分類: 行政法

行政法個人資料保護國家賠償法未分類

教育部學習歷程出包,誰該負責?

meowtechlaw撰寫

近日鬧的沸沸揚揚的「高中學習歷程」事件,據報導記載因為工程師疏失,相關虛擬主機的硬碟設定失誤,而導致有7854名學生總共2.5萬筆的資料遺失。儘管教育部長於今年9月26日已公開致歉,並表示將由專人協助學生檔案上傳等補救措施,並將依契約追究暨南大學團隊疏失及教育部國民及學前教育署(下稱國教署)督導不周的行政責任,然而目前的補救措施並未提及對學生的賠償或補償相關事宜。

學生歷程檔案為個資法所保護

依照個人資料保護法(下稱個資法)第2條第1款規定,個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。學生的學習歷程檔案,記錄學生於高中時期的學習表現,包含考試成果、學習軌跡、個人特質與能力發展等資料,其應屬於個資法所欲保護的個人資料

學生可依國家賠償法向教育部與國教署求償

按受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。(個資法第4條有明文規定),另外依照個資法施行細則第8條規定,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督,且必須定期確認受託者執行之狀況,並將確認結果記錄之。另外當公務機關違反個資法規定,導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,且被害人如有非財產上損害(即精神慰撫金),亦可請求賠償相關金額(個資法第28條第1項與第2項)。

因此,儘管相關情形依報導記載可能是因為國立暨南國際大學資工團隊(下稱暨大團隊)的疏失所造成,然而依照前述個資法規定,委託機關(即國教署)不僅對暨大團隊負有監督義務,同時暨大團隊相關疏失亦應由國教署負擔相關賠償責任。類似學習歷程檔案因硬碟設定錯誤導致不可用,已對學生個人資料的正確性、完整性與可用性造成影響,而侵害學生之權利,學生自得循國家賠償程序向國教署求償(個資法第31條規定),被害人當然也可以選擇向直接對學生歷程檔案造成影響的暨大團隊求償。另外雖然相關賠償金額並不易證明,但學生仍得請求法院依侵害情節,依個資法規定酌定相當金額(以每人每一事件新臺幣500元以上2萬元以下計算)。

結論

學生歷程檔案對高中生的升學影響重大,當學生歷程檔案受到影響,其關於個資當事人的權利即已受到侵害,學生自然可以依個資法等相關規定選擇向國教署或暨大團隊求償,但最好的情況,則是教育部與國教署認知到自己的責任,除了道歉之外,還應適時予以補償或賠償學生的損害。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

行政法個人資料保護未分類

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

meowtechlaw撰寫WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元 有 6 則迴響

愛爾蘭資料保護委員會(Data Protection Commission, DPC)於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則(GDPR)的調查與結論,過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則,包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始,DPC便開始著手調查,經過漫長的程序之後,DPC於2020年12月依據GDPR第60條向所有相關主管機關(Concerned Supervisory Authorities, CSA)提交一份決定草案,且隨後即收到8個CSA的反對意見,由於DPC無法與CSA就反對意見達成共識,並於2021年6月3日觸發GDPR第65條的爭端解決程序(dispute resolution process)。

2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要:

一、對非使用者(non-users)的透明性

1.在lossy hashing之前,非使用者的電話號碼構成個人資料。

2.在lossy hashing之後,非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料,然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人,以及資料控制者或第三方能夠於資料集(dataset)中挑選(single out)出資料主體的技術能力有關。EDPB參考第29條工作小組(WP29)關於匿名化的指引,認為K-Anonymity的方法僅能避免遭挑選出來的風險,而無法避免被連結(linkability)或被推論(inference)的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險,WhatsApp也具有此等能力,因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條,即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定,但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示,確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期,以基於安全(safety)與保護(security)的目的,於控制者對控制者基礎上與Facebook間共享個人資料,否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除,以反映真實情形。

四、透明性原則

綜合上述,WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

行政法個人資料保護未分類

荷蘭資料保護主管機關因兒童隱私保護不足裁罰TikTok75萬歐元

meowtechlaw撰寫在 荷蘭資料保護主管機關因兒童隱私保護不足裁罰TikTok75萬歐元 發表留言

荷蘭資料保護主管機關(The Dutch Data Protection Authority, DPA)於今年7月22日宣布裁罰TikTok75萬歐元(約新台幣2477萬元)。荷蘭DPA認為TikTok應用程式在安裝與使用時對荷蘭使用者提供的資料是以英文呈現,使用者難以理解其內容。 TikTok 有許多的兒童使用者, TikTok 缺乏對應用程式如何蒐集、處理與利用個人資料,對這些使用者提供充分且清楚的解釋,構成對隱私權的侵害。

荷蘭DPA的調查

在荷蘭,有許多的兒童手機都安裝有 TikTok ,荷蘭DPA因為考量兒童隱私問題,針對該應用程式進行深入調查。兒童在法律上被視為特別脆弱的群體,其很少能夠意識到自身行為所帶來的影響與後果,包含在社群媒體上分享個人資料所帶來的影響。因此,資料保護法針對兒童給予特別的保護。

對總部設在歐洲的公司,主要由總部所在的歐盟成員國負責監督其營運活動,而如果一家公司沒有在歐洲設立總部,則任何歐盟成員國都能對其營運活動進行監督。荷蘭DPA表示,在調查當初 TikTok 尚未在歐洲設立總部,直到後來才在愛爾蘭設立部門。因此DPA只被授權針對 TikTok 的隱私權聲明進行調查,其他隱私侵害行為則由愛爾蘭資料保護委員會接手後續調查與處理。

預防數位誘拐與網路霸凌措施

去年10月時,荷蘭DPA向 TikTok 提出調查結果報告,後續 TikTok 進行一連串的改變,致力於使應用程式對16歲以下的兒童更加安全。然而,兒童在建立其帳號時,仍然可以透過填寫不同的年齡來假裝為成年人,這樣的機制讓兒童暴露於風險之中,這個問題仍然尚待解決。

兒童隱私保護趨勢

未來隱私論壇(The Future of Privacy Forum)於今年7月28日發布「資料保護未來趨勢觀察:2021-2022歐洲資料保護主管機關監管策略(Insights into the future of data protection enforcement: Regulatory strategies of European Data Protection Authorities for 2021-2022)」報告,該份報告整理與分析法國、葡萄牙、比利時、挪威、瑞典、愛爾蘭、保加利亞、丹麥、芬蘭、拉脫維亞、立陶宛、盧森堡與德國等15個國家以及歐洲資料保護委員會(European Data Protection Board, EDPB)與歐洲資料保護監督機關(European Data Protection Supervisor, EDPS)的監管策略,其中便有超過半數的主管機關表達對兒童隱私保護的關切,將保護兒童個人資料列為優先監管事項,並發布相關指引與執法計畫。

2021年3月2日時,聯合國兒童權利委員會(Committee on the Rights of the Child)也發布第25號一般性意見—數位環境下的兒童權利(General comment No. 25 (2021) on children’s rights in relation to the digital environment)」強調數位環境下的兒童權利應受到保護與尊重。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

AI人工智慧行政法個人資料保護未分類

挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元

meowtechlaw撰寫在 挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元 發表留言

2021年5月2日,挪威資料保護主管機關Datatilsynet公布由於Disqus對於網站使用者的追蹤未能遵循歐盟一般資料保護規則(General Data Protection Regulation, GDPR),不符合合法性、透明性與問責原則的要求,因此預計對Disqus處以250萬歐元罰款。

Disqus是Zeta Global下的美國公司,該公司提供線上公眾留言分享平臺,Disqus 使用 Disqus小工具對挪威網站的使用者進行追蹤,其相關資料也揭露給第三方的廣告合作夥伴。

Disqus對於挪威資料主體的個人資料進行處理

Disqus認為其透過cookies所蒐集的資料並非GDPR所謂的個人資料,因為其無法從cookies IDs識別個人。

然而主管機關認為,儘管cookie ID無法像姓名或地址一樣能夠單獨識別(identify)自然人,然而每個cookie ID均為獨特且置放於自然人的瀏覽器,使得控制者(controller)能夠區別(distinguish)每個人,並監控該自然人與網路的互動,cookie ID構成GDPR第4(1)條規定所規定的可得識別(identifiable)個人資料。因此,Disqus將cookies置入於網站使用者的終端設備,賦予每一個使用者單一的cookies ID,並藉此追蹤使用者,蒐集IP位址、網站存取時間,進而分析相關資訊,根據網路活動、興趣或其他特徵將使用者分門別類,構成GDPR下個人資料的處理。

Disqus屬於控制者

主管機關認為Disqus基於其自身商業利益對網站使用者進行追蹤、分析與剖析,即其資料蒐集是為了線上行為定向廣告(online behavioural advertising),將資料揭露予Zeta Global與其他第三方,同時Disqus決定了個人資料處理的目的與方式,構成GDPR第4(7)條所謂的控制者。

本案有GDPR的適用

雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。

主管機關認為,Disqus提供Disqus小工具,讓挪威的網站使用者能夠透過小工具對於網站內容發表留言與評論,該小工具讓挪威的資料主體能夠存取使用,顯示挪威的頂級域名(top-level domain),並以挪威語言提供,因此可以認定Disqus向挪威的資料主體(data subjects)提供服務,而有GDPR第3(2)(a)條的適用。另外,Disqus置入cookie並透過cookies蒐集網站使用者的資料,同樣也構成GDPR第3(2)(b)條所謂監控位於挪威境內的資料主體。

因此,儘管Disqus並非於歐洲經濟區內設立的公司,但因為其行為構成向挪威資料主體提供服務與監控位於挪威境內的資料主體,因此仍有GDPR的適用。

Datatilsynet具有本案管轄權

Disqus表示不論是Disqus或Zeta Global都沒有於挪威進行商業活動,認為挪威資料保護主管機關Datatilsynet並沒有法律管轄權(legal jurisdiction)進行調查或採取相關措施。

主管機關認為,Disqus於歐洲經濟區並未有分支機構(establishment),因此本案沒有GDPR第56(1)條合作機制(cooperation mechanism)的適用。同時依據歐洲資料保護委員會(European Data Protection Board, EDPB)所認可的第29條工作小組(The Article 29 Working Party, WP29)指引,控制者於歐盟沒有任何分支機構時,其必須透過當地代表與各成員國的主管機關交涉,沒有GDPR第56條一站式機制(one-stop-shop system)的適用。因此,Datatilsynet作為挪威資料保護主管機關自然能夠依據GDPR第55(1)條所賦予的權限處理本案。

Disqus違反問責原則

根據GDPR的問責原則(accountability principle),控制者必須予以負責並顯示其確實遵循GDPR的規定。主管機關認為,Disqus作為控制者,其應於公司開始處理挪威資料主體的個人資料之「前」,確保遵循GDPR與確立個人資料處理的法律基礎。由於Disqus並未意識到其GDPR適用於挪威使用者,可見Disqus並未評估個人資料處理活動的合法性,因而違反GDPR的問責原則。

Disqus 未落實對資料主體的告知

根據GDPR第12(1)條規定,Disqus應在開始追蹤資料主體時向資料主體提供資訊,換言之,當資料主體打開網站時,Disqus便應於網站和小工具上提供隱私權政策,Disqus將隱私權政策至於網站的最底部的行為並不符合GDPR第12(1)條提供資訊義務、第13條告知義務與5(1)(a)透明性原則的規定。

Disqus 不具個人資料處理的合法基礎

主管機關認為,Disqus未能確立其個人資料處理的法律基礎,也未能取得資料主體的合法同意,而在GDPR第6(1)(f)條的正當利益(legitimate interes)衡平測試(balance test)檢驗下,儘管Disqus基於行銷與商業營利的目的販售廣告構成該條所謂的正當利益,但Disqus在整體個人資料處理與揭露第三方的商業模式,過於廣泛、不透明且以侵犯的方式追求Disqus自身的線上行為定向廣告利益,甚至未能依法告知資料主體,使資料主體無法控制或終止追蹤,因此不符合必要性。

最後在衡平測試的檢驗,Disqus將未取得同意所蒐集來的資料分享予第三方,這些第三方隨後又可能將該資料揭露予其他第三方,Disqus的商業利益並未優於資料主體的負面影響(包含剖析、資料保護與言論自由等基本人權),因此並無GDPR第6(1)(f)條的正當利益條款的適用。

本案裁罰決定

依照GDPR第83(1)條規定,裁罰應為有效(effective)、適當(proportionate)且具懲罰性(dissuasive)。主管機關基於前揭的論述,認為Disqus違反GDPR第5(2)、6(1)與第13條等規定,考量GDPR第83(2)條所列的各款因素後,依據GDPR第83(5)條,裁罰Disqus共2500萬元挪威克朗(約為250萬歐元),其裁罰金額大約等於Disqus公司2018年營業額的15%,然而這並非最終決定,Disqus公司仍可於2021年5月31日前表示意見,Datatilsynet後續將會考量該公司的回覆作出最終決定。

由於本案 Disqus 公司於歐洲經濟區並未有分支機構,因此後續裁罰將會如何執行值得關注。另外本案也提及GDPR一站式的機制不適用於在歐盟境內沒有分支機構的企業,因此當企業在歐洲經濟區內沒有設立分支機構,而有違反GDPR相關規定,且涉及各國資料主體時,似乎各國的主管機關對此情形均可能有管轄權,倘各國主管機關對此違反情形均為裁罰,對企業將會是一大衝擊。對於我國企業而言,仍然必須檢視業務流程是否會涉及其他國家法令,避免誤觸紅線。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

行政法個人資料保護未分類民法

中國大陸個人信息保護法草案全文發布

meowtechlaw撰寫中國大陸個人信息保護法草案全文發布 有 2 則迴響

中國大陸第13屆全國人大常委會日前於第22次會議針對《個人信息保護法(草案)》進行審議,並公布草案全文,徵求各界意見至2020年11月19日止。

鑑於我國不乏有企業與中國大陸進行商務往來,此次中國大陸個人信息保護法草案,倘通過立法,其對於我國企業於中國大陸的經營,將可能帶來不小的衝擊。該草案全文共70條,內容不僅賦予自然人就其個人資料之權利,更課與個人信息處理者相應義務,且違反者最高可處5000萬元以下或上一年度營業額5%的罰款,同時可能遭命暫停相關業務、停業整頓或吊銷營業執照等處罰,其所規範的法律效果值得有關企業重視。

同時由該草案全文也可略窺歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的影子,雖然並未全部移植GDPR規範內容,然而不論是對於自然人的權利、企業的義務、罰款金額,甚至是域外效力的規範,均可看出該個人信息保護法草案試圖仿效GDPR就個人資料的處理與保護進行規範。以下簡要介紹該草案的內容

一、地域適用範圍

依該草案第3條,於下列情形,均有個人信息保護法的適用

(一)在中國大陸境內處理(包含個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動)自然人個人信息的活動。

(二)在中國大陸境外處理自然人個人信息的活動,且符合下列情形:
1.以向境內自然人提供產品或服務為目的。
2.為分析評估中國大陸境內自然人的行為。
3.法律、行政法規規定的其他情形。

二、個人信息的定義

依該草案第4條規定,所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息(不包括匿名化處理後的信息)。同時於草案第29條第2項將種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤與其他一旦洩漏或者非法使用可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息列為敏感個人信息,而需另外遵守特別規定(第29條至第32條)。

三、個人自主權保障

(一)自主同意與個人信息處理

倘個人信息的處理是基於個人的同意,應當在個人充分知情的前提下、自願、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定(第14條第1項),同時,個人有權撤回其同意(第16條)。

當個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應重新取得個人同意(第14條第2項)。另外,個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息時,應取得未成年人監護人的同意。

最後,除個人信息的處理是提供產品或服務所必須外,個人信息處理者不得以個人不同意處理個人信息或者撤回同意為由,拒絕提供產品或服務(第17條)。

(二)自動化決策相關權利

個人信息處理者利用個人信息進行自動化決策時,應保證決策的透明度和處理結果的公平合理。當個人認為自動化決策對其權益造成重大影響時,有權要求個人信息處理者說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

同時通過自動化決策進行商業營銷、信息推送時,個人信息處理者應同時提供不針對其個人特徵的選項。

(三)個人關於個人信息的權利

1.知情權(第44條)
2.決定權(第44條)
3.限制或拒絕個人信息的處理(第44條)
4.請求查閱、複製個人信息(第45條)
5.請求補充更正(第46條)
6.刪除權(第47條)

四、企業個人信息保護的義務

(一)個人信息保護原則的遵循

1.誠實信用原則(第5條)
2.目的特定原則、資料最小化原則(第6條)
3.公開透明原則(第7條)

(二)維持個人信息正確性(第8條)

(三)採取安全措施(第9條)
1.必要安全措施(第50條)
2.指定個人信息保護負責人,在中國大陸境外的個人信息處理者應於中國大陸境內設立專門機構或指定代表(第51條)。
3.定期審計(第53條)
4.風險評估(第54條)
5.個人信息洩漏通知義務(第55條)

(四)告知義務(第18條)

個人信息處理者在處理個人信息前,原則應以顯著方式、清晰易懂的語言向個人告知:
1.個人信息處理者的身份和聯繫方式;
2.個人信息處理目的、處理方式、處理的個人信息種類、保存期限;
3.個人行使本法規定權利的方式與程序;
4.法律、行政法規規定應告知的其他事項。

前述應告知事項變更時,應將變更部分向個人告知。

(五)保存期限(第20條)

個人信息的保存期限,除法律或行政法規另有規定外,應為實現處理目的所必要的最短時間。

(六)共同個人信息處理者(第21條)

該草案第21條類似GDPR共同控制者(joint controllers)的規定,規定兩個或兩個以上的個人信息共同決定個人信息處理目的和處理方式時,應約定各自的權利義務,該約定不影響個人向任何一個個人信息處理者行使本法規定的權利。

同時,個人信息處理者共同處理個人信息,侵害個人信息權益時,應依法承擔連帶責任。

(七)委託監督義務(第22條)

(八)個人信息轉移、提供之告知義務(第23條、第24條第1項、第39條)

個人信息處理者因合併、分立等原因須要轉移個人信息時,應向個人告知接收方的身份、聯繫方式。接收方應繼續履行個人信息處理者義務。接收方變更原先處理目的、處理方式時,應依照本法重新向個人告知,並取得同意。

另外個人信息處理者向第三方提供其處理的個人信息時,也應向個人告知第三方的身份、聯繫方式、處理目的、處理方式與個人信息的種類,且應取得個人的單獨同意。

(九)禁止第三方再識別(第24條第2項)

個人信息處理者向第三方提供匿名化信息時,第三方不得利用技術等手段重新識別個人身份。

五、跨境提供個人信息(第38條)

個人信息處理者因業務等需要,確需向中國大陸境外提供個人信息時,應符合以下其中之一的條件:
1.通過國家網信部門組織的安全評估;
2.按照國家網信部門的規定經專業機構進行個人信息保護認證;
3.與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護水準:
4.法律、行政法規或者國家網信部門規定的其他條件。

六、處罰規定(第62條)

違反本法處理個人信息,或未按照規定採取必要的安全保護措施,情節嚴重時,將由履行個人信息保護職責的部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下之罰款,並可責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時對直接負責的主管人員和其他直接責任人員最高處10萬元以上,100萬元以下的罰款。

綜觀中國大陸該份個人信息保護草案,儘管與我國個人資料保護法(下稱個資法)有許多相似之處(例如個人資料處理的合法事由、委託監督義務與部分當事人權利等),然而其個人信息保護法草案引入GDPR諸多概念,包含自動化決策、禁止再識別、個人信息保護負責人與個人信息跨境提供等規範,這些均為我國個資法所無。

另外該個人信息保護法草案有域外適用的規範,我國企業不僅與中國大陸通商頻繁,且均使用華語,倘該法通過,我國許多企業較其他國家業者容易被認定為有個人信息保護法之適用,我國企業宜密切注意該部草案立法動向,並事先部署個人資料保護管理制度,以利面對這波全球對於個人資料保護法立法或修法的浪潮。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

行政法動物保護法未分類

寵物咖啡廳與動物展演法律議題

meowtechlaw撰寫在 寵物咖啡廳與動物展演法律議題 發表留言

路上不乏知名的寵物餐廳或咖啡廳,店內有著狗、貓等可愛的寵物讓人觀賞、撫摸與放鬆身心,任由他們的可愛療癒因為現代社會忙碌而千瘡百孔的心靈。然而2018年6月13日動物保護法(下稱動保法)修法新增第6條之1關於動物展演的規定,除經申請許可者或屬公告免經許可者外,任何人原則不得以動物展演之。依照動保法第3條第13款的定義,所謂「展演」指的是「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。」到底寵物咖啡廳是不是屬於動保法所要規範的「動物展演」呢?

寵物咖啡廳可能有動物展演相關規定適用

由於動保法關於動物的定義包含犬貓等寵物,因此依照前述動保法關於動物展演的規定,似乎只要於公共場所或公眾得出入之場所以動物供展示、表演或與人互動,便屬於動物展演,因此公眾得出入的寵物咖啡廳店家讓貓狗與客人互動,依動保法規定似屬於動物展演。

違反動物展演的法律效果

違反動保法第6條之1動物展演的規定,除會受到新臺幣5萬元以上25萬元以下罰鍰的處罰,另外涉及動物展演的動物也可能會由主管機關所沒入。

寵物咖啡廳是否有「免經許可之動物展演類型條件方式或場所」的適用?

先前曾有媒體報導引述農委會人員說明:「若與羊駝互動不收費,牠就不屬於展演動物。」,然而依照行政院農業委員會於2019年9月3日依新修正動保法第6條之1所公告之「免經許可之動物展演類型條件方式或場所」第4條規定,寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行「非營利性」之互動者,屬於免經許可之動物展演類型條件方式或場所。依照該規定,似乎可能會有以下兩種解釋:

1.與寵物互動不收費,便符合所謂的「非營利性」:例如不用額外付錢便可以撫摸、抱抱動物。
2.寵物咖啡廳均不收費,才符合「非營利性」:例如除不用額外付錢便可以撫摸、抱抱動物外,連所提供的餐飲均不收費。

目前該「免經許可之動物展演類型條件方式或場所」第4條對於「非營利性」的部分仍沒有較明確的規範,因此可能會有以上兩種解釋方法,而通常到寵物咖啡廳,如要與寵物互動,至少會須要最低消費,如此是否還能認為寵物咖啡廳屬於「非營利性」的情形呢?

另外一種可能適用的條文是「免經許可之動物展演類型條件方式或場所」第6條第3款「住宿或餐飲營業場所內,所進行之動物展演」,然而該條同時也規定「設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請。」,寵物咖啡廳依常理而言應屬於「常態性進行動物展演」,因此仍然須依動保法規定提出申請才屬合法。

主管機關的看法

根據筆者分別致電農委會畜牧處動保科與台北市動保處人員確認相關問題,農委會畜牧處動保科人員表示如果是單純將寵物飼養於咖啡廳內,則沒有動物展演的問題,也不須要考量前面「免經許可之動物展演類型條件方式或場所」的問題,但是飼主仍必須善盡飼主責任。

而台北市動保處人員則表示將寵物單純飼養於咖啡廳內雖然沒有動物展演的問題,但是如果有以寵物招攬客人的情形(不一定是花錢與寵物互動的情形,業務招攬也算),則可能構成動物展演,同時其表示如果屬於常態性的話,依照「免經許可之動物展演類型條件方式或場所」第6條第3款,仍然必須要依法申請許可。

結論

目前「免經許可之動物展演類型條件方式或場所」立意雖然良善,然而對於「非營利性」的互動規範仍然有模糊空間,且寵物咖啡廳仍可能被認為屬於「常態性進行動物展演的餐飲營業場所」的情形,因此依照前述,寵物咖啡廳仍然須要依照動保法第6條之1提出申請許可才屬合法,否則可能會面臨相關處罰,不然就是須要在相關行銷的手法上須要多加注意,拿捏好動物展演、單純飼養、營利與非營利之間的分寸。

同時現行動保法對於展演僅就「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動」的情形為規範,依照動保法第6條之1的修法理由,主要是為了保障動物權益,避免動物受傷或其他不當情事,然而隨著網路速度的提升、網路媒體的興起,網路上其實不乏關於動物的YouTube頻道,換一個角度思考,如果業者(例如馬戲團)透過線上的方式讓動物表演,這樣是否能夠透過現行動保法第6條之1規定去規範呢?

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

動物展演相關規定

動保法第3條第13款
在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。

動保法第6條之1第1項
任何人不得以動物進行展演。但申請經直轄市、縣(市)主管機關許可,或屬中央主管機關公告免經許可之展演動物類型、條件、方式或場所者,不在此限。

動保法第26條第1項第1款
有下列情形之一者,處新臺幣5萬元以上25萬元以下罰鍰:1、違反第6條之1第1項規定,以動物進行展演。

動保法第26條第2項
前項第1款所涉動物,不問屬於何人所有,直轄市或縣(市)主管機關得沒入之。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第4條
寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行非營利性之互動。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第6條第3款
於下列營業場所內所進行之動物展演。但設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請: (三)住宿或餐飲營業場所內,所進行之動物展演。

※你可能還會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.除了告他還能告誰,個資外洩與系統商責任
3.當個資外洩發生時,企業是否可以向系統商求償?