未分類 – 喵喵科技法律隨筆

五步驟快速建立自己的NFT—全球最大NFT交易平台Opensea教學

2022-01-30由meowtechlaw撰寫發表留言

最近NFT蔚為風潮，許多網紅藝人都推出屬於自己的NFT（Non-fungible tokens，中文通常稱為非同質化代幣），儘管有些人認為NFT只是炒作之下的產物，但物品的價值，本來就是人們所賦予的，就像遙遠的古代時，貝殼也能當作交易的貨幣。

擁有一件藝術品的NFT，在目前的法律體系還沒辦法聲稱擁有該藝術品的所有權或著作權，有人將其稱之為「數位冠名權」，其概念跟清朝的乾隆皇帝喜歡在藝術品上蓋上自己的印章有87％相像。

不管怎麼樣，能夠在區塊鏈上建立屬於自己的NFT，仍然是一個有趣的體驗。同時，透過全球最大的NFT交易平台Opensea，人人都能建立自己的NFT，並且在平台上面購買、出售與贈送NFT。

如果想在Opensea上建立自己的NFT的話，就馬上來跟著以下的步驟吧！

前置作業：註冊MetaMask錢包（可以參考MetaMask小狐狸區塊鏈錢包簡易六步驟註冊教學這篇文章）

Step1、進入Opensea首頁，點選「Create」

Step2、連結自己的錢包，可以連結前面所說的MetaMask錢包

Step3、上傳想要製作NFT的圖片，並填寫相關說明

在這邊我們以蛋塔人見人愛的照片作為示範。

Step4、在區塊鏈（Blockchain）的部分可以選擇要上傳到以太鏈（Ethereum）或Polygon。

在這次示範，我們選擇Polygon，並輸入Supply的數量為5。Polygon的優點是Gas-free還有可以同時建立多個NFT複本。反之上傳到以太鏈的話，不僅無法同時建立多個NFT複本，後續買賣也會需要額外支出Gas-fee的費用。

Step5、按下「Create」後，便成功建立自己的NFT了！

附錄1、如何販售NFT

以下簡單介紹販售NFT的流程，必須要注意的是，如果要出售的NFT是建立在以太鏈的話，會需要支付Gas-fee等額外費用，所以以下示範的是以前面建立NFT所提到的Polygon區塊鏈網路為基礎，先提前說明。

Step1、將鼠標移到右上角大頭貼，點選進入到「My Collections」

進入到「My Collections」後，就可以看到你所擁有的NFT了。

Step2、點選「Sell（出售）」

Step3、填入想販售的數量（Quantity）與價格（price），並送出（Complete listing）

後續依照系統指示的流程點選「Unlock」與「簽署（Sign）」，就可以成功上架販售了！

現在Opensea上，就能買到限量的蛋塔人見人愛NFT囉～

附錄2、如何贈送NFT

如果成功買到我們可愛蛋塔的NFT後，想要轉送給其他人該怎麼辦呢？以下簡單介紹贈送NFT的流程，必須要注意的是，如果要贈送的NFT是建立在以太鏈的話，會需要支付Gas-fee等額外費用，所以以下示範的是以前面所提到的Polygon區塊鏈網路為基礎，先提前說明。

Step1、進入到「My Collections」，點選「禮物（Transfer）」按鈕

Step2、填入想贈送的數量（Quantity）與想移轉對象的錢包地址（Address）

Step3、依序點選移轉（Transfer）與簽署

之後就會顯示移轉完成的訊息囉！此時，對方也能在他的帳號中「My collections」的頁面查看你所贈送的NFT。

如果覺得這篇文章還蠻有幫助的話，就幫忙分享給你的親朋好友吧，一起來探索NFT的可能性！

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵？英國ICO發布問責制框架
4.個資外洩，該怎麼辦？
5.歐盟法院SCHREMS II案與常見問答

區塊鏈（Blockchain）、未分類

MetaMask小狐狸區塊鏈錢包簡易六步驟註冊教學

2022-01-292022-01-30由meowtechlaw撰寫發表留言

如果在全球最大的NFT交易平台Opensea交易的話，會需要連結一個加密錢包，目前官方推薦的是MetaMask小狐狸區塊鏈錢包，以下簡單說明註冊的流程。

Step1、到Google chrome線上應用程式商店下載MetaMask

Step2、點選「新增擴充功能」

Step3、開始使用MetaMask

Step4、創建錢包

Step5、設定至少8個字元的密碼

Step6、記下助憶詞後開始使用

點選下方的「顯示助憶詞」，畫面會顯示12個英文單詞，務必要以適當方式記下來。如同官方網頁所述，任何人只要知道你的助憶詞，便可以存取你所擁有的MetaMask錢包。如果想在手機使用MetaMask，也可以於下載App之後，透過助憶詞的方式登入錢包。

記下助憶詞之後，點選下一頁，便可以開始使用錢包了！

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

AI人工智慧、臉部辨識、個人資料保護、未分類

英國預計裁罰臉部辨識服務公司Clearview AI 1700萬元英鎊

2021-12-12由meowtechlaw撰寫發表留言

2021年11月29日，英國資訊委員辦公室（The Information Commissioner’s Office, ICO）宣布預計對Clearview AI公司裁罰1700萬元英鎊（約6億2000萬元）之初步意向，同時要求停止進一步處理英國人民的個人資料，並刪除涉及嚴重違反英國資料保護法的個人資料。

Clearview AI公司宣稱其擁有世界上最龐大的臉部資料網路，先前ICO曾與澳洲資訊委員辦公室（the Office of the Australian Information Commissioner, OAIC）進行聯合調查，主要關注於Clearview AI公司使用從網路上取得的圖像與資料，以及使用生物識別技術進行臉部辨識。客戶能夠向Clearview AI公司提供圖像，以進行生物特徵進行搜尋，識別相關的臉部圖像結果，並與超過100億張圖像的資料庫進行對比。

ICO認為Clearview AI公司資料庫中的圖像很可能包含大量英國人民的資料，且可能是在人民不知情的情形下從網際網路上公開資訊中所取得，包含社群媒體平臺。ICO初步認為Clearview AI公司在下列面向未能遵循英國的資料保護法：

未能以資料主體預期或公平的方式處理英國人民的資料。
缺乏適當程序以避免資料無限期被保留。
缺乏蒐集資料之合法性。
生物識別資料的處理未能符合英國資料保護法與GDPR規範。
未對英國人民告知相關資料處理情形。
要求提供額外的照片等個人資料，可能與反對其資料被處理之個人的意向有悖。

澳洲OAIC所發布之調查結論亦認為Clearview AI公司違反澳洲之隱私法。其同樣認為Clearview AI違反1998年澳洲隱私法，包含未經同意澳洲人民的敏感資料、以不正當手段蒐集個人資料、未採取合理措施告知個人蒐集資料之情形、未確保所揭露的個人資料正確性以及未採取合理程序確保遵循澳洲的隱私原則等情形。OAIC決定要求Clearview AI停止蒐集澳洲人民的圖像與生物識別資料，並銷毀從澳洲蒐集的資料。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

AI人工智慧、臉部辨識、金融科技Fintech、個人資料保護、未分類

10個對匿名化的誤解

2021-11-252021-11-25由meowtechlaw撰寫發表留言

我國個人資料保護法（下稱個資法）制定之後，在相關討論時，常常聽見有關「去識別化」的探討，並且試圖將不同場景所處理的不同個人資料加以「去識別化」，希望能夠避免遵循個資法規定。而在歐盟一般資料保護規則（General Data Protection Regulation, GDPR）下，則區分有匿名化（anonymization）資料與假名化（pseudonymization）資料兩種概念。匿名化資料係指不涉及已識別或可識別自然人的資訊或以不再可識別的方式匿名化的資料。由於匿名化資料已失去個人資料之屬性，因此並無GDPR之適用。至於假名化資料，由於其仍可透過使用額外資訊進而識別當事人身分，因此其於GDPR之概念底下仍屬個人資料之一種。實務上，組織常常因為想要避免遵循GDPR或個人資料保護法等規範，想要透過將資料匿名化的方式來因應隱私保護法令之遵循，而對「匿名化」存有誤解。

西班牙的資料保護主管機關（AEPD）因此提出「10個對匿名化的誤解」指引，向大眾說明與釐清匿名化的概念，以下摘要如下：

誤解1：匿名化等於假名化

匿名化資料係指不能與特定個人相關連的資料，一但資料真正匿名化且無法識別個人，該資料便無GDPR的適用。而另外一個概念是假名化資料，依照GDPR的定義，假名化資料係指該個人資料在不使用額外資訊時，不再能夠識別出特定之資料主體，且該額外資料已被分開存放，並以技術及組織措施確保該個人資料無法或無可識別出當事人。然而本質上，假名化資料仍然屬於GDPR所保護的個人資料。

誤解2：加密等於匿名化

AEPD指出，加密並不是一種匿名化的技術，而是屬於假名化的工具。加密過程中使用金鑰來轉化資料，降低資料遭不當存取的風險，並保持一定的機密性，然而原始資料解密之後仍然可以被存取，此時解密的金鑰即屬於前述所提到的「額外資訊」，其使被加密的資料能夠讀取，並進而識別個人。同時，考量加密演算法與金鑰的強度與技術進步（例如量子運算）等因素，縱然將加密金鑰刪除，仍無法確保加密資料無法被解密，因此即使將加密金鑰刪除，仍無法認為加密資料是屬於匿名化資料。

誤解3：資料總是可以匿名化

匿名化是一個嘗試在降低重新識別風險與保持資料集在預期用途的可用性間找到正確平衡的過程。然而根據資料的情境與性質，可能無法充分減輕重新識別的風險，例如可能的個體總數太小時（例如一個僅包含705名歐洲議會成員的匿名資料集），或是當個體間資料類別特別不同時（例如位置資料），即有可能無法充分減輕重新識別風險。

誤解4：匿名化是永恆的

實際上隨著時間的演進，不論是因為科技的進步（雲端運算與量子運算等技術），或是因為多年的資料外洩事故，均可能會將以前匿名化資料重新識別個人。

誤解5：匿名化重新識別的風險為零

匿名化過程與其應用方式，將會對重新識別風險的可能性產生直接影響。強而有力的匿名化過程目的在於將重新識別的風險降低到特定閾值以下，該閾值取決於現有的緩解控制措施、重新識別對個人隱私的影響、動機與攻擊者重新識別的能力，實際上重新識別的剩餘風險並不會為零。

誤解6：匿名化是無法衡量的概念

AEPD認為，不應將匿名化資料理解為資料集單純區分為是否匿名。任何資料集都有可能根據其個人化的可能性進行識別，強而有力的匿名化過程應評估重新識別的風險，同時必須隨著時間進行管理與控制。

除非在資料非常籠統的特定情形下，例如統計一年中每個國家或地區的網站存取者之資料集，否則重新識別的風險永遠不會是零。

誤解7：匿名化可以完全自動化

匿名化的過程中，需要對原始資料集、其預期目的、要應用的技術與重新識別資料的風險進行分析。去除或遮蔽直接標識符是匿名化過程中的重要部分，但必須同時伴隨著尋找其他識別來源的謹慎分析。因此，儘管匿名化過程可以透過自動化工具來完成，但專家的干預仍然有其必要性。

誤解8：匿名化使資料喪失用處

匿名化資料的目標是防止資料集中的個人被識別，例如將出生年月日以年份為分組，匿名化資料在某種情形下降低資料集的可用性，但並不意味匿名化資料是毫無用處的，但其可用性將取決於被接受的重新識別目的與風險。

另外，個人資料的儲存時間不能超過其原始目的規定的時間，某些資料控制者的解決方案可能是將個人資料匿名化，例如將網站存取紀錄匿名化，僅保留存取日期與存取頁面之紀錄，而不保存何人存取網站的資料。

GDPR的資料最小化原則要求資料控制者確定是否有必要處理個人資料以實現特定目的，或者該特定目的是否可以透過匿名化資料實現。某些情形下，可能導出資料的匿名化不符合其預期目的的結論，資料控制者必須在處理個人資料與適用GDPR之間作出決策。

誤解9：遵循他人成功的匿名化流程，也會成功將資料匿名化

匿名化流程與食譜不同，甚至就算依照食譜操作仍然有可能作出風味各異的菜色，匿名化流程必須考量處理的性質、範圍、背景與目的，以及自然人權利與自由不同之可能性與嚴重程度的風險。

在不同的情境可能有不同的資料集，而可能與匿名化資料交叉比對，進而影響重新識別的風險，例如在瑞典有關納稅人的個人資料是公開資料，而在西班牙則為非公開。因此，一個包含西班牙與瑞典公民資料的資料集，縱使按照相同程序進行匿名化處理，重新識別的風險可能也會不同。

誤解10：知曉資料歸屬於何人並沒有風險或利益

個人資料本身即具有價值，對於個人本身或第三方都是如此，重新識別個人身份可能對該個人的權利與自由產生嚴重影響。匿名化攻擊的形式可能包含有意地重新識別、無意地重新識別嘗試、安全漏洞或公開揭露資料，無論是出於好奇、偶然或是利益（例如科學研究、新聞或犯罪活動）。

準確評估重新識別對個人私人生活的影響較為困難，因為該影響始終取決於情境與相關資訊，例如在對於電影偏好情境下重新識別感興趣的個人，可能可以推斷該人的政治傾向或性傾向，但是這些政治傾向或性傾向在GDPR中屬於敏感性個人資料，而需特別予以保護。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

行政法、個人資料保護、國家賠償法、未分類

教育部學習歷程出包，誰該負責？

2021-09-26由meowtechlaw撰寫

近日鬧的沸沸揚揚的「高中學習歷程」事件，據報導記載因為工程師疏失，相關虛擬主機的硬碟設定失誤，而導致有7854名學生總共2.5萬筆的資料遺失。儘管教育部長於今年9月26日已公開致歉，並表示將由專人協助學生檔案上傳等補救措施，並將依契約追究暨南大學團隊疏失及教育部國民及學前教育署（下稱國教署）督導不周的行政責任，然而目前的補救措施並未提及對學生的賠償或補償相關事宜。

學生歷程檔案為個資法所保護

依照個人資料保護法（下稱個資法）第2條第1款規定，個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。學生的學習歷程檔案，記錄學生於高中時期的學習表現，包含考試成果、學習軌跡、個人特質與能力發展等資料，其應屬於個資法所欲保護的個人資料。

學生可依國家賠償法向教育部與國教署求償

按受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。（個資法第4條有明文規定），另外依照個資法施行細則第8條規定，委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督，且必須定期確認受託者執行之狀況，並將確認結果記錄之。另外當公務機關違反個資法規定，導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任，且被害人如有非財產上損害（即精神慰撫金），亦可請求賠償相關金額（個資法第28條第1項與第2項）。

因此，儘管相關情形依報導記載可能是因為國立暨南國際大學資工團隊（下稱暨大團隊）的疏失所造成，然而依照前述個資法規定，委託機關（即國教署）不僅對暨大團隊負有監督義務，同時暨大團隊相關疏失亦應由國教署負擔相關賠償責任。類似學習歷程檔案因硬碟設定錯誤導致不可用，已對學生個人資料的正確性、完整性與可用性造成影響，而侵害學生之權利，學生自得循國家賠償程序向國教署求償（個資法第31條規定），被害人當然也可以選擇向直接對學生歷程檔案造成影響的暨大團隊求償。另外雖然相關賠償金額並不易證明，但學生仍得請求法院依侵害情節，依個資法規定酌定相當金額（以每人每一事件新臺幣500元以上2萬元以下計算）。

結論

學生歷程檔案對高中生的升學影響重大，當學生歷程檔案受到影響，其關於個資當事人的權利即已受到侵害，學生自然可以依個資法等相關規定選擇向國教署或暨大團隊求償，但最好的情況，則是教育部與國教署認知到自己的責任，除了道歉之外，還應適時予以補償或賠償學生的損害。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

個人資料保護、未分類

要建立Facebook粉絲專頁嗎？挪威資料保護主管機關的答案是No

2021-09-23由meowtechlaw撰寫發表留言

就像許多政府機關喜歡透過社群平台與民眾交流，資料保護主管機關當然也不例外。挪威資料保護主管機關（Datatilsynet）於2021年9月22日宣布其將不會使用Facebook建立粉絲專頁，由於經過資料保護影響評估（Data protection impact assessments）後，其認為透過Facebook粉絲專頁處理個人資料對使用者權利與自由的風險過高，且Datatilsynet也無法落實歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第26條關於共同控制者等規定，甚至無法透過實施適當措施來降低相應風險。Datatilsynet表示其應為第一個依據GDPR規定對Facebook粉絲頁面進行全面性的組織，其並非基於監督者的角色，而是從控制者的角色去進行相關評估。同時Datatilsynet也發布「Risk assessment: Should the Norwegian Data Protection Authority create a Page on Facebook?」報告，期望引起相關使用社群媒體的討論。

風險評估與共同控制者

Datatilsynet認為，經過風險評估後，透過Facebook粉絲專頁處理個人資料對使用者權利與自由的具有高度的風險。同時依據歐洲法院（European Court of Justice, ECJ）的Wirtschaftsakademie和Fashion ID 的兩項裁決，社群媒體與其他方之間的互動可能構成GDPR第26條共同控制，而須符合相關規定，但Datatilsynet認為其無法透過與Facebook成立單獨的協議來遵循相關規定。

必要性與適當性

Datatilsynet接著評估資料處理的必要性和適當性（Necessity and proportionality），以確保以資料控制者的身分做出的決策是合法的，並且以與目的相符的方式進行處理。其評估GDPR資料保護原則、資料主體的權利與資料主體的自由是否受到保護。評估結果認為儘管Datatilsynet作為粉絲專頁所有者，同時具有保護資料主體的法律依據，並遵循相關資料保護原則，但Datatilsynet使用粉絲專頁將會受到Facebook 及其條款的支配。同時，Datatilsynet還認為Facebook沒有充分落實GDPR第25條關於資料保護設計與預設（data protection by design and by default）的規定，以提供適當的資料保護。

資料主體觀點

Datatilsynet從資料主體的角度出發，評估資料主體行使相關權利時是否受到保障，包含透明性（Transparency）、可預期性（Predictability）以及Datatilsynet很可能無法以積極的方式協助資料主體行使其權利。

結論

Datatilsynet工作小組依GDPR第35條進行前述DPIA，並依同條第2項規定諮詢資料保護長（Data protection officer, DPO）後，提交相關報告予管理階層討論，Datatilsynet考量前揭DPIA結果與DPO的建議後，決定不於Facebook上建立粉絲專頁與透過粉絲專頁與民眾進行交流。附帶一提，Datatilsynet目前是透過Twitter來經營其社群媒體。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

行政法、個人資料保護、未分類

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

2021-09-09由meowtechlaw撰寫有 6 則迴響

愛爾蘭資料保護委員會（Data Protection Commission, DPC）於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則（GDPR）的調查與結論，過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則，包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始，DPC便開始著手調查，經過漫長的程序之後，DPC於2020年12月依據GDPR第60條向所有相關主管機關（Concerned Supervisory Authorities, CSA）提交一份決定草案，且隨後即收到8個CSA的反對意見，由於DPC無法與CSA就反對意見達成共識，並於2021年6月3日觸發GDPR第65條的爭端解決程序（dispute resolution process）。

2021年7月28日，歐盟資料保護委員會（European Data Protection Board, EDPB）通過具有拘束力之決定，該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估，並提高原先擬議的罰款金額，在重新評估後，DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外，DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要：

一、對非使用者（non-users）的透明性

1.在lossy hashing之前，非使用者的電話號碼構成個人資料。

2.在lossy hashing之後，非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料，然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人，以及資料控制者或第三方能夠於資料集（dataset）中挑選（single out）出資料主體的技術能力有關。EDPB參考第29條工作小組（WP29）關於匿名化的指引，認為K-Anonymity的方法僅能避免遭挑選出來的風險，而無法避免被連結（linkability）或被推論（inference）的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險，WhatsApp也具有此等能力，因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條，即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定，但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示，確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期，以基於安全（safety）與保護（security）的目的，於控制者對控制者基礎上與Facebook間共享個人資料，否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除，以反映真實情形。

四、透明性原則

綜合上述，WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後，DPC參考歐盟法院競爭法的判決，由於Facebook公司能夠對WhatsApp施加決定性影響（decisive influence），認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約（Treaty on the Functioning of the European Union, TFEU）」第101條與第102條的企業（undertaking），因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵？英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩，該怎麼辦？
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

行政法、個人資料保護、未分類

荷蘭資料保護主管機關因兒童隱私保護不足裁罰TikTok75萬歐元

2021-08-07由meowtechlaw撰寫發表留言

荷蘭資料保護主管機關（The Dutch Data Protection Authority, DPA）於今年7月22日宣布裁罰TikTok75萬歐元（約新台幣2477萬元）。荷蘭DPA認為TikTok應用程式在安裝與使用時對荷蘭使用者提供的資料是以英文呈現，使用者難以理解其內容。 TikTok 有許多的兒童使用者， TikTok 缺乏對應用程式如何蒐集、處理與利用個人資料，對這些使用者提供充分且清楚的解釋，構成對隱私權的侵害。

荷蘭DPA的調查

在荷蘭，有許多的兒童手機都安裝有 TikTok ，荷蘭DPA因為考量兒童隱私問題，針對該應用程式進行深入調查。兒童在法律上被視為特別脆弱的群體，其很少能夠意識到自身行為所帶來的影響與後果，包含在社群媒體上分享個人資料所帶來的影響。因此，資料保護法針對兒童給予特別的保護。

對總部設在歐洲的公司，主要由總部所在的歐盟成員國負責監督其營運活動，而如果一家公司沒有在歐洲設立總部，則任何歐盟成員國都能對其營運活動進行監督。荷蘭DPA表示，在調查當初 TikTok 尚未在歐洲設立總部，直到後來才在愛爾蘭設立部門。因此DPA只被授權針對 TikTok 的隱私權聲明進行調查，其他隱私侵害行為則由愛爾蘭資料保護委員會接手後續調查與處理。

預防數位誘拐與網路霸凌措施

去年10月時，荷蘭DPA向 TikTok 提出調查結果報告，後續 TikTok 進行一連串的改變，致力於使應用程式對16歲以下的兒童更加安全。然而，兒童在建立其帳號時，仍然可以透過填寫不同的年齡來假裝為成年人，這樣的機制讓兒童暴露於風險之中，這個問題仍然尚待解決。

兒童隱私保護趨勢

未來隱私論壇（The Future of Privacy Forum）於今年7月28日發布「資料保護未來趨勢觀察：2021-2022歐洲資料保護主管機關監管策略（Insights into the future of data protection enforcement: Regulatory strategies of European Data Protection Authorities for 2021-2022）」報告，該份報告整理與分析法國、葡萄牙、比利時、挪威、瑞典、愛爾蘭、保加利亞、丹麥、芬蘭、拉脫維亞、立陶宛、盧森堡與德國等15個國家以及歐洲資料保護委員會（European Data Protection Board, EDPB）與歐洲資料保護監督機關（European Data Protection Supervisor, EDPS）的監管策略，其中便有超過半數的主管機關表達對兒童隱私保護的關切，將保護兒童個人資料列為優先監管事項，並發布相關指引與執法計畫。

2021年3月2日時，聯合國兒童權利委員會（Committee on the Rights of the Child）也發布「第25號一般性意見—數位環境下的兒童權利（General comment No. 25 (2021) on children’s rights in relation to the digital environment）」強調數位環境下的兒童權利應受到保護與尊重。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

※你可能會對這些文章有興趣
1.揭開黑箱，說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵？英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩，該怎麼辦？
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

個人資料保護、未分類

愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

2021-07-242021-07-28由meowtechlaw撰寫發表留言

隨著越來越多人進行疫苗接種，愛爾蘭資料保護委員會（Data Protection Commission，DPC）指出，雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說，愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下，進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下，雇主應該如何瞭解員工疫苗接種情形？愛爾蘭DPC表示可以由以下面向來討論：

就業環境

根據現行版本的安全工作協議（Work Safely Protocol: COVID-19 National Protocol for Employers and Workers），建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施，同時在提供第一線醫療保健服務的情境，根據相關具體指導，疫苗接種可以被視為必要的安全措施，在這些情形時，雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議，無論疫苗接種情形，相關公共衛生感染預防與控制措施（例如保持社交距離、手部衛生、口罩與適當的通風）、以及在家工作等相關措施仍應維持。因此，基於資料最小化的原則，雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則（GDPR）下的敏感性個人資料，受到法律特殊的保障。而依照現行的安全工作協議，COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係，個人並無法控制其何時能夠接種疫苗，甚至因為疫苗的年齡限制，年輕人在短期內也無法接種疫苗，代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素，所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中，個人資料的處理發生在員工（資料主體）與雇主之間，兩者的關係存在不平衡的情況，因此也不應以員工同意的方式處理疫苗接種資料，這種情況下，難以符合自由給予的同意要件。

醫務官員（Medical Officer of Health）

依相關法律規定，醫務官員在履行公共衛生職責的過程中，可能會需要瞭解員工的疫苗接種情形，在這樣的情形下，則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料，來知道員工是否處於自我隔離期間，但在這種情形，可以要求員工說明其可以重返工作的時間，來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封，日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同，疫苗接種資料因為其敏感性，在我國同樣屬於特種個人資料，企業倘須蒐集、處理或利用這些疫苗接種資料，則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前，企業可以盡量避免蒐集此類特種個資，降低個資保存的風險，優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

AI人工智慧、個人資料保護、未分類

FTC提出誠實、公平與公正的AI使用建議

2021-06-19由meowtechlaw撰寫發表留言

人工智慧（artificial intelligence, AI）技術不斷的發展，在改變醫藥、金融等不同領域時，同時也引起主管機關的注意，美國聯邦貿易委員會（Federal Trade Commission）在2021年4月19日時，針對公司使用AI時如何同時確保真實（truth）、公平（fairness）與公正（equity）提出建議。

FTC指出AI的使用可能產生令人不安的後果，包含種族歧視或其他層面的歧視，例如透過COVID-19預測模型可以有效分配病床、呼吸機與其他資源來幫助公共衛生系統對抗病毒，然而美國醫學資訊協會（American Medical Informatics Association）雜誌近期的一則研究指出，如果前述模型使用的資料反映了既有醫療保健服務中所存在的種族歧視，那將會使有色人種受到不平等的醫療服務。

FTC以其過往的經驗，提供建議如下：

從正確的基礎開始

對於AI來說，如果其資料集缺少特定人群的資訊，利用這些資料所建立的AI模型將可能對受法律保障的族群產生不公平的結果，因此一開始便要考慮改良資料集的方法、設計模型時考量資料的差異，並且根據其缺點限制AI模型使用的地方或方式。

注意歧視性的結果

最重要的是在使用AI前後定期測試演算法、，確保不會基於種族、性別或其他受保障的族群進行歧視。

擁抱透明性與獨立性

須要考慮如何實現透明性與獨立性，例如透過相關框架與標準，進行與公布獨立稽核的結果，以及將資料與原始碼（source code）對外開放檢查。

避免誇大演算法

對於客戶或消費者的陳述必須真實，且不具欺騙性，不須要過度誇大演算法的效能。例如告訴客戶，公司的AI產品能夠提供100％公正的雇用決策，但實際上演算法背後所使用的資料卻缺少種族或性別多樣性，這將可能會有問題。

說明如何使用資料

如果未能清楚的告訴使用者資料將會如何被使用，後續將會有相關法律風險，例如Everalbum利用使用者所上傳的照片來訓練其臉部辨識演算法，然而FTC認為該公司讓使用者誤以為其有能力控制關於臉部辨識的相關功能，並且未能於使用者關閉帳號後刪除使用者的照片或影片，FTC要求該公司刪除非法取得的資料，並且須要刪除基於使用者照片或影片所開法的臉部辨識模型與演算法。

避免有害的行為

儘管演算法可以讓公司知道最有興趣購買其產品的消費者，表面上看起來是一件不錯的事情，然而從另一個角度來看，假如這個模型透過種族、膚色、宗教與性別來精準定位這些消費者，則可能會踩到紅線。當相關行為導致或可能導致消費者受到實質性傷害，且消費者無法合理地避免傷害，同時消費者或競爭的利益不足以抵銷傷害時，FTC將會質疑這樣的行為是違反FTC法第5條的。

負起相應的責任

公司必須對自己的行為負責，如果公司無法做到的話，FTC表示他們會幫你做到這件事情。

歐盟執委會（European Commission）同樣於今年4月21日，針對AI技術發布「AI規則（Artificial Intelligence Regulation）」草案，打算藉此建立歐盟對於AI的監管框架。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！