司推出聯合旅遊促銷優惠,Alpha.com須要將消費者的個人資料傳輸到位於日本的Air Bravo。

Air Bravo告訴Alpha.com,他已經取得CBPR的認證,同時Alpha.com也進行盡職調查,確認Air Bravo確實通過CBPR認證,被列在CBPR網站上的認證組織列表上。在這種情況下,Alpha.com已確保Air Bravo提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境2

組織MNO委託一家位於美國的公司PQR作為資料中介機構(Data intermediary,概念近似於GDPR的資料處理者),使用其客戶關係管理(CRM)系統來處理與儲存客戶的資料。組織MNO須要將客戶的個人資料傳輸到PQR公司才能使用該CRM系統。

組織MNO調查後確認PQR公司已經通過CBPR認證,但沒有取得PRP認證。在這種情況下,組織MNO已確保PQR公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境3

電子商務零售業者STU委託一間總部位於美國的資料分析公司XYZ作為資料中介機構,就消費者的偏好進行分析。STU必須將消費者的個人資料傳輸到XYZ公司進行分析。

STU調查後確認XYZ確實已通過APEC PRP的認證。此時STU已確保XYZ公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境4

位於新加坡的旅行社Charlie公司提供美國Delta度假村的旅遊套票,為了替消費者預訂房間,Charlie公司必須將消費者個人資料傳輸給美國Delta度假村。

Charlie公司調查確認Delta度假村已通過APEC PRP認證,但並沒有取得CBPR認證,由於Delta度假村並不是作為資料中介機構接收個人資料,因此Charlie公司不能僅依據PRP認證就將個人資料傳輸到Delta度假村,Charlie公司必須考量跨境傳輸的其他合法方式。

雙方契約條款範本

雙方同意並確認,經APEC 〔CBPR/PRP〕認證的〔組織/資料中介機構〕受法律可執行的義務拘束,以提供具有與2012年《個人資料保護法》(2012年第26號,新加坡共和國法規)相當的保護。

接收方應在本契約有效期限內保持其在APEC〔CBPR/PRP〕下的認證,並應將接收方關於認證狀態的任何變更立即通知予揭露方。

結論

綜合前面情境,在新加坡PDPA下,海外組織如僅取得PRP認證,只能作為資料中介機構從新加坡組織接收個人資料,而取得CBPR認證,則沒有該項限制,可以順利得從新加坡組織接收資料。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

寵物咖啡廳與動物展演法律議題

路上不乏知名的寵物餐廳或咖啡廳,店內有著狗、貓等可愛的寵物讓人觀賞、撫摸與放鬆身心,任由他們的可愛療癒因為現代社會忙碌而千瘡百孔的心靈。然而2018年6月13日動物保護法(下稱動保法)修法新增第6條之1關於動物展演的規定,除經申請許可者或屬公告免經許可者外,任何人原則不得以動物展演之。依照動保法第3條第13款的定義,所謂「展演」指的是「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。」到底寵物咖啡廳是不是屬於動保法所要規範的「動物展演」呢?

寵物咖啡廳可能有動物展演相關規定適用

由於動保法關於動物的定義包含犬貓等寵物,因此依照前述動保法關於動物展演的規定,似乎只要於公共場所或公眾得出入之場所以動物供展示、表演或與人互動,便屬於動物展演,因此公眾得出入的寵物咖啡廳店家讓貓狗與客人互動,依動保法規定似屬於動物展演。

違反動物展演的法律效果

違反動保法第6條之1動物展演的規定,除會受到新臺幣5萬元以上25萬元以下罰鍰的處罰,另外涉及動物展演的動物也可能會由主管機關所沒入。

寵物咖啡廳是否有「免經許可之動物展演類型條件方式或場所」的適用?

先前曾有媒體報導引述農委會人員說明:「若與羊駝互動不收費,牠就不屬於展演動物。」,然而依照行政院農業委員會於2019年9月3日依新修正動保法第6條之1所公告之「免經許可之動物展演類型條件方式或場所」第4條規定,寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行「非營利性」之互動者,屬於免經許可之動物展演類型條件方式或場所。依照該規定,似乎可能會有以下兩種解釋:

1.與寵物互動不收費,便符合所謂的「非營利性」:例如不用額外付錢便可以撫摸、抱抱動物。
2.寵物咖啡廳均不收費,才符合「非營利性」:例如除不用額外付錢便可以撫摸、抱抱動物外,連所提供的餐飲均不收費。

目前該「免經許可之動物展演類型條件方式或場所」第4條對於「非營利性」的部分仍沒有較明確的規範,因此可能會有以上兩種解釋方法,而通常到寵物咖啡廳,如要與寵物互動,至少會須要最低消費,如此是否還能認為寵物咖啡廳屬於「非營利性」的情形呢?

另外一種可能適用的條文是「免經許可之動物展演類型條件方式或場所」第6條第3款「住宿或餐飲營業場所內,所進行之動物展演」,然而該條同時也規定「設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請。」,寵物咖啡廳依常理而言應屬於「常態性進行動物展演」,因此仍然須依動保法規定提出申請才屬合法。

主管機關的看法

根據筆者分別致電農委會畜牧處動保科與台北市動保處人員確認相關問題,農委會畜牧處動保科人員表示如果是單純將寵物飼養於咖啡廳內,則沒有動物展演的問題,也不須要考量前面「免經許可之動物展演類型條件方式或場所」的問題,但是飼主仍必須善盡飼主責任。

而台北市動保處人員則表示將寵物單純飼養於咖啡廳內雖然沒有動物展演的問題,但是如果有以寵物招攬客人的情形(不一定是花錢與寵物互動的情形,業務招攬也算),則可能構成動物展演,同時其表示如果屬於常態性的話,依照「免經許可之動物展演類型條件方式或場所」第6條第3款,仍然必須要依法申請許可。

結論

目前「免經許可之動物展演類型條件方式或場所」立意雖然良善,然而對於「非營利性」的互動規範仍然有模糊空間,且寵物咖啡廳仍可能被認為屬於「常態性進行動物展演的餐飲營業場所」的情形,因此依照前述,寵物咖啡廳仍然須要依照動保法第6條之1提出申請許可才屬合法,否則可能會面臨相關處罰,不然就是須要在相關行銷的手法上須要多加注意,拿捏好動物展演、單純飼養、營利與非營利之間的分寸。

同時現行動保法對於展演僅就「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動」的情形為規範,依照動保法第6條之1的修法理由,主要是為了保障動物權益,避免動物受傷或其他不當情事,然而隨著網路速度的提升、網路媒體的興起,網路上其實不乏關於動物的YouTube頻道,換一個角度思考,如果業者(例如馬戲團)透過線上的方式讓動物表演,這樣是否能夠透過現行動保法第6條之1規定去規範呢?

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

動物展演相關規定

動保法第3條第13款
在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。

動保法第6條之1第1項
任何人不得以動物進行展演。但申請經直轄市、縣(市)主管機關許可,或屬中央主管機關公告免經許可之展演動物類型、條件、方式或場所者,不在此限。

動保法第26條第1項第1款
有下列情形之一者,處新臺幣5萬元以上25萬元以下罰鍰:1、違反第6條之1第1項規定,以動物進行展演。

動保法第26條第2項
前項第1款所涉動物,不問屬於何人所有,直轄市或縣(市)主管機關得沒入之。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第4條
寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行非營利性之互動。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第6條第3款
於下列營業場所內所進行之動物展演。但設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請: (三)住宿或餐飲營業場所內,所進行之動物展演。

※你可能還會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.除了告他還能告誰,個資外洩與系統商責任
3.當個資外洩發生時,企業是否可以向系統商求償?

談性向、約炮、多人運動與性隱私的保護

近期陸續發生藝人與網紅被揭露約炮、多人運動或是性向等情形,引起許多風波,從法律的角度來看,前述這些與性有關的資訊原則都屬於個人資料保護法(下稱個資法)第6條所謂的特種個人資料,而不得隨意蒐集、處理或利用。我國立法委員今年也分別提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,希望對於性隱私侵害的情形能有進一步的規範,保障受侵害當事人的權益。

個資法第6條第1項

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
1、法律明文規定。
2、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
3、當事人自行公開或其他已合法公開之個人資料。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
5、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

而個資法施行細則第4條第4項針對所謂的「性生活」個人資料,其定義為:「指性取向或性慣行之個人資料。」,因此揭露他人性向(性取向)、約炮或多人運動(性慣行)都可能會有個資法第6條特種個資規定的適用,只有在符合該條1到6款法律所規定的事由時,才能蒐集、處理或利用(例如將該等資料公開揭露)。

在媒體接獲爆料者爆料而揭露他人與性有關的資料的情形,其既非法律規定、也不是履行法定義務範圍內,更不可能是為了學術研究或是得到當事人同意,因此可能會有違反個資法第6條的規定。而違反個資法第6條時,可能會有以下民事、刑事與行政責任:

民事責任(個資法第28條第1項與第29條第1項):損害賠償

公務機關或非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,都應負損害賠償責任。同時受害者請求損害賠償時,還應特別注意個資法第30條關於請求權時效的規定,即必須自知有損害及賠償義務人時起2年內或自損害發生起5年內行使請求民事損害賠償的權利。

刑事責任(個資法第41條):5年以下有期徒刑,得併科新臺幣100萬元以下罰金

意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。

行政責任(個資法第47條第1款):5萬元以上50萬元以下罰鍰,並限期改正

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:1、違反第6條第1項規定。

另外依照個資法第50條 ,如非公務機關受到前述罰鍰處罰時,非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,否則原則上應受同一額度罰鍰之處罰。以前述案例來說,媒體公司的董事長(代表人)除非能證明其就該公司非法揭露他人性生活特種個人資料有盡到防止的義務,否則當該公司受到罰鍰時,仍可能會受到同一金額的罰鍰處罰。

性隱私保護之立法

除了前述個人資料保護法的規定,我國立法委員也分別於今(2020)年提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,「性隱私侵害防制條例草案」較其他草案所規範的「性隱私影像」外,更將「未經同意,將他人與性有關之行為紀錄、傳送、公開或揭露」等行為,定義為性隱私侵害。因此公開揭露他人的性生活等資訊,均可能屬於該「性隱私侵害防制條例草案」所謂的性隱私侵害,而有相關罰則的適用。

同時前述草案也都針對網際網路平臺業者、電信業者與廣播電視事業等有特別規範(例如於時限內移除相關資訊內容),如果違反的話甚至可能會按「每小時10萬元」處以罰鍰。

性隱私無疑是個人最私密的資訊,然而隨著資訊的流通,既有的規範難免有無法周全的時候,也因此會有新的立法與修法不斷推陳出新,而除了不要侵害他人的隱私之外,對於自身的隱私,仍然要多加注意,畢竟一經洩漏,可能是一生的傷害。

※你可能對這些文章會有興趣:
1.個資外洩,該怎麼辦?
2.關於COOKIES同意,你有更好的作法
3.個人資料保護管理制度(PIMS)比較
4.華盛頓州州長簽署臉部辨識法案
5.加拿大隱私專員辦公室提出AI監管方案