靠攏GDPR,日本通過新修正個人情報保護法

日本國會於今年(即令和2年)6月5日通過「個人資料保護相關法律部分修正法案(個人情報の保護に関する法律等の一部を改正する法律案)」,該法將於兩年後全面施行。

本次修法旨在提升個人資料當事人的自身意識、平衡創新運用與個資保護以及因應資料跨境流通伴隨的新型風險,其修訂重點如下:

一、當事人權利的強化

  1. 放寬請求停止利用個資權利的要件
    新增在危害該當事人的權利或正當利益等特定情況下,得請求業者停止利用其個資或請求停止向第三方提供個資。
  2. 當事人得指定個人資料的揭露(開示)方法,例如以電磁紀錄方式或個人資料保護委員會(個人情報保護委員會)所規定的方法。
  3. 當事人得請求揭露業者提供個資給第三方的紀錄。

二、加重業者的義務

  1. 個資事故通報與通知義務
    業者發生個資事故而可能嚴重危害個人權益之虞時,原則應依該法第22條之2規定通報個人資料保護委員會與通知個資當事人。
  2. 禁止個資不當使用
    依該法新修訂第16條之2的規定,業者不得以具有助長或誘發違法或不當行為疑慮的方法利用個資。
  3. 向第三方提供個資時的告知義務
    對第三方提供個資時,應事先告知當事人或使當事人可得而知(包含業者姓名或名稱及住址、法人負責人姓名與提供給第三方個資的取得方法等事項),而在向國外第三方提供個資時,必須事先向當事人提供該外國之個資保護相關制度、該第三方保護個資所採取的措施與其他相關資訊。

三、刑事處罰的加重

該法同時也提升刑罰的法定刑,例如對於違反個人資料保護委員會命令的行為人,將法定刑提高至1年以下有期徒刑或100萬日元(約新臺幣27萬元)以下罰金,而對法人的罰金上限則提高至1億日元(約新臺幣2741萬元)。

四、假名化資料(仮名加工情報)的規範

為促進資料創新運用,該法訂定假名化資料相關規定。除法定情形外,假名化資料不得提供予第三方,僅能內部使用。另外假名化資料也排除日本個人資料保護法部分規定的適用(如當事人請求揭露、請求停止利用等)。

五、鼓勵業者取得個資保護認證

依照新修正的規定,除現行制度外,業者也能以業者特定部門取得個資保護認證。

六、域外效力

該法第75條於本次修法後,明確規定對日本國內提供產品或服務的業者、在國外處理日本國內當事人個資的業者以及在國外使用日本國內當事人個資建立假名化或匿名化資料等情形,均有該法的適用。

七、國際承諾的誠實履行

依照該法第78條之2規定,明確表示施行該法時,應避免妨礙日本所簽訂的條約與其他國際承諾誠實履行,同時也必須遵守已經成立的國際法規。由於日本已取得歐盟適足性認定,因此該條規定的新增,是否會使日本的執法逐漸向歐盟一般資料保護規則(GDPR)靠攏,仍值得觀察。

日本不僅與我國交流頻繁,其同時也是亞洲地區第一個獲得歐盟適足性認定的國家,而這次域外效力的修訂與若干當事人權利提升以及企業義務加重,其對於個人資料保護法的修訂與未來執法方向,將對我國國內企業與修法帶來不小的影響。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

談性向、約炮、多人運動與性隱私的保護

近期陸續發生藝人與網紅被揭露約炮、多人運動或是性向等情形,引起許多風波,從法律的角度來看,前述這些與性有關的資訊原則都屬於個人資料保護法(下稱個資法)第6條所謂的特種個人資料,而不得隨意蒐集、處理或利用。我國立法委員今年也分別提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,希望對於性隱私侵害的情形能有進一步的規範,保障受侵害當事人的權益。

個資法第6條第1項

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
1、法律明文規定。
2、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
3、當事人自行公開或其他已合法公開之個人資料。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
5、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

而個資法施行細則第4條第4項針對所謂的「性生活」個人資料,其定義為:「指性取向或性慣行之個人資料。」,因此揭露他人性向(性取向)、約炮或多人運動(性慣行)都可能會有個資法第6條特種個資規定的適用,只有在符合該條1到6款法律所規定的事由時,才能蒐集、處理或利用(例如將該等資料公開揭露)。

在媒體接獲爆料者爆料而揭露他人與性有關的資料的情形,其既非法律規定、也不是履行法定義務範圍內,更不可能是為了學術研究或是得到當事人同意,因此可能會有違反個資法第6條的規定。而違反個資法第6條時,可能會有以下民事、刑事與行政責任:

民事責任(個資法第28條第1項與第29條第1項):損害賠償

公務機關或非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,都應負損害賠償責任。同時受害者請求損害賠償時,還應特別注意個資法第30條關於請求權時效的規定,即必須自知有損害及賠償義務人時起2年內或自損害發生起5年內行使請求民事損害賠償的權利。

刑事責任(個資法第41條):5年以下有期徒刑,得併科新臺幣100萬元以下罰金

意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。

行政責任(個資法第47條第1款):5萬元以上50萬元以下罰鍰,並限期改正

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:1、違反第6條第1項規定。

另外依照個資法第50條 ,如非公務機關受到前述罰鍰處罰時,非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,否則原則上應受同一額度罰鍰之處罰。以前述案例來說,媒體公司的董事長(代表人)除非能證明其就該公司非法揭露他人性生活特種個人資料有盡到防止的義務,否則當該公司受到罰鍰時,仍可能會受到同一金額的罰鍰處罰。

性隱私保護之立法

除了前述個人資料保護法的規定,我國立法委員也分別於今(2020)年提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,「性隱私侵害防制條例草案」較其他草案所規範的「性隱私影像」外,更將「未經同意,將他人與性有關之行為紀錄、傳送、公開或揭露」等行為,定義為性隱私侵害。因此公開揭露他人的性生活等資訊,均可能屬於該「性隱私侵害防制條例草案」所謂的性隱私侵害,而有相關罰則的適用。

同時前述草案也都針對網際網路平臺業者、電信業者與廣播電視事業等有特別規範(例如於時限內移除相關資訊內容),如果違反的話甚至可能會按「每小時10萬元」處以罰鍰。

性隱私無疑是個人最私密的資訊,然而隨著資訊的流通,既有的規範難免有無法周全的時候,也因此會有新的立法與修法不斷推陳出新,而除了不要侵害他人的隱私之外,對於自身的隱私,仍然要多加注意,畢竟一經洩漏,可能是一生的傷害。

※你可能對這些文章會有興趣:
1.個資外洩,該怎麼辦?
2.關於COOKIES同意,你有更好的作法
3.個人資料保護管理制度(PIMS)比較
4.華盛頓州州長簽署臉部辨識法案
5.加拿大隱私專員辦公室提出AI監管方案

不如換AI當法官試試看?

每當社會對重大案件不滿的時候,例如最近的殺警案件,網路上便會浮現一種聲音,何不讓人工智慧(Artificial Intelligence, AI)來審判案件呢?一定會更公平,世界也會更美好吧?

在國外,儘管愛沙尼亞(Estonia)僅有132萬的人口,然而作為全球數位化程度最高的國家,其致力於提升政府的數位化程度,透過科技改善政府效能。愛沙尼亞的司法部(the Estonian Ministry of Justice)要求該國資料長(Chief data officer)Ott Velsberg及其團隊打造「機器人法官(robot judge)」,預計將用於處理低於8,000歐元(約新台幣26萬元)小額金錢紛爭,藉此減少法官與書記官的積案。根據外媒指出,由該機器人法官所作成的裁判將具法律拘束力,但仍然可以向人類法官提起上訴。

除了愛沙尼亞,中國大陸美國等各國家都開始嘗試將AI運用於司法系統,然而由AI當法官,是否會作出符合「民意」的判決呢?

以我國司法院殺人案件量刑資訊系統為例,其所查詢的判決資料僅有民國91年度至104年度,如果勾選「刑法第271條第1項殺人罪」、「犯罪方法:刺殺」、「犯罪工具:刀械、銳器類」與「被害人數:成年人 1 人」等量刑因子,將可查詢到199筆資料,其中有141件有期徒刑(平均刑度為13年5月)、50件無期徒刑與8件死刑。

如果再另外勾選「行為人與被害人關係:殺害員警或其他執行公權力之人」,則僅剩下1件無期徒刑,倘再繼續勾選「加重減輕:刑法第 19 條第 2 項精神障礙或心智缺陷之減刑」(該量刑資訊系統並未有刑法第19條第1項的選項可勾選),則無前例可循。

而司法院在107年12月21日所公布的「量刑趨勢建議系統」,宣稱「該系統將量刑資訊系統中之判決資料,透過統計迴歸方法,分析各種犯罪之刑度,及各種量刑因子對於刑度之影響力大小,並邀集審、檢、辯、學、相關政府機關及民間組織,組成焦點團體,深度討論藉由分析判決所得之量刑因子及影響力大小,予以適度修正調整,作成量刑趨勢建議系統。」。如果透過該量刑趨勢建議系統,針對刑法第271條第1項 殺人既遂罪,勾選其中所有的加重事由為「是」,其餘減輕事由均為「否」的話,則建議刑度為「有期徒刑20年」,如此結果是否會是社會所期待的公平與正義?

目前AI的系統,是基於機器判讀過往判決資料學習而來,如果在沒有資料可以參考的時候,AI該如何判斷?而在資料庫內有141件有期徒刑、50件無期徒刑與8件死刑的情形下,AI又該如何判斷?當AI作不出符合社會期待的判決,又該如何?

未來AI或許會足夠聰明到可以取代人類,然而以目前來說,如果將AI運用於司法判決,AI的演算法是由人類工程師所撰寫,AI所學習的判決資料是由人類法官所作成,AI判決的法律依據也是由人類所選出的立法者所立法,讓AI當法官所作成的判決,是否真的能夠符合社會的期待的公平正義,未來仍然值得觀察其發展。

然而,如果將法官依照法律作成的判決比喻為AI依照演算法與程式碼運行所得出的結果,當認為程式結果有問題的時候,除了審視AI是否出了問題外,是否還要由工程師檢視其背後演算法與程式碼的bug呢?

※延伸閱讀
1.精神疾病與刑法第19條是脫罪免死金牌?
2.加拿大隱私專員辦公室提出AI監管方案

精神疾病與刑法第19條是脫罪免死金牌?

近來媒體報導殺警案被告經法院判決無罪(臺灣嘉義地方法院108年度重訴字第6號刑事判決),鬧得沸沸揚揚,其中無罪的關鍵即是刑法第19條第1項的適用。

太多的學理討論就跳過了,早在2018年便有人在公共政策網路參與平臺上提議「廢除刑法第19條,,不得以精神疾病當免死金牌」,而有237人附議。然而,令筆者好奇的是,究竟實際上有多少法院判決採信被告精神疾病的抗辯,因此判處被告無罪?

筆者嘗試用Lawsnote法學資料庫,以「刑法第19條 刑法第271條第1項 精神 疾病 刑事 判決 -殺人未遂 -毒品 最高法院」關鍵字,搜尋最高法院與刑法第271條第1項殺人罪及精神疾病有關之105年度至109年度判決,最後整理比較表如下:

簡單比較105年度至109年度最高法院的相關確定判決後,可以發現在這10件判決中,僅有1件確定判決(108年度台上字1565號判決)是鑑定結果認為被告欠缺辨識能力,同時法院也認為有刑法第19條第1項適用,因而判處被告無罪(但仍有判處須受1年的監護處分)。

而在105年度台上字第3424號判決105年度台上字1097號判決,則是有鑑定結果認為被告犯罪當下其辨識能力可能已顯著降低,而由法院綜合其他證據,本於其確信認為被告無刑法第19條的適用,進而判處有罪。

因此,精神疾病真的是脫罪的免死金牌嗎?

曾經有位優秀的法官對我說過:「如果要推翻鑑定結果,那就必須要有確實的依據。」,基於無罪推定與罪疑唯輕等原則,在鑑定結果認為被告犯罪行為時欠缺辨識違法能力情形下,倘又無其他證據證明被告於行為時具有辨識行為違法的能力,則依現行刑法第19條第1項而為無罪判決,是法官依法判決的結果。

在這個民意如潮水的時代,一個順應民意的判決或許是個不會被罵的作法,但是法官有依法審判、依法判決的職責。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※相關法條:
刑法第19條第1項:行為時因精神障礙或其他心智缺陷,致不能辨識其行為違法或欠缺依其辨識而行為之能力者,不罰。
刑法第19條第2項:行為時因前項之原因,致其辨識行為違法或依其辨識而行為之能力,顯著減低者,得減輕其刑。
刑事訴訟法第301條:不能證明被告犯罪或其行為不罰者應諭知無罪之判決。

※延伸閱讀:
1.不如換AI當法官試試看?
2.臺灣嘉義地方法院108年度重訴字第6號刑事判決
3.司法院新聞稿
4.一起讀判決,〈火車殺警,為什麼無罪?
5.法操FOLLAW,〈【法操小教室】無罪推定原則與罪疑惟輕原則
6.〈【Yahoo論壇/楊貴智】精神疾病成為免死金牌?刑法不保護人民,誰來保護人民?