教育部學習歷程出包,誰該負責?

近日鬧的沸沸揚揚的「高中學習歷程」事件,據報導記載因為工程師疏失,相關虛擬主機的硬碟設定失誤,而導致有7854名學生總共2.5萬筆的資料遺失。儘管教育部長於今年9月26日已公開致歉,並表示將由專人協助學生檔案上傳等補救措施,並將依契約追究暨南大學團隊疏失及教育部國民及學前教育署(下稱國教署)督導不周的行政責任,然而目前的補救措施並未提及對學生的賠償或補償相關事宜。

學生歷程檔案為個資法所保護

依照個人資料保護法(下稱個資法)第2條第1款規定,個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。學生的學習歷程檔案,記錄學生於高中時期的學習表現,包含考試成果、學習軌跡、個人特質與能力發展等資料,其應屬於個資法所欲保護的個人資料

學生可依國家賠償法向教育部與國教署求償

按受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。(個資法第4條有明文規定),另外依照個資法施行細則第8條規定,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督,且必須定期確認受託者執行之狀況,並將確認結果記錄之。另外當公務機關違反個資法規定,導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,且被害人如有非財產上損害(即精神慰撫金),亦可請求賠償相關金額(個資法第28條第1項與第2項)。

因此,儘管相關情形依報導記載可能是因為國立暨南國際大學資工團隊(下稱暨大團隊)的疏失所造成,然而依照前述個資法規定,委託機關(即國教署)不僅對暨大團隊負有監督義務,同時暨大團隊相關疏失亦應由國教署負擔相關賠償責任。類似學習歷程檔案因硬碟設定錯誤導致不可用,已對學生個人資料的正確性、完整性與可用性造成影響,而侵害學生之權利,學生自得循國家賠償程序向國教署求償(個資法第31條規定),被害人當然也可以選擇向直接對學生歷程檔案造成影響的暨大團隊求償。另外雖然相關賠償金額並不易證明,但學生仍得請求法院依侵害情節,依個資法規定酌定相當金額(以每人每一事件新臺幣500元以上2萬元以下計算)。

結論

學生歷程檔案對高中生的升學影響重大,當學生歷程檔案受到影響,其關於個資當事人的權利即已受到侵害,學生自然可以依個資法等相關規定選擇向國教署或暨大團隊求償,但最好的情況,則是教育部與國教署認知到自己的責任,除了道歉之外,還應適時予以補償或賠償學生的損害。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

要建立Facebook粉絲專頁嗎?挪威資料保護主管機關的答案是No

就像許多政府機關喜歡透過社群平台與民眾交流,資料保護主管機關當然也不例外。挪威資料保護主管機關(Datatilsynet)於2021年9月22日宣布其將不會使用Facebook建立粉絲專頁,由於經過資料保護影響評估(Data protection impact assessments)後,其認為透過Facebook粉絲專頁處理個人資料對使用者權利與自由的風險過高,且Datatilsynet也無法落實歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第26條關於共同控制者等規定,甚至無法透過實施適當措施來降低相應風險。Datatilsynet表示其應為第一個依據GDPR規定對Facebook粉絲頁面進行全面性的組織,其並非基於監督者的角色,而是從控制者的角色去進行相關評估。同時Datatilsynet也發布「Risk assessment: Should the Norwegian Data Protection Authority create a Page on Facebook?」報告,期望引起相關使用社群媒體的討論。

風險評估與共同控制者

Datatilsynet認為,經過風險評估後,透過Facebook粉絲專頁處理個人資料對使用者權利與自由的具有高度的風險。同時依據歐洲法院(European Court of Justice, ECJ)的WirtschaftsakademieFashion ID 的兩項裁決,社群媒體與其他方之間的互動可能構成GDPR第26條共同控制,而須符合相關規定,但Datatilsynet認為其無法透過與Facebook成立單獨的協議來遵循相關規定。

必要性與適當性

Datatilsynet接著評估資料處理的必要性和適當性(Necessity and proportionality),以確保以資料控制者的身分做出的決策是合法的,並且以與目的相符的方式進行處理。其評估GDPR資料保護原則、資料主體的權利與資料主體的自由是否受到保護。評估結果認為儘管Datatilsynet作為粉絲專頁所有者,同時具有保護資料主體的法律依據,並遵循相關資料保護原則,但Datatilsynet使用粉絲專頁將會受到Facebook 及其條款的支配。同時,Datatilsynet還認為Facebook沒有充分落實GDPR第25條關於資料保護設計與預設(data protection by design and by default)的規定,以提供適當的資料保護。

資料主體觀點

Datatilsynet從資料主體的角度出發,評估資料主體行使相關權利時是否受到保障,包含透明性(Transparency)、可預期性(Predictability)以及Datatilsynet很可能無法以積極的方式協助資料主體行使其權利。

結論

Datatilsynet工作小組依GDPR第35條進行前述DPIA,並依同條第2項規定諮詢資料保護長(Data protection officer, DPO)後,提交相關報告予管理階層討論,Datatilsynet考量前揭DPIA結果與DPO的建議後,決定不於Facebook上建立粉絲專頁與透過粉絲專頁與民眾進行交流。附帶一提,Datatilsynet目前是透過Twitter來經營其社群媒體。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

愛爾蘭資料保護委員會(Data Protection Commission, DPC)於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則(GDPR)的調查與結論,過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則,包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始,DPC便開始著手調查,經過漫長的程序之後,DPC於2020年12月依據GDPR第60條向所有相關主管機關(Concerned Supervisory Authorities, CSA)提交一份決定草案,且隨後即收到8個CSA的反對意見,由於DPC無法與CSA就反對意見達成共識,並於2021年6月3日觸發GDPR第65條的爭端解決程序(dispute resolution process)。

2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要:

一、對非使用者(non-users)的透明性

1.在lossy hashing之前,非使用者的電話號碼構成個人資料。

2.在lossy hashing之後,非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料,然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人,以及資料控制者或第三方能夠於資料集(dataset)中挑選(single out)出資料主體的技術能力有關。EDPB參考第29條工作小組(WP29)關於匿名化的指引,認為K-Anonymity的方法僅能避免遭挑選出來的風險,而無法避免被連結(linkability)或被推論(inference)的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險,WhatsApp也具有此等能力,因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條,即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定,但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示,確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期,以基於安全(safety)與保護(security)的目的,於控制者對控制者基礎上與Facebook間共享個人資料,否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除,以反映真實情形。

四、透明性原則

綜合上述,WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

荷蘭資料保護主管機關因兒童隱私保護不足裁罰TikTok75萬歐元

荷蘭資料保護主管機關(The Dutch Data Protection Authority, DPA)於今年7月22日宣布裁罰TikTok75萬歐元(約新台幣2477萬元)。荷蘭DPA認為TikTok應用程式在安裝與使用時對荷蘭使用者提供的資料是以英文呈現,使用者難以理解其內容。 TikTok 有許多的兒童使用者, TikTok 缺乏對應用程式如何蒐集、處理與利用個人資料,對這些使用者提供充分且清楚的解釋,構成對隱私權的侵害。

荷蘭DPA的調查

在荷蘭,有許多的兒童手機都安裝有 TikTok ,荷蘭DPA因為考量兒童隱私問題,針對該應用程式進行深入調查。兒童在法律上被視為特別脆弱的群體,其很少能夠意識到自身行為所帶來的影響與後果,包含在社群媒體上分享個人資料所帶來的影響。因此,資料保護法針對兒童給予特別的保護。

對總部設在歐洲的公司,主要由總部所在的歐盟成員國負責監督其營運活動,而如果一家公司沒有在歐洲設立總部,則任何歐盟成員國都能對其營運活動進行監督。荷蘭DPA表示,在調查當初 TikTok 尚未在歐洲設立總部,直到後來才在愛爾蘭設立部門。因此DPA只被授權針對 TikTok 的隱私權聲明進行調查,其他隱私侵害行為則由愛爾蘭資料保護委員會接手後續調查與處理。

預防數位誘拐與網路霸凌措施

去年10月時,荷蘭DPA向 TikTok 提出調查結果報告,後續 TikTok 進行一連串的改變,致力於使應用程式對16歲以下的兒童更加安全。然而,兒童在建立其帳號時,仍然可以透過填寫不同的年齡來假裝為成年人,這樣的機制讓兒童暴露於風險之中,這個問題仍然尚待解決。

兒童隱私保護趨勢

未來隱私論壇(The Future of Privacy Forum)於今年7月28日發布「資料保護未來趨勢觀察:2021-2022歐洲資料保護主管機關監管策略(Insights into the future of data protection enforcement: Regulatory strategies of European Data Protection Authorities for 2021-2022)」報告,該份報告整理與分析法國、葡萄牙、比利時、挪威、瑞典、愛爾蘭、保加利亞、丹麥、芬蘭、拉脫維亞、立陶宛、盧森堡與德國等15個國家以及歐洲資料保護委員會(European Data Protection Board, EDPB)與歐洲資料保護監督機關(European Data Protection Supervisor, EDPS)的監管策略,其中便有超過半數的主管機關表達對兒童隱私保護的關切,將保護兒童個人資料列為優先監管事項,並發布相關指引與執法計畫。

2021年3月2日時,聯合國兒童權利委員會(Committee on the Rights of the Child)也發布第25號一般性意見—數位環境下的兒童權利(General comment No. 25 (2021) on children’s rights in relation to the digital environment)」強調數位環境下的兒童權利應受到保護與尊重。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

隨著越來越多人進行疫苗接種,愛爾蘭資料保護委員會(Data Protection Commission,DPC)指出,雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說,愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下,進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下,雇主應該如何瞭解員工疫苗接種情形?愛爾蘭DPC表示可以由以下面向來討論:

就業環境

根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議,無論疫苗接種情形,相關公共衛生感染預防與控制措施(例如保持社交距離、手部衛生、口罩與適當的通風)、以及在家工作等相關措施仍應維持。因此,基於資料最小化的原則,雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則(GDPR)下的敏感性個人資料,受到法律特殊的保障。而依照現行的安全工作協議,COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係,個人並無法控制其何時能夠接種疫苗,甚至因為疫苗的年齡限制,年輕人在短期內也無法接種疫苗,代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素,所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中,個人資料的處理發生在員工(資料主體)與雇主之間,兩者的關係存在不平衡的情況,因此也不應以員工同意的方式處理疫苗接種資料,這種情況下,難以符合自由給予的同意要件。

醫務官員(Medical Officer of Health)

依相關法律規定,醫務官員在履行公共衛生職責的過程中,可能會需要瞭解員工的疫苗接種情形,在這樣的情形下,則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料,來知道員工是否處於自我隔離期間,但在這種情形,可以要求員工說明其可以重返工作的時間,來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封,日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同,疫苗接種資料因為其敏感性,在我國同樣屬於特種個人資料,企業倘須蒐集、處理或利用這些疫苗接種資料,則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前,企業可以盡量避免蒐集此類特種個資,降低個資保存的風險,優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

FTC提出誠實、公平與公正的AI使用建議

人工智慧(artificial intelligence, AI)技術不斷的發展,在改變醫藥、金融等不同領域時,同時也引起主管機關的注意,美國聯邦貿易委員會(Federal Trade Commission)在2021年4月19日時,針對公司使用AI時如何同時確保真實(truth)、公平(fairness)與公正(equity)提出建議

FTC指出AI的使用可能產生令人不安的後果,包含種族歧視或其他層面的歧視,例如透過COVID-19預測模型可以有效分配病床、呼吸機與其他資源來幫助公共衛生系統對抗病毒,然而美國醫學資訊協會(American Medical Informatics Association)雜誌近期的一則研究指出,如果前述模型使用的資料反映了既有醫療保健服務中所存在的種族歧視,那將會使有色人種受到不平等的醫療服務。

FTC以其過往的經驗,提供建議如下:

從正確的基礎開始

對於AI來說,如果其資料集缺少特定人群的資訊,利用這些資料所建立的AI模型將可能對受法律保障的族群產生不公平的結果,因此一開始便要考慮改良資料集的方法、設計模型時考量資料的差異,並且根據其缺點限制AI模型使用的地方或方式。

注意歧視性的結果

最重要的是在使用AI前後定期測試演算法、,確保不會基於種族、性別或其他受保障的族群進行歧視。

擁抱透明性與獨立性

須要考慮如何實現透明性與獨立性,例如透過相關框架與標準,進行與公布獨立稽核的結果,以及將資料與原始碼(source code)對外開放檢查。

避免誇大演算法

對於客戶或消費者的陳述必須真實,且不具欺騙性,不須要過度誇大演算法的效能。例如告訴客戶,公司的AI產品能夠提供100%公正的雇用決策,但實際上演算法背後所使用的資料卻缺少種族或性別多樣性,這將可能會有問題。

說明如何使用資料

如果未能清楚的告訴使用者資料將會如何被使用,後續將會有相關法律風險,例如Everalbum利用使用者所上傳的照片來訓練其臉部辨識演算法,然而FTC認為該公司讓使用者誤以為其有能力控制關於臉部辨識的相關功能,並且未能於使用者關閉帳號後刪除使用者的照片或影片,FTC要求該公司刪除非法取得的資料,並且須要刪除基於使用者照片或影片所開法的臉部辨識模型與演算法。

避免有害的行為

儘管演算法可以讓公司知道最有興趣購買其產品的消費者,表面上看起來是一件不錯的事情,然而從另一個角度來看,假如這個模型透過種族、膚色、宗教與性別來精準定位這些消費者,則可能會踩到紅線。當相關行為導致或可能導致消費者受到實質性傷害,且消費者無法合理地避免傷害,同時消費者或競爭的利益不足以抵銷傷害時,FTC將會質疑這樣的行為是違反FTC法第5條的。

負起相應的責任

公司必須對自己的行為負責,如果公司無法做到的話,FTC表示他們會幫你做到這件事情。

歐盟執委會(European Commission)同樣於今年4月21日,針對AI技術發布「AI規則(Artificial Intelligence Regulation)」草案,打算藉此建立歐盟對於AI的監管框架。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元

2021年5月2日,挪威資料保護主管機關Datatilsynet公布由於Disqus對於網站使用者的追蹤未能遵循歐盟一般資料保護規則(General Data Protection Regulation, GDPR),不符合合法性、透明性與問責原則的要求,因此預計對Disqus處以250萬歐元罰款。

Disqus是Zeta Global下的美國公司,該公司提供線上公眾留言分享平臺,Disqus 使用 Disqus小工具對挪威網站的使用者進行追蹤,其相關資料也揭露給第三方的廣告合作夥伴。

Disqus對於挪威資料主體的個人資料進行處理

Disqus認為其透過cookies所蒐集的資料並非GDPR所謂的個人資料,因為其無法從cookies IDs識別個人。

然而主管機關認為,儘管cookie ID無法像姓名或地址一樣能夠單獨識別(identify)自然人,然而每個cookie ID均為獨特且置放於自然人的瀏覽器,使得控制者(controller)能夠區別(distinguish)每個人,並監控該自然人與網路的互動,cookie ID構成GDPR第4(1)條規定所規定的可得識別(identifiable)個人資料。因此,Disqus將cookies置入於網站使用者的終端設備,賦予每一個使用者單一的cookies ID,並藉此追蹤使用者,蒐集IP位址、網站存取時間,進而分析相關資訊,根據網路活動、興趣或其他特徵將使用者分門別類,構成GDPR下個人資料的處理。

Disqus屬於控制者

主管機關認為Disqus基於其自身商業利益對網站使用者進行追蹤、分析與剖析,即其資料蒐集是為了線上行為定向廣告(online behavioural advertising),將資料揭露予Zeta Global與其他第三方,同時Disqus決定了個人資料處理的目的與方式,構成GDPR第4(7)條所謂的控制者。

本案有GDPR的適用

雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。

主管機關認為,Disqus提供Disqus小工具,讓挪威的網站使用者能夠透過小工具對於網站內容發表留言與評論,該小工具讓挪威的資料主體能夠存取使用,顯示挪威的頂級域名(top-level domain),並以挪威語言提供,因此可以認定Disqus向挪威的資料主體(data subjects)提供服務,而有GDPR第3(2)(a)條的適用。另外,Disqus置入cookie並透過cookies蒐集網站使用者的資料,同樣也構成GDPR第3(2)(b)條所謂監控位於挪威境內的資料主體。

因此,儘管Disqus並非於歐洲經濟區內設立的公司,但因為其行為構成向挪威資料主體提供服務與監控位於挪威境內的資料主體,因此仍有GDPR的適用。

Datatilsynet具有本案管轄權

Disqus表示不論是Disqus或Zeta Global都沒有於挪威進行商業活動,認為挪威資料保護主管機關Datatilsynet並沒有法律管轄權(legal jurisdiction)進行調查或採取相關措施。

主管機關認為,Disqus於歐洲經濟區並未有分支機構(establishment),因此本案沒有GDPR第56(1)條合作機制(cooperation mechanism)的適用。同時依據歐洲資料保護委員會(European Data Protection Board, EDPB)所認可的第29條工作小組(The Article 29 Working Party, WP29)指引,控制者於歐盟沒有任何分支機構時,其必須透過當地代表與各成員國的主管機關交涉,沒有GDPR第56條一站式機制(one-stop-shop system)的適用。因此,Datatilsynet作為挪威資料保護主管機關自然能夠依據GDPR第55(1)條所賦予的權限處理本案。

Disqus違反問責原則

根據GDPR的問責原則(accountability principle),控制者必須予以負責並顯示其確實遵循GDPR的規定。主管機關認為,Disqus作為控制者,其應於公司開始處理挪威資料主體的個人資料之「前」,確保遵循GDPR與確立個人資料處理的法律基礎。由於Disqus並未意識到其GDPR適用於挪威使用者,可見Disqus並未評估個人資料處理活動的合法性,因而違反GDPR的問責原則。

Disqus 未落實對資料主體的告知

根據GDPR第12(1)條規定,Disqus應在開始追蹤資料主體時向資料主體提供資訊,換言之,當資料主體打開網站時,Disqus便應於網站和小工具上提供隱私權政策,Disqus將隱私權政策至於網站的最底部的行為並不符合GDPR第12(1)條提供資訊義務、第13條告知義務與5(1)(a)透明性原則的規定。

Disqus 不具個人資料處理的合法基礎

主管機關認為,Disqus未能確立其個人資料處理的法律基礎,也未能取得資料主體的合法同意,而在GDPR第6(1)(f)條的正當利益(legitimate interes)衡平測試(balance test)檢驗下,儘管Disqus基於行銷與商業營利的目的販售廣告構成該條所謂的正當利益,但Disqus在整體個人資料處理與揭露第三方的商業模式,過於廣泛、不透明且以侵犯的方式追求Disqus自身的線上行為定向廣告利益,甚至未能依法告知資料主體,使資料主體無法控制或終止追蹤,因此不符合必要性。

最後在衡平測試的檢驗,Disqus將未取得同意所蒐集來的資料分享予第三方,這些第三方隨後又可能將該資料揭露予其他第三方,Disqus的商業利益並未優於資料主體的負面影響(包含剖析、資料保護與言論自由等基本人權),因此並無GDPR第6(1)(f)條的正當利益條款的適用。

本案裁罰決定

依照GDPR第83(1)條規定,裁罰應為有效(effective)、適當(proportionate)且具懲罰性(dissuasive)。主管機關基於前揭的論述,認為Disqus違反GDPR第5(2)、6(1)與第13條等規定,考量GDPR第83(2)條所列的各款因素後,依據GDPR第83(5)條,裁罰Disqus共2500萬元挪威克朗(約為250萬歐元),其裁罰金額大約等於Disqus公司2018年營業額的15%,然而這並非最終決定,Disqus公司仍可於2021年5月31日前表示意見,Datatilsynet後續將會考量該公司的回覆作出最終決定。

由於本案 Disqus 公司於歐洲經濟區並未有分支機構,因此後續裁罰將會如何執行值得關注。另外本案也提及GDPR一站式的機制不適用於在歐盟境內沒有分支機構的企業,因此當企業在歐洲經濟區內沒有設立分支機構,而有違反GDPR相關規定,且涉及各國資料主體時,似乎各國的主管機關對此情形均可能有管轄權,倘各國主管機關對此違反情形均為裁罰,對企業將會是一大衝擊。對於我國企業而言,仍然必須檢視業務流程是否會涉及其他國家法令,避免誤觸紅線。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

企業常見資料保護錯誤

英國資訊委員辦公室(Information Commissioner’s Office, ICO)為了幫助個人經營者、中小型企業瞭解資料保護事項,羅列一些常見的資料保護錯誤,並提供相關建議如下。

常見錯誤一、發送電子郵件給錯誤的對象

當你的通訊錄有好幾個相同名字的時候,這是非常容易發生的。當開始在收件者欄位輸入名字時,自動填入工具固然方便,可以加速寄信的過程。但是如果錯誤地將個人資料發送給錯誤的對象,那麼使用自動填入工具節省下來的幾秒鐘就會耗費你更多的時間。

如何解決:

1.盡快收回電子郵件,如果無法收回,聯繫收信者並請他們刪除。同時,在後續寄送電子郵件時,考慮關閉自動填入工具。

2.如果符合個資外洩的情形,則應依循相關法律規定,在資料外洩後72小時候儘速處理。

常見錯誤二、服務資訊與行銷資訊的混用

服務資訊(Service messages)與行銷資訊(marketing messages)兩者並不相同,服務資訊旨在透過提供重要的事實資訊讓人們瞭解情形,例如關於產品安全的警示。另一方面,行銷資訊則旨在推廣服務、企業或組織。

如何解決:

在蒐集與利用個人資料前,確保瞭解行銷的相關規定,無論是產品、服務或是想法,同時還需要注意不要將服務資訊與行銷資訊混為一談,即使在行銷郵件的末段添加一句服務資訊,仍然也需要遵守行銷的相關規定。

常見錯誤三、打開不熟悉的網頁連結或附件

你可能偶爾會收到陌生人的電子郵件,或者收到看起來可疑的連結或附件。有時候這些可能是釣魚郵件或其他類型的網路犯罪,而可能導致電腦系統的損壞。

如何解決:

1.為所有工作設備設置合適的防火牆

2.合於用途的儲存系統

3.訓練人員知道如何在點擊連結或打開附件前識別可疑的電子郵件

常見錯誤四、保留不需要的資料

你擁有的個人資料越多,就需要更多的儲存空間與安全措施來確保資料的安全,意味著需要花費更多的時間與金錢。例如當處理一個當事人行使權利的請求時,你可能需要搜尋成千上萬的舊文件,這將花費許多時間。另外,根據資料保護法的規定,個人資料的保存時間不應超過你所需要的時間。

如何解決:

如果你被要求保留一定時間的資訊,例如財務、醫療或法律紀錄,在保存政策中記錄理由。並且應該定期整理所擁有的資料,並且在不再需要資料時安全地銷毀個人資料。

常見錯誤五、忽略個人權利行使

在資料保護法中,人們對自己的個人資料能夠行使當事人權利,例如他們可以請求提供你所持有關於他的任何個人資料。

當事人權利行使可以透過書面或口頭的方式提出,人們不需要直接聯繫到組織的特定聯絡人或者使用特定的語言、形式。組織不能要求人們以書面行使當事人權利,或者要求他們使用特定表格。

如果你收到當事人以口頭的方式行使其權利,如果他願意的話,可以邀請他以書面形式提出,或是人們於電話中提出請求時,將其請求以書面記錄下來,有一個書面紀錄對雙方都是有益的。但無論是否有書面紀錄,人們的口頭請求仍然有效,例如員工在會議上要求公司提供他們的個人資料,這將被視為當事人權利行使的一種。

如何解決:

確保組織與員工瞭解如何識別當事人權利行使,以及如果收到相關請求應該怎麼辦。簡單來說,如果有人要求組織提供他們的個人資料,你需要在法定的期限內提供他們個人資料的複製本。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

中國大陸公布網路交易監督管理辦法,強化網路交易監管

中國大陸國家市場監督管理總局於2021年3月15日發布網路交易監督管理辦法,針對網路交易經營者羅列總共56條規定,該管理辦法旨在規範網路交易活動、維護網路交易秩序、保障網路交易各方主體合法權益,進而促進數位經濟持續健康發展。以下謹就該辦法關於個資保護的部分說明如下:

一、規範對象:網路交易經營者

該辦法所謂網絡交易經營者,是指組織、開展網絡交易活動的自然人、法人和非法人組織,包括網絡交易平台經營者、平台內經營者、自建網站經營者以及通過其他網絡服務開展網絡交易活動的網絡交易經營者。 

二、強化個資當事人自主權

該辦法於第13條規範網路交易經營者蒐集、使用消費者個人資料的應遵循事項,包含合法、正當與必要等原則。同時該辦法也強調,網路交易經營者不得採行一次概括授權、預設授權、綑綁授權或停止安裝使用等方式,強迫或變相強迫消費者同意蒐集、使用與經營活動無直接相關的資料。

如果網路交易經營者蒐集或使用消費者個人生物特徵、醫療健康、金融帳戶、個人位置等敏感資料,則應該逐項取得消費者同意。

三、當事人拒絕行銷

依辦法第16條,網絡交易經營者在未經消費者同意或者請求的情形下,不得向其發送商業性資訊。而當網絡交易經營者發送商業性資訊時,應明示其真實身份和聯繫方式,並向消費者提供顯著、簡便、免費的拒絕繼續接收資訊的方式。消費者明確表示拒絕後,網路交易經營者應立即停止發送,且不得更換名義後再次對消費者發送。

四、罰則

倘網路經營者違反前述規定,依該辦法第41條規定,如無其他法令適用時,則市場監督管理部門可以限期改正,並可以裁罰人民幣5,000元以上30,000元以下的罰款。

儘管目前中國大陸關於個人資料保護法的立法仍然在審議中,然而現行對於個資保護仍然有民法與前揭辦法等規範的適用。同時,該網路交易監督管理辦法除了前述關於個資保護規定之外,也針對網路直播、商品綑綁搭售、自動續約等網路交易常見爭議情形進行規範,並定有相關罰則,我國民眾與企業在中國大陸經營相關網路交易業務時,對此必須特別注意。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

個資外洩求償判決與舉證責任轉換之運用

根據媒體報導,去(2020)年民眾通報高風險賣場前5名,分別是Momo購物網、小三美日、讀冊生活、486團購網與Hito本舖,其通報數量均超過200件,其中以Momo購物網383件居冠。

以法學搜尋系統Lawsnote搜尋網路購物相關個資外洩求償判決,2018年至2020年的民事判決件數僅有18件,其中原告勝訴的判決為11件,勝訴率約為60%。然而仔細檢視原告敗訴的案件,其中不乏因為原告(即消費者)無法證明詐騙集團所使用的資料來自被告公司的個資外洩行為,而因此敗訴。

臺灣高雄地方法院109年度雄小字第3154號判決為例,法院即表示「當事人主張有利於己之事實,他造對之有爭執者,有提出證據以證明其事實為真實之責任,主張積極事實者應負舉證之責任,乃為舉證責任分配之原則。依上開規定,本件原告主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個資係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任。」

然而,個資存放與安全措施的相關資料與證據均為企業所持有,一般民眾要證明遭詐騙時的個資是來自被告公司何其困難,因此即有法院判決透過舉證責任轉換的運用,降低民眾求償的舉證門檻。

「按當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條規定甚明。上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。」(臺灣臺北地方法院106年度北小字第2161號民事判決參照)

另外也有判決從常態事實與變態事實兩者的舉證責任出發,認為駭客入侵公司電腦竊取大量客戶資料屬於常態事實,侵入個人電腦竊取個人消費資料屬於變態事實,而應由被告公司先舉證證明其已善盡客戶消費資料的保存責任且未遭不法蒐集。

「按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料(含所留之聯繫資料,例如:手機號碼、住家地址等)更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」臺灣士林地方法院107年度湖簡字第110號民事判決參照。

本文將相關法院判決與舉證責任轉換運用與否,粗淺地整理如下表。由下方表格可以觀之,18件判決中,法院有適當運用舉證責任轉換的判決均是對原告有利的結果(如表格灰色標記處)。而法院未運用舉證責任轉換共有12件,其中原告敗訴的判決有7件(約佔58%),儘管案件的勝負尚有其他影響因素,但仍然可以看出,法院倘運用舉證責任轉換,對於原告(民眾)是較為有利的。

民事訴訟法第277條也提到「當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限。」,因此法院在相關案件適用前述條文時,仍應適當考量原告與被告雙方能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等情形,來決定雙方舉證責任或是否減輕證明度。倘若法院一律機械式套用當事人主張有利於己的事實,均對該事實有舉證之責任,則難免無法達到個案正義,同時不免有法律強人所難之嘆。同時,法院判決兼具「傳達訊息」之功能,儘管個資外洩相關判決,因為其所涉及金額較低,往往無法上訴到最高法院,然而隨著隱私權與資料保護的重視,也期待法院為相關判決時,可以多加著墨,引領相關議題的討論。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則