FTC提出誠實、公平與公正的AI使用建議

人工智慧(artificial intelligence, AI)技術不斷的發展,在改變醫藥、金融等不同領域時,同時也引起主管機關的注意,美國聯邦貿易委員會(Federal Trade Commission)在2021年4月19日時,針對公司使用AI時如何同時確保真實(truth)、公平(fairness)與公正(equity)提出建議

FTC指出AI的使用可能產生令人不安的後果,包含種族歧視或其他層面的歧視,例如透過COVID-19預測模型可以有效分配病床、呼吸機與其他資源來幫助公共衛生系統對抗病毒,然而美國醫學資訊協會(American Medical Informatics Association)雜誌近期的一則研究指出,如果前述模型使用的資料反映了既有醫療保健服務中所存在的種族歧視,那將會使有色人種受到不平等的醫療服務。

FTC以其過往的經驗,提供建議如下:

從正確的基礎開始

對於AI來說,如果其資料集缺少特定人群的資訊,利用這些資料所建立的AI模型將可能對受法律保障的族群產生不公平的結果,因此一開始便要考慮改良資料集的方法、設計模型時考量資料的差異,並且根據其缺點限制AI模型使用的地方或方式。

注意歧視性的結果

最重要的是在使用AI前後定期測試演算法、,確保不會基於種族、性別或其他受保障的族群進行歧視。

擁抱透明性與獨立性

須要考慮如何實現透明性與獨立性,例如透過相關框架與標準,進行與公布獨立稽核的結果,以及將資料與原始碼(source code)對外開放檢查。

避免誇大演算法

對於客戶或消費者的陳述必須真實,且不具欺騙性,不須要過度誇大演算法的效能。例如告訴客戶,公司的AI產品能夠提供100%公正的雇用決策,但實際上演算法背後所使用的資料卻缺少種族或性別多樣性,這將可能會有問題。

說明如何使用資料

如果未能清楚的告訴使用者資料將會如何被使用,後續將會有相關法律風險,例如Everalbum利用使用者所上傳的照片來訓練其臉部辨識演算法,然而FTC認為該公司讓使用者誤以為其有能力控制關於臉部辨識的相關功能,並且未能於使用者關閉帳號後刪除使用者的照片或影片,FTC要求該公司刪除非法取得的資料,並且須要刪除基於使用者照片或影片所開法的臉部辨識模型與演算法。

避免有害的行為

儘管演算法可以讓公司知道最有興趣購買其產品的消費者,表面上看起來是一件不錯的事情,然而從另一個角度來看,假如這個模型透過種族、膚色、宗教與性別來精準定位這些消費者,則可能會踩到紅線。當相關行為導致或可能導致消費者受到實質性傷害,且消費者無法合理地避免傷害,同時消費者或競爭的利益不足以抵銷傷害時,FTC將會質疑這樣的行為是違反FTC法第5條的。

負起相應的責任

公司必須對自己的行為負責,如果公司無法做到的話,FTC表示他們會幫你做到這件事情。

歐盟執委會(European Commission)同樣於今年4月21日,針對AI技術發布「AI規則(Artificial Intelligence Regulation)」草案,打算藉此建立歐盟對於AI的監管框架。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元

2021年5月2日,挪威資料保護主管機關Datatilsynet公布由於Disqus對於網站使用者的追蹤未能遵循歐盟一般資料保護規則(General Data Protection Regulation, GDPR),不符合合法性、透明性與問責原則的要求,因此預計對Disqus處以250萬歐元罰款。

Disqus是Zeta Global下的美國公司,該公司提供線上公眾留言分享平臺,Disqus 使用 Disqus小工具對挪威網站的使用者進行追蹤,其相關資料也揭露給第三方的廣告合作夥伴。

Disqus對於挪威資料主體的個人資料進行處理

Disqus認為其透過cookies所蒐集的資料並非GDPR所謂的個人資料,因為其無法從cookies IDs識別個人。

然而主管機關認為,儘管cookie ID無法像姓名或地址一樣能夠單獨識別(identify)自然人,然而每個cookie ID均為獨特且置放於自然人的瀏覽器,使得控制者(controller)能夠區別(distinguish)每個人,並監控該自然人與網路的互動,cookie ID構成GDPR第4(1)條規定所規定的可得識別(identifiable)個人資料。因此,Disqus將cookies置入於網站使用者的終端設備,賦予每一個使用者單一的cookies ID,並藉此追蹤使用者,蒐集IP位址、網站存取時間,進而分析相關資訊,根據網路活動、興趣或其他特徵將使用者分門別類,構成GDPR下個人資料的處理。

Disqus屬於控制者

主管機關認為Disqus基於其自身商業利益對網站使用者進行追蹤、分析與剖析,即其資料蒐集是為了線上行為定向廣告(online behavioural advertising),將資料揭露予Zeta Global與其他第三方,同時Disqus決定了個人資料處理的目的與方式,構成GDPR第4(7)條所謂的控制者。

本案有GDPR的適用

雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。

主管機關認為,Disqus提供Disqus小工具,讓挪威的網站使用者能夠透過小工具對於網站內容發表留言與評論,該小工具讓挪威的資料主體能夠存取使用,顯示挪威的頂級域名(top-level domain),並以挪威語言提供,因此可以認定Disqus向挪威的資料主體(data subjects)提供服務,而有GDPR第3(2)(a)條的適用。另外,Disqus置入cookie並透過cookies蒐集網站使用者的資料,同樣也構成GDPR第3(2)(b)條所謂監控位於挪威境內的資料主體。

因此,儘管Disqus並非於歐洲經濟區內設立的公司,但因為其行為構成向挪威資料主體提供服務與監控位於挪威境內的資料主體,因此仍有GDPR的適用。

Datatilsynet具有本案管轄權

Disqus表示不論是Disqus或Zeta Global都沒有於挪威進行商業活動,認為挪威資料保護主管機關Datatilsynet並沒有法律管轄權(legal jurisdiction)進行調查或採取相關措施。

主管機關認為,Disqus於歐洲經濟區並未有分支機構(establishment),因此本案沒有GDPR第56(1)條合作機制(cooperation mechanism)的適用。同時依據歐洲資料保護委員會(European Data Protection Board, EDPB)所認可的第29條工作小組(The Article 29 Working Party, WP29)指引,控制者於歐盟沒有任何分支機構時,其必須透過當地代表與各成員國的主管機關交涉,沒有GDPR第56條一站式機制(one-stop-shop system)的適用。因此,Datatilsynet作為挪威資料保護主管機關自然能夠依據GDPR第55(1)條所賦予的權限處理本案。

Disqus違反問責原則

根據GDPR的問責原則(accountability principle),控制者必須予以負責並顯示其確實遵循GDPR的規定。主管機關認為,Disqus作為控制者,其應於公司開始處理挪威資料主體的個人資料之「前」,確保遵循GDPR與確立個人資料處理的法律基礎。由於Disqus並未意識到其GDPR適用於挪威使用者,可見Disqus並未評估個人資料處理活動的合法性,因而違反GDPR的問責原則。

Disqus 未落實對資料主體的告知

根據GDPR第12(1)條規定,Disqus應在開始追蹤資料主體時向資料主體提供資訊,換言之,當資料主體打開網站時,Disqus便應於網站和小工具上提供隱私權政策,Disqus將隱私權政策至於網站的最底部的行為並不符合GDPR第12(1)條提供資訊義務、第13條告知義務與5(1)(a)透明性原則的規定。

Disqus 不具個人資料處理的合法基礎

主管機關認為,Disqus未能確立其個人資料處理的法律基礎,也未能取得資料主體的合法同意,而在GDPR第6(1)(f)條的正當利益(legitimate interes)衡平測試(balance test)檢驗下,儘管Disqus基於行銷與商業營利的目的販售廣告構成該條所謂的正當利益,但Disqus在整體個人資料處理與揭露第三方的商業模式,過於廣泛、不透明且以侵犯的方式追求Disqus自身的線上行為定向廣告利益,甚至未能依法告知資料主體,使資料主體無法控制或終止追蹤,因此不符合必要性。

最後在衡平測試的檢驗,Disqus將未取得同意所蒐集來的資料分享予第三方,這些第三方隨後又可能將該資料揭露予其他第三方,Disqus的商業利益並未優於資料主體的負面影響(包含剖析、資料保護與言論自由等基本人權),因此並無GDPR第6(1)(f)條的正當利益條款的適用。

本案裁罰決定

依照GDPR第83(1)條規定,裁罰應為有效(effective)、適當(proportionate)且具懲罰性(dissuasive)。主管機關基於前揭的論述,認為Disqus違反GDPR第5(2)、6(1)與第13條等規定,考量GDPR第83(2)條所列的各款因素後,依據GDPR第83(5)條,裁罰Disqus共2500萬元挪威克朗(約為250萬歐元),其裁罰金額大約等於Disqus公司2018年營業額的15%,然而這並非最終決定,Disqus公司仍可於2021年5月31日前表示意見,Datatilsynet後續將會考量該公司的回覆作出最終決定。

由於本案 Disqus 公司於歐洲經濟區並未有分支機構,因此後續裁罰將會如何執行值得關注。另外本案也提及GDPR一站式的機制不適用於在歐盟境內沒有分支機構的企業,因此當企業在歐洲經濟區內沒有設立分支機構,而有違反GDPR相關規定,且涉及各國資料主體時,似乎各國的主管機關對此情形均可能有管轄權,倘各國主管機關對此違反情形均為裁罰,對企業將會是一大衝擊。對於我國企業而言,仍然必須檢視業務流程是否會涉及其他國家法令,避免誤觸紅線。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

企業常見資料保護錯誤

英國資訊委員辦公室(Information Commissioner’s Office, ICO)為了幫助個人經營者、中小型企業瞭解資料保護事項,羅列一些常見的資料保護錯誤,並提供相關建議如下。

常見錯誤一、發送電子郵件給錯誤的對象

當你的通訊錄有好幾個相同名字的時候,這是非常容易發生的。當開始在收件者欄位輸入名字時,自動填入工具固然方便,可以加速寄信的過程。但是如果錯誤地將個人資料發送給錯誤的對象,那麼使用自動填入工具節省下來的幾秒鐘就會耗費你更多的時間。

如何解決:

1.盡快收回電子郵件,如果無法收回,聯繫收信者並請他們刪除。同時,在後續寄送電子郵件時,考慮關閉自動填入工具。

2.如果符合個資外洩的情形,則應依循相關法律規定,在資料外洩後72小時候儘速處理。

常見錯誤二、服務資訊與行銷資訊的混用

服務資訊(Service messages)與行銷資訊(marketing messages)兩者並不相同,服務資訊旨在透過提供重要的事實資訊讓人們瞭解情形,例如關於產品安全的警示。另一方面,行銷資訊則旨在推廣服務、企業或組織。

如何解決:

在蒐集與利用個人資料前,確保瞭解行銷的相關規定,無論是產品、服務或是想法,同時還需要注意不要將服務資訊與行銷資訊混為一談,即使在行銷郵件的末段添加一句服務資訊,仍然也需要遵守行銷的相關規定。

常見錯誤三、打開不熟悉的網頁連結或附件

你可能偶爾會收到陌生人的電子郵件,或者收到看起來可疑的連結或附件。有時候這些可能是釣魚郵件或其他類型的網路犯罪,而可能導致電腦系統的損壞。

如何解決:

1.為所有工作設備設置合適的防火牆

2.合於用途的儲存系統

3.訓練人員知道如何在點擊連結或打開附件前識別可疑的電子郵件

常見錯誤四、保留不需要的資料

你擁有的個人資料越多,就需要更多的儲存空間與安全措施來確保資料的安全,意味著需要花費更多的時間與金錢。例如當處理一個當事人行使權利的請求時,你可能需要搜尋成千上萬的舊文件,這將花費許多時間。另外,根據資料保護法的規定,個人資料的保存時間不應超過你所需要的時間。

如何解決:

如果你被要求保留一定時間的資訊,例如財務、醫療或法律紀錄,在保存政策中記錄理由。並且應該定期整理所擁有的資料,並且在不再需要資料時安全地銷毀個人資料。

常見錯誤五、忽略個人權利行使

在資料保護法中,人們對自己的個人資料能夠行使當事人權利,例如他們可以請求提供你所持有關於他的任何個人資料。

當事人權利行使可以透過書面或口頭的方式提出,人們不需要直接聯繫到組織的特定聯絡人或者使用特定的語言、形式。組織不能要求人們以書面行使當事人權利,或者要求他們使用特定表格。

如果你收到當事人以口頭的方式行使其權利,如果他願意的話,可以邀請他以書面形式提出,或是人們於電話中提出請求時,將其請求以書面記錄下來,有一個書面紀錄對雙方都是有益的。但無論是否有書面紀錄,人們的口頭請求仍然有效,例如員工在會議上要求公司提供他們的個人資料,這將被視為當事人權利行使的一種。

如何解決:

確保組織與員工瞭解如何識別當事人權利行使,以及如果收到相關請求應該怎麼辦。簡單來說,如果有人要求組織提供他們的個人資料,你需要在法定的期限內提供他們個人資料的複製本。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

中國大陸公布網路交易監督管理辦法,強化網路交易監管

中國大陸國家市場監督管理總局於2021年3月15日發布網路交易監督管理辦法,針對網路交易經營者羅列總共56條規定,該管理辦法旨在規範網路交易活動、維護網路交易秩序、保障網路交易各方主體合法權益,進而促進數位經濟持續健康發展。以下謹就該辦法關於個資保護的部分說明如下:

一、規範對象:網路交易經營者

該辦法所謂網絡交易經營者,是指組織、開展網絡交易活動的自然人、法人和非法人組織,包括網絡交易平台經營者、平台內經營者、自建網站經營者以及通過其他網絡服務開展網絡交易活動的網絡交易經營者。 

二、強化個資當事人自主權

該辦法於第13條規範網路交易經營者蒐集、使用消費者個人資料的應遵循事項,包含合法、正當與必要等原則。同時該辦法也強調,網路交易經營者不得採行一次概括授權、預設授權、綑綁授權或停止安裝使用等方式,強迫或變相強迫消費者同意蒐集、使用與經營活動無直接相關的資料。

如果網路交易經營者蒐集或使用消費者個人生物特徵、醫療健康、金融帳戶、個人位置等敏感資料,則應該逐項取得消費者同意。

三、當事人拒絕行銷

依辦法第16條,網絡交易經營者在未經消費者同意或者請求的情形下,不得向其發送商業性資訊。而當網絡交易經營者發送商業性資訊時,應明示其真實身份和聯繫方式,並向消費者提供顯著、簡便、免費的拒絕繼續接收資訊的方式。消費者明確表示拒絕後,網路交易經營者應立即停止發送,且不得更換名義後再次對消費者發送。

四、罰則

倘網路經營者違反前述規定,依該辦法第41條規定,如無其他法令適用時,則市場監督管理部門可以限期改正,並可以裁罰人民幣5,000元以上30,000元以下的罰款。

儘管目前中國大陸關於個人資料保護法的立法仍然在審議中,然而現行對於個資保護仍然有民法與前揭辦法等規範的適用。同時,該網路交易監督管理辦法除了前述關於個資保護規定之外,也針對網路直播、商品綑綁搭售、自動續約等網路交易常見爭議情形進行規範,並定有相關罰則,我國民眾與企業在中國大陸經營相關網路交易業務時,對此必須特別注意。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

個資外洩求償判決與舉證責任轉換之運用

根據媒體報導,去(2020)年民眾通報高風險賣場前5名,分別是Momo購物網、小三美日、讀冊生活、486團購網與Hito本舖,其通報數量均超過200件,其中以Momo購物網383件居冠。

以法學搜尋系統Lawsnote搜尋網路購物相關個資外洩求償判決,2018年至2020年的民事判決件數僅有18件,其中原告勝訴的判決為11件,勝訴率約為60%。然而仔細檢視原告敗訴的案件,其中不乏因為原告(即消費者)無法證明詐騙集團所使用的資料來自被告公司的個資外洩行為,而因此敗訴。

臺灣高雄地方法院109年度雄小字第3154號判決為例,法院即表示「當事人主張有利於己之事實,他造對之有爭執者,有提出證據以證明其事實為真實之責任,主張積極事實者應負舉證之責任,乃為舉證責任分配之原則。依上開規定,本件原告主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個資係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任。」

然而,個資存放與安全措施的相關資料與證據均為企業所持有,一般民眾要證明遭詐騙時的個資是來自被告公司何其困難,因此即有法院判決透過舉證責任轉換的運用,降低民眾求償的舉證門檻。

「按當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條規定甚明。上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。」(臺灣臺北地方法院106年度北小字第2161號民事判決參照)

另外也有判決從常態事實與變態事實兩者的舉證責任出發,認為駭客入侵公司電腦竊取大量客戶資料屬於常態事實,侵入個人電腦竊取個人消費資料屬於變態事實,而應由被告公司先舉證證明其已善盡客戶消費資料的保存責任且未遭不法蒐集。

「按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料(含所留之聯繫資料,例如:手機號碼、住家地址等)更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」臺灣士林地方法院107年度湖簡字第110號民事判決參照。

本文將相關法院判決與舉證責任轉換運用與否,粗淺地整理如下表。由下方表格可以觀之,18件判決中,法院有適當運用舉證責任轉換的判決均是對原告有利的結果(如表格灰色標記處)。而法院未運用舉證責任轉換共有12件,其中原告敗訴的判決有7件(約佔58%),儘管案件的勝負尚有其他影響因素,但仍然可以看出,法院倘運用舉證責任轉換,對於原告(民眾)是較為有利的。

民事訴訟法第277條也提到「當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限。」,因此法院在相關案件適用前述條文時,仍應適當考量原告與被告雙方能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等情形,來決定雙方舉證責任或是否減輕證明度。倘若法院一律機械式套用當事人主張有利於己的事實,均對該事實有舉證之責任,則難免無法達到個案正義,同時不免有法律強人所難之嘆。同時,法院判決兼具「傳達訊息」之功能,儘管個資外洩相關判決,因為其所涉及金額較低,往往無法上訴到最高法院,然而隨著隱私權與資料保護的重視,也期待法院為相關判決時,可以多加著墨,引領相關議題的討論。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款

法國資料保護主管機關CNIL(Commission Nationale de l’Informatique et des Libertés, CNIL)於2021年1月27日分別對某資料控制者(Data Controller)及其資料處理者(Data Processor)2間公司分別處以150,000歐元與75,000歐元(共225,000歐元,約新臺幣756萬元)的罰款,理由是因為其未能採取充分的適當安全措施,導致資料控制者所經營網站的客戶個人資料遭受憑證填充攻擊(credential stuffing attacks),以致於資料外洩。

在2018年6月至2020年1月期間,CNIL收到數十份與網站相關的個人資料外洩通報,CNIL指出該網站遭受到無數次的憑證填充攻擊。

憑證填充攻擊,攻擊者通常使用因為資料洩漏而遭公布在網路上的帳號密碼,並藉由機器人以自動化方式嘗試登入網路服務。假設使用者經常在不同的網路服務中使用相同的帳號與密碼,則攻擊者使用憑證填充攻擊,嘗試與網路服務進行大量連接,身份驗證成功後,攻擊者將可以查看與帳戶相關的資訊。

CNIL表示,攻擊者因此取得該網站會員姓名、電子郵件地址、出生日期、會員卡的餘額以及與訂單相關的資訊。CNIL認為該兩間公司未能履行歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第32條規定的保護客戶個人資料安全義務。

儘管公司開發一種工具用偵測與組織來自機器人的攻擊,但是該工具的開發距離第一次攻擊長達1年的時間。CNIL認為,公司在防止攻擊與減輕衝擊部分,本來可以考慮採取其他更適當的措施,例如:(1)限制網站上每個IP地址允許的存取數量,可以有助於減緩攻擊發生的速度;(2)使用驗證使用者身份機制。 CNIL強調,資料控制者必須決定安全措施的實施,並向資料處理者說明,同時資料處理者也必須尋求最適切的解決方案,將其提供給資料控制者,以確保個人資料保護的落實。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

關於語音助理的幾件事,CNIL的語音助理白皮書告訴你

不論是Apple HomePod還是Google Nest Audio,語音助理在智慧家庭中的角色越來越重要,不管是想要知道天氣、行事曆或是播放音樂,只要動口不動手,優秀的語音助理都能替你完成。然而,語音助理也會知道你的一切相關資訊。

法國個人資料保護主管機關「國家資訊自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)」在2020年12月16日發布語音助理(voice assistants)白皮書「On the record」,指出由於語音助理在智慧手機、汽車甚至是冰箱等產品已經成為一種必需品,為了探求語音助理所涉及的倫理、技術與法律議題,CNIL透過與眾多研究人員與專家的合作,發表了該份白皮書。

該份白皮書旨在為設計師(designers)、應用程式開發人員(application developers)、整合人員(integrators)與期望推出語音助理的組織提供領先的隱私保護實踐指引,強調聲音是屬於個人的生物特徵(biometric characteristic of individuals),因此語音助理的設計必須符合透明性與安全性,以符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與保護個人隱私。白皮書還提供使用者如何實施良好安全措施的建議,例如確保資料傳輸的機密性,或保護可能與這些設備互動的兒童。

對於語音助理的使用者,CNIL強調除了喚醒的條件與資訊、可用的服務、安全措施等條件的選擇之外,最重要的是認識到這些設備所伴隨的挑戰,使用者應該注意下列五點事項:

一、確保交流的機密性

※選擇使用的設備

1.與進行遠距資料處理(remote processing)的設備相比,優先使用進行本機資料處理(local data processing)的設備。

2.選擇配備物理式麥克風靜音的設備。

3.選擇透過手動按壓啟動而非透過喚醒詞來啟動的設備,這將會讓使用者對於啟動時間有更多控制。否則,請優先考慮啟動與結束時會發出訊號的設備,並於設定語音助理時啟動該功能。

※關於設備的使用

1.如果你不想讓別人聽到你的對話,在設備允許的情形下,關閉基於改善產品對你的互動進行分析的功能。

2.如果你不想分享技術資料,關閉基於改善產品對你的互動進行分析的功能。

3.如果你不想被語音助理聽到,可以將其關閉或靜音。

4.通知第三方(訪客、家事清潔人員)關於對話錄音的潛在風險,或關閉/靜音設備的麥克風。

5.相對的,如果你待在一個有語音助理的地點,如果你不想被錄音,可以要求擁有者關閉設備/拔掉插頭。

6.當嵌入專用設備時,請將語音助理放在顯眼且對所有人可見的位置。

7.定期檢查使用者帳戶中記錄資料的歷史紀錄,並刪除機敏資料。

二、個人資料將被用來營利

1.留意你在裝置前所說的內容可能會被用來建立關於你的廣告資料。

2.選擇不需要建立帳戶即可使用的設備。

3.如果功能允許,選擇使用「私密瀏覽」模式。

4.考量共享個人資料與敏感性的隱私風險後,再連結到真正有用的助理服務。

5.定期檢查哪些服務與助理連結,並禁用很少或沒有使用的服務。

6.如有任何疑問可以與服務專線聯繫,必要時也可以與主管機關聯繫(即CNIL)。

三、留意沒有螢幕的設備

1.除了透過語音介面進行裝置管理與資料刪除,選擇也能透過螢幕或使用者帳戶進行的設備。

2.定期檢視助理的儀表板以及根據需要自定義其功能,例如選擇使用的預設搜尋引擎或資料來源。

3.可以使用語音助理功能來設定關於本章節內容的小訣竅提醒。

四、監督兒童使用

1.以明確得指導方式說明語音助理的工作方式並示範簡單的設置(例如關閉按鈕)。

2.避免將設備放置在兒童專用區域(臥室、遊戲室等)。

3.監督兒童與設備的互動,當兒童使用設備時,留在房間裡陪伴他使用,當兒童不使用設備時,將其關閉。

4.確保預設情形下,將裝備設置為過濾兒童資料。

5.如果裝備記錄了歷史紀錄,則以尊重兒童隱私的方式查閱相關統計情形與過去的互動情況。

6.定期刪除歷史記錄。

五、預防駭客入侵的風險

1.避免使用無法識別或無法輕鬆識別其來源、設計者、控制者等的設備。

2.謹慎選擇可以由語音助理控制的服務,並避免那些有風險的服務(開門、上鎖或開車)。

3.謹慎安裝與存取合法的應用程式,駭客可以建立惡意軟體來蒐集使用者資料(帳戶、信用卡號碼、密碼、地址或聯繫方式等)。

4.如果設備允許,則透過雙因素身份驗證(例如透過電子郵件或簡訊發送驗證碼)來設置設備或某些敏感應用程式的安全性。

5.仔細選擇與你帳戶相關服務(電子郵件、日曆、銀行帳戶、電話等)的啟動。

6.保護語音助理連接到的網路(尤其是Wi-Fi)。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會(Ireland’s Data Protection Commission)於2020年12月制定針對兒童資料處理方法的基礎概念(Fundamentals for a Child-Oriented Approach to Data Processing)」草案文件,其中納入專門針對兒童的資料保護解釋原則與建議措施,這些原則與措施將提供對於兒童的保護水準,使兒童免於資料處理風險所帶來的影響,該份草案文件的公開諮詢程序至2021年3月31日止,任何人都可以向愛爾蘭資料保護委員會提供相關意見與評論。

值得注意的是,愛爾蘭資料保護委員會也直接向兒童諮詢相關意見,兒童們紛紛提出他們對於資料保護的各種看法,愛爾蘭資料保護委員會也特別於該份文件內呈現出來。

在愛爾蘭,兒童的定義是指未滿18歲的人,與聯合國兒童權利公約(UN Convention on the Rights of the Child, UNCRC)的定義相同,而愛爾蘭資料保護委員會確立組織應遵循的14個基本原則,組織在處理個人資料時應注意對於兒童的保護,為兒童們提供一個比目前更安全、更合適以及更尊重隱私的網路環境,讓孩子們盡情得玩耍、互動、學習與創造。以下是該文件所列出的14個基本原則:

1.一定程度的保護(FLOOR OF PROTECTION)

線上服務提供者(Online service providers)應對所有使用者提供一定程度的保護,除非其採取風險導向的方法(risk-based approach)來驗證使用者的年齡,以將基本原則中所規定的保護措施應用於所有處理兒童資料的行為。

2.明確同意(CLEAR-CUT CONSENT)

當兒童同意處理其資料時,必須是明確、知情且自由得陳述,或給予明確同意。

3.零干擾(ZERO INTERFERENCE)

線上服務提供者處理兒童資料時,應確保追求合法利益的同時,不會對兒童的最佳利益造成干擾、衝突或負面影響。

4.瞭解受眾(KNOW YOUR AUDIENCE)

線上服務提供者應採取措施來識別其使用者,並確保針對兒童或可能被兒童所接觸的服務已制定針對兒童的資料保護措施。

5.每個情景的資訊(INFORMATION IN EVERY INSTANCE)

兒童有權獲得有關處理其自身個人資料的資訊,即便是由父母所代理同意處理的個人資料。

6.針對兒童的透明性(CHILD-ORIENTED TRANSPARENCY)

必須以簡潔、透明、可理解與可接觸的方式提供有關如何使用個人資料的隱私資訊,並應使用兒童易於理解且適合兒童年齡的語言。

7.讓兒童自主行使權利(LET CHILDREN HAVE THEIR SAY)

兒童本身即是資料主體,在任何年齡都擁有與其個人資料有關的權利。愛爾蘭資料保護委員會認為,只有兒童有能力,且符合他們的最佳利益,兒童可以隨時行使這些權利。

8.同意不會改變兒童的本質(CONSENT DOESN’T CHANGE CHILDHOOD)

從兒童或父母/監護人所取得的同意不應作為將所有年齡的兒童當作成年人對待的理由。

9.平台責任(YOUR PLATFORM, YOUR RESPONSIBILITY)

透過數位與線上技術提供或出售服務而獲得收入的公司,對於兒童的權利和自由可能會構成特殊的風險,如果此類公司使用年齡驗證或依靠父母同意進行資料處理,則愛爾蘭資料保護委員會期望公司在關於年齡驗證以及父母同意的驗證方面能夠更加努力。

10.不要拒絕兒童使用者或剝奪其使用體驗(DON’T SHUT OUT CHILD USERS OR DOWNGRADE THEIR EXPERIENCE)

如果公司所提供是提供針對兒童或可能被兒童所接觸的服務,公司不能透過將兒童拒於門外或剝奪使用體驗來繞過公司所應負擔的義務。

11.最小使用者年齡並非藉口(MINIMUM USER AGES AREN’T AN EXCUSE)

設置提供服務的使用者最小年齡不會取代組織遵守歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的資料控制者與對未成年人保護等相關義務。

12.禁止剖繪(PROHIBITION ON PROFILING)

考量兒童的特殊脆弱性(particular vulnerability)與對行為廣告的敏感性(susceptibility to behavioural advertising),因此線上服務提供者不得基於行銷/廣告的目的對於兒童進行剖繪(profile)或針對兒童使用自動化決策(automated decision making),或以其他方式利用其個人資料,除非能夠清楚得說明「如何」以及「為什麼」這樣做符合兒童的最佳利益。

13.實施資料衝擊影響評估(DO A DPIA)

線上服務提供者應進行資料保護衝擊影響評估(Data Protection Impact Assessments, DPIA),以最大程度得降低其服務的資料保護風險,尤其是因為處理個人資料所對於兒童造成的特定風險。兒童的最佳利益原則必須是資料衝擊影響評估的關鍵標準,並且當兩者利益間發生衝突時,兒童的最佳利益必須優於組織的商業利益。

14.融入制度(BAKE IT IN)

定期處理兒童個人資料的線上服務提供者應根據「從設計與預設階段著手資料保護」原則,使其具有一貫的高標準資料保護程度,並將其融入於服務之中。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

中國大陸國家互聯網信息辦公室公布App蒐集個人資料的必要範圍

中國大陸國家互聯網信息辦公室於2020年12月1日公布「常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿)」文件,指出現行App往往有超出範圍、強制蒐集使用者個人信息(即個人資料)的情形,而使用者拒絕同意則無法安裝使用App。因此該文件羅列了地圖導航、網路約車、即時通信等38種常見類別App的基本功能與必要個人信息。

必要個人信息是指保障App基本功能正常運行所必須的個人信息,缺少該信息App即無法提供基本功能服務,只要使用者同意蒐集必要個人信息,App不得拒絕使用者安裝使用。

從該份文件可以知道,要滿足一般App基本功能的必要個人信息範圍並沒有想像得來的多,業者在超出必要範圍的部分,不僅不能拒絕使用者安裝使用App,在其他個人信息的取得與利用更應該要尊重使用者的自主意志。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.中國大陸個人信息保護法草案全文發布
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿):

1.地圖導航類:

基本功能服務:定位和導航。

必要個人信息:位置信息。

2.網絡約車類:

基本功能服務:預約汽車出行。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)乘車人出發地、到達地、位置信息、行踪軌跡。

3.即時通信類:

基本功能服務:提供文字、圖片、語音、視頻等即時通信服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)賬號信息:賬號、聯繫人賬號列表。

4.網絡社區類:

基本功能服務:博客、論壇、社區等話題討論、信息分享和關注互動。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

5.網絡支付類:

基本功能服務:收款人或付款人依托公共網絡遠程發起支付指令,由支付機構提供貨幣資金轉移服務(如支付、提現、轉賬等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)付款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

6.網上購物類:

基本功能服務:購買商品。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

7.餐飲外賣類:

基本功能服務:購買餐飲。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

8.快遞物流類:

基本功能服務:包裹、印刷品等物品的快遞寄收件。

必要個人信息:

(1)寄件人真實姓名、地址、聯繫電話。

(2)收件人姓名、地址、聯繫電話。

9.交通票務類:

基本功能服務:交通相關的票務服務及行程管理(如票務購買、改簽、退票、行程管理等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)旅客姓名、證件類型和號碼、旅客類型。旅客類型通常包括兒童、成人、學生等。

(3)旅客出發地、目的地、出發時間、車次/船次/航班號、席別/艙位等級、座位號(如有)。

(4)支付信息。

10.婚戀相親類:

基本功能服務:婚戀相親。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)婚戀相親人的性別、年齡、婚姻狀況。

11.求職招聘類:

基本功能服務:職位信息查詢和求職簡歷投遞。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)求職者提供的簡歷。

12.網絡借貸類:

基本功能服務:通過互聯網平台實現的個人消費貸款。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)借款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼。

13.房屋租售類:

基本功能服務:個人房源信息發布、房屋出租或買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)房源基本信息:房屋地址、面積/戶型、期望售價或租金。

14.二手車交易類:

基本功能服務:二手車買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)購買方姓名、證件類型和號碼。

(3)出售方姓名、證件類型和號碼、車輛行駛證號、車輛識別號碼。

15.問診掛號類:

基本功能服務:在線問診、掛號。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)患者姓名、證件類型和號碼。

(3)患者預約掛號的醫院、科室。

16.旅遊服務類:

基本功能服務:旅遊產品訂購。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)出行人旅遊目的地、旅遊時間。

(3)出行人姓名、證件類型和號碼。

17.酒店服務類:

基本功能服務:酒店預訂。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)住宿人姓名、聯繫方式,入住、退房時間,入住酒店名稱。

18.網絡遊戲類:

基本功能服務:通過網絡提供遊戲產品和服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

19.學習教育類:

基本功能服務:在線輔導、網絡課堂等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

20.本地生活類:

基本功能服務:家政維修、家居裝修、二手閒置物品交易等日常生活服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

21.女性健康類:

基本功能服務:女性經期管理、備孕育兒、美容美體等健康管理服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用於健康管理的歷史信息。

22.用車服務類:

基本功能服務:共享單車、共享汽車、租賃汽車等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)使用共享汽車、租賃汽車服務用戶的證件類型和號碼,駕駛證影印件。

23.投資理財類:

基本功能服務:股票、期貨、基金、債券等相關投資理財服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件。

(3)投資理財用戶資金賬戶、銀行卡號碼。

24.手機銀行類:

基本功能服務:通過手機等移動智能終端設備進行銀行賬戶管理、信息查詢、轉賬匯款等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

25.郵箱雲盤類:

基本功能服務:郵箱、雲盤等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

26.遠程會議類:

基本功能服務:通過網絡提供音頻或視頻會議。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

27.網絡直播類:

基本功能服務:向公眾持續提供實時視頻、音頻、圖文等形式信息服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

28.在線影音類:

基本功能服務:影視、音樂播放和下載。

必要個人信息:無須個人信息,即可使用基本功能服務。

29.短視頻類:

基本功能服務:不超過一定時長的視頻搜索、播放。

必要個人信息:無須個人信息,即可使用基本功能服務。

30.新聞資訊類:

基本功能服務:新聞資訊的瀏覽、搜索。

必要個人信息:無須個人信息,即可使用基本功能服務。

31.運動健身類:

基本功能服務:運動記錄、健身管理等服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

32.瀏覽器類:

基本功能服務:瀏覽互聯網信息資源。

必要個人信息:無須個人信息,即可使用基本功能服務。

33.輸入法類:

基本功能服務:文字、符號等輸入。

必要個人信息:無須個人信息,即可使用基本功能服務。

34.安全管理類:

基本功能服務:查殺病毒、清理惡意插件、修復漏洞、清理優化、騷擾攔截、權限管理等。

必要個人信息:無須個人信息,即可使用基本功能服務。

35.電子圖書類:

基本功能服務:電子圖書閱讀。

必要個人信息:無須個人信息,即可使用基本功能服務。

36.拍攝美化類:

基本功能服務:拍攝、美顏、濾鏡等。

必要個人信息:無須個人信息,即可使用基本功能服務。

37.應用商店類:

基本功能服務:App下載和管理。

必要個人信息:無須個人信息,即可使用基本功能服務。

38.實用工具類:

基本功能服務:日曆、天氣、詞典翻譯、計算器、遙控器、手電筒、指南針、時鐘鬧鐘、文件傳輸、文件管理、壁紙鈴聲、截圖錄屏、錄音、協同辦公等。

必要個人信息:無須個人信息,即可使用基本功能服務。

沒有牙齒的老虎—個人資料保護法中損害賠償與行政罰鍰

我國對於個人資料(下稱個資)保護重視程度,或許能夠從個人資料保護法(下稱個資法)損害賠償與行政罰鍰相關規定略窺一二。

損害賠償

當公務機關或非公務機關違反個資法法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利時,應依個資法第28條與第29條負損害賠償責任。

然而,當被害人不易或不能證明其實際損害額時,被害人得請求法院依侵害情節,以每人每一事件新臺幣(下同)500元以上2萬元以下計算(個資法第28條第3項與個資法第29條第2項規定參照)。其修法理由表示:「考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點『證人、鑑定人到場之日費,每次依新臺幣500元支給』之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。」。

立法者於修法理由中表示前述金額已考量個資的價值性,似乎是認為當事人於個資受侵害時,其個資的價值只值500元~2萬元,同時也沒有考量到當事人訴訟費用與律師費等費用的支出,其金額的訂定,似乎過於草率。

行政罰鍰—限期改正

個資法中關於行政罰鍰的規定,主要分別有兩種不同的規範情形:
1.處5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之(個資法第47條)。
2.先限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰(個資法第48條)。

如果企業未依個資法第27條第1項採行適當安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,或是未依個資法第27條第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,則適用個資法第48條第4項規定(即前述第2種情形)。換句話說,主管機關將會先命企業限期改正,屆期未改正時,才會處以2萬元以上20萬元以下的罰鍰,但是企業於期限內改正時,主管機關便不能予以裁罰。

然而,第2種的行政管制手段,真的能夠有效促使企業遵循個資法的規定嗎?還是企業其實可以什麼都不做,等到被主管機關抓到之後再來改正就好?

行政罰鍰—金額

以下比較我國與其他國家的關於個資法的行政罰金額:

國家行政罰金額規定
我國最高按次處新臺幣50萬元以下罰鍰
歐盟一般資料保護規則(GDPR)最高處2000萬歐元(約新臺幣6.7億元)或企業者前一會計年度全球年營業額4%
巴西一般資料保護法(LGPD)最高處巴西幣5000萬元(約新臺幣2.7億元)或前一會計年度營業額2%金額
新加坡個資法(PDPA)對年營業額超過1000萬新元(約新臺幣2.1億元)的公司,最高處營業額10%的金額
中國大陸個人信息保護法草案最高處人民幣5000萬元(約新臺幣2.1億元)以下或者前一年度營業額5%的金額
印度個資法草案最高處1.5億盧比(約新臺幣5700萬元)或年營業額4%的金額

由上表可知,隨著歐盟一般資料保護規則(GDPR)的制定與施行,有許多國家逐漸仿效GDPR中關於行政處罰的模式,而大幅提高行政罰的金額,而我國目前的行政罰金額則是較為偏低。

對於處罰的金額應該如何訂定,經濟學家Avinash Dixit 與 Barry J. Nalebuff 兩位所合著的《思辯賽局(The art of strategy)》中提到:

停車計費器記錄的違規停車的罰金,往往是正常收費標準的好幾倍。設想一下,假如正常收費標準是每小時1美元,按照每小時1.01美元的標準進行處罰,能不能讓大家從此變得安分守己?有可能,條件是交通警察一定可以在你每次停車而又向計費器投錢時逮住你。但這種嚴格的管理方式可能代價不菲,這會讓交通警察的薪水成為首要課題;此外,為了保證警方說到做到,必須經常檢測收費機,這筆費用也可能相當龐大。

相反的,監管當局採用了一個同樣管用、代價卻更低的策略,那就是提高罰款金額,同時放鬆監管力度。比如,罰金若是高達每小時25美元,此時哪怕25次違規只有1次會被逮到,也足夠讓你乖乖付費停車了。一支規模更小的員警隊伍就能勝任這項工作,而收到罰金也更可能彌補管理成本。

從經濟學賽局理論的角度來看,儘管較低的罰鍰金額也能達到管制的目的,只是在監管上面,便會面臨人力不足與較高的管理成本等考量,而提高罰鍰金額,則一定程度能夠解決前述的人力與管理成本問題。

結語

加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada, OPC)今(2020)年11月提出其對於加拿大個資法改革的建議,其中便提到罰鍰最主要目的不在懲罰或阻止業者創新,而是力求確保最大程度的法令遵循,這是信任與尊重權利的基本條件。

前述議題,究竟如何處理才能在個資保護與企業法令遵循成本,以及其他許多面向(例如外資投資意願)中取得平衡,或許還需要從經濟學與心理學等角度分析,並且尚待更多的實證研究,然而假如當立法者都不願意重視個資保護的價值時,又如何能喚起機關或企業對此的重視與投資?

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答