WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

愛爾蘭資料保護委員會(Data Protection Commission, DPC)於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則(GDPR)的調查與結論,過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則,包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始,DPC便開始著手調查,經過漫長的程序之後,DPC於2020年12月依據GDPR第60條向所有相關主管機關(Concerned Supervisory Authorities, CSA)提交一份決定草案,且隨後即收到8個CSA的反對意見,由於DPC無法與CSA就反對意見達成共識,並於2021年6月3日觸發GDPR第65條的爭端解決程序(dispute resolution process)。

2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要:

一、對非使用者(non-users)的透明性

1.在lossy hashing之前,非使用者的電話號碼構成個人資料。

2.在lossy hashing之後,非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料,然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人,以及資料控制者或第三方能夠於資料集(dataset)中挑選(single out)出資料主體的技術能力有關。EDPB參考第29條工作小組(WP29)關於匿名化的指引,認為K-Anonymity的方法僅能避免遭挑選出來的風險,而無法避免被連結(linkability)或被推論(inference)的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險,WhatsApp也具有此等能力,因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條,即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定,但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示,確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期,以基於安全(safety)與保護(security)的目的,於控制者對控制者基礎上與Facebook間共享個人資料,否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除,以反映真實情形。

四、透明性原則

綜合上述,WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

隨著越來越多人進行疫苗接種,愛爾蘭資料保護委員會(Data Protection Commission,DPC)指出,雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說,愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下,進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下,雇主應該如何瞭解員工疫苗接種情形?愛爾蘭DPC表示可以由以下面向來討論:

就業環境

根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議,無論疫苗接種情形,相關公共衛生感染預防與控制措施(例如保持社交距離、手部衛生、口罩與適當的通風)、以及在家工作等相關措施仍應維持。因此,基於資料最小化的原則,雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則(GDPR)下的敏感性個人資料,受到法律特殊的保障。而依照現行的安全工作協議,COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係,個人並無法控制其何時能夠接種疫苗,甚至因為疫苗的年齡限制,年輕人在短期內也無法接種疫苗,代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素,所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中,個人資料的處理發生在員工(資料主體)與雇主之間,兩者的關係存在不平衡的情況,因此也不應以員工同意的方式處理疫苗接種資料,這種情況下,難以符合自由給予的同意要件。

醫務官員(Medical Officer of Health)

依相關法律規定,醫務官員在履行公共衛生職責的過程中,可能會需要瞭解員工的疫苗接種情形,在這樣的情形下,則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料,來知道員工是否處於自我隔離期間,但在這種情形,可以要求員工說明其可以重返工作的時間,來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封,日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同,疫苗接種資料因為其敏感性,在我國同樣屬於特種個人資料,企業倘須蒐集、處理或利用這些疫苗接種資料,則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前,企業可以盡量避免蒐集此類特種個資,降低個資保存的風險,優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

企業常見資料保護錯誤

英國資訊委員辦公室(Information Commissioner’s Office, ICO)為了幫助個人經營者、中小型企業瞭解資料保護事項,羅列一些常見的資料保護錯誤,並提供相關建議如下。

常見錯誤一、發送電子郵件給錯誤的對象

當你的通訊錄有好幾個相同名字的時候,這是非常容易發生的。當開始在收件者欄位輸入名字時,自動填入工具固然方便,可以加速寄信的過程。但是如果錯誤地將個人資料發送給錯誤的對象,那麼使用自動填入工具節省下來的幾秒鐘就會耗費你更多的時間。

如何解決:

1.盡快收回電子郵件,如果無法收回,聯繫收信者並請他們刪除。同時,在後續寄送電子郵件時,考慮關閉自動填入工具。

2.如果符合個資外洩的情形,則應依循相關法律規定,在資料外洩後72小時候儘速處理。

常見錯誤二、服務資訊與行銷資訊的混用

服務資訊(Service messages)與行銷資訊(marketing messages)兩者並不相同,服務資訊旨在透過提供重要的事實資訊讓人們瞭解情形,例如關於產品安全的警示。另一方面,行銷資訊則旨在推廣服務、企業或組織。

如何解決:

在蒐集與利用個人資料前,確保瞭解行銷的相關規定,無論是產品、服務或是想法,同時還需要注意不要將服務資訊與行銷資訊混為一談,即使在行銷郵件的末段添加一句服務資訊,仍然也需要遵守行銷的相關規定。

常見錯誤三、打開不熟悉的網頁連結或附件

你可能偶爾會收到陌生人的電子郵件,或者收到看起來可疑的連結或附件。有時候這些可能是釣魚郵件或其他類型的網路犯罪,而可能導致電腦系統的損壞。

如何解決:

1.為所有工作設備設置合適的防火牆

2.合於用途的儲存系統

3.訓練人員知道如何在點擊連結或打開附件前識別可疑的電子郵件

常見錯誤四、保留不需要的資料

你擁有的個人資料越多,就需要更多的儲存空間與安全措施來確保資料的安全,意味著需要花費更多的時間與金錢。例如當處理一個當事人行使權利的請求時,你可能需要搜尋成千上萬的舊文件,這將花費許多時間。另外,根據資料保護法的規定,個人資料的保存時間不應超過你所需要的時間。

如何解決:

如果你被要求保留一定時間的資訊,例如財務、醫療或法律紀錄,在保存政策中記錄理由。並且應該定期整理所擁有的資料,並且在不再需要資料時安全地銷毀個人資料。

常見錯誤五、忽略個人權利行使

在資料保護法中,人們對自己的個人資料能夠行使當事人權利,例如他們可以請求提供你所持有關於他的任何個人資料。

當事人權利行使可以透過書面或口頭的方式提出,人們不需要直接聯繫到組織的特定聯絡人或者使用特定的語言、形式。組織不能要求人們以書面行使當事人權利,或者要求他們使用特定表格。

如果你收到當事人以口頭的方式行使其權利,如果他願意的話,可以邀請他以書面形式提出,或是人們於電話中提出請求時,將其請求以書面記錄下來,有一個書面紀錄對雙方都是有益的。但無論是否有書面紀錄,人們的口頭請求仍然有效,例如員工在會議上要求公司提供他們的個人資料,這將被視為當事人權利行使的一種。

如何解決:

確保組織與員工瞭解如何識別當事人權利行使,以及如果收到相關請求應該怎麼辦。簡單來說,如果有人要求組織提供他們的個人資料,你需要在法定的期限內提供他們個人資料的複製本。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

中國大陸公布網路交易監督管理辦法,強化網路交易監管

中國大陸國家市場監督管理總局於2021年3月15日發布網路交易監督管理辦法,針對網路交易經營者羅列總共56條規定,該管理辦法旨在規範網路交易活動、維護網路交易秩序、保障網路交易各方主體合法權益,進而促進數位經濟持續健康發展。以下謹就該辦法關於個資保護的部分說明如下:

一、規範對象:網路交易經營者

該辦法所謂網絡交易經營者,是指組織、開展網絡交易活動的自然人、法人和非法人組織,包括網絡交易平台經營者、平台內經營者、自建網站經營者以及通過其他網絡服務開展網絡交易活動的網絡交易經營者。 

二、強化個資當事人自主權

該辦法於第13條規範網路交易經營者蒐集、使用消費者個人資料的應遵循事項,包含合法、正當與必要等原則。同時該辦法也強調,網路交易經營者不得採行一次概括授權、預設授權、綑綁授權或停止安裝使用等方式,強迫或變相強迫消費者同意蒐集、使用與經營活動無直接相關的資料。

如果網路交易經營者蒐集或使用消費者個人生物特徵、醫療健康、金融帳戶、個人位置等敏感資料,則應該逐項取得消費者同意。

三、當事人拒絕行銷

依辦法第16條,網絡交易經營者在未經消費者同意或者請求的情形下,不得向其發送商業性資訊。而當網絡交易經營者發送商業性資訊時,應明示其真實身份和聯繫方式,並向消費者提供顯著、簡便、免費的拒絕繼續接收資訊的方式。消費者明確表示拒絕後,網路交易經營者應立即停止發送,且不得更換名義後再次對消費者發送。

四、罰則

倘網路經營者違反前述規定,依該辦法第41條規定,如無其他法令適用時,則市場監督管理部門可以限期改正,並可以裁罰人民幣5,000元以上30,000元以下的罰款。

儘管目前中國大陸關於個人資料保護法的立法仍然在審議中,然而現行對於個資保護仍然有民法與前揭辦法等規範的適用。同時,該網路交易監督管理辦法除了前述關於個資保護規定之外,也針對網路直播、商品綑綁搭售、自動續約等網路交易常見爭議情形進行規範,並定有相關罰則,我國民眾與企業在中國大陸經營相關網路交易業務時,對此必須特別注意。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

個資外洩求償判決與舉證責任轉換之運用

根據媒體報導,去(2020)年民眾通報高風險賣場前5名,分別是Momo購物網、小三美日、讀冊生活、486團購網與Hito本舖,其通報數量均超過200件,其中以Momo購物網383件居冠。

以法學搜尋系統Lawsnote搜尋網路購物相關個資外洩求償判決,2018年至2020年的民事判決件數僅有18件,其中原告勝訴的判決為11件,勝訴率約為60%。然而仔細檢視原告敗訴的案件,其中不乏因為原告(即消費者)無法證明詐騙集團所使用的資料來自被告公司的個資外洩行為,而因此敗訴。

臺灣高雄地方法院109年度雄小字第3154號判決為例,法院即表示「當事人主張有利於己之事實,他造對之有爭執者,有提出證據以證明其事實為真實之責任,主張積極事實者應負舉證之責任,乃為舉證責任分配之原則。依上開規定,本件原告主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個資係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任。」

然而,個資存放與安全措施的相關資料與證據均為企業所持有,一般民眾要證明遭詐騙時的個資是來自被告公司何其困難,因此即有法院判決透過舉證責任轉換的運用,降低民眾求償的舉證門檻。

「按當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條規定甚明。上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。」(臺灣臺北地方法院106年度北小字第2161號民事判決參照)

另外也有判決從常態事實與變態事實兩者的舉證責任出發,認為駭客入侵公司電腦竊取大量客戶資料屬於常態事實,侵入個人電腦竊取個人消費資料屬於變態事實,而應由被告公司先舉證證明其已善盡客戶消費資料的保存責任且未遭不法蒐集。

「按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料(含所留之聯繫資料,例如:手機號碼、住家地址等)更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」臺灣士林地方法院107年度湖簡字第110號民事判決參照。

本文將相關法院判決與舉證責任轉換運用與否,粗淺地整理如下表。由下方表格可以觀之,18件判決中,法院有適當運用舉證責任轉換的判決均是對原告有利的結果(如表格灰色標記處)。而法院未運用舉證責任轉換共有12件,其中原告敗訴的判決有7件(約佔58%),儘管案件的勝負尚有其他影響因素,但仍然可以看出,法院倘運用舉證責任轉換,對於原告(民眾)是較為有利的。

民事訴訟法第277條也提到「當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限。」,因此法院在相關案件適用前述條文時,仍應適當考量原告與被告雙方能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等情形,來決定雙方舉證責任或是否減輕證明度。倘若法院一律機械式套用當事人主張有利於己的事實,均對該事實有舉證之責任,則難免無法達到個案正義,同時不免有法律強人所難之嘆。同時,法院判決兼具「傳達訊息」之功能,儘管個資外洩相關判決,因為其所涉及金額較低,往往無法上訴到最高法院,然而隨著隱私權與資料保護的重視,也期待法院為相關判決時,可以多加著墨,引領相關議題的討論。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會(Ireland’s Data Protection Commission)於2020年12月制定針對兒童資料處理方法的基礎概念(Fundamentals for a Child-Oriented Approach to Data Processing)」草案文件,其中納入專門針對兒童的資料保護解釋原則與建議措施,這些原則與措施將提供對於兒童的保護水準,使兒童免於資料處理風險所帶來的影響,該份草案文件的公開諮詢程序至2021年3月31日止,任何人都可以向愛爾蘭資料保護委員會提供相關意見與評論。

值得注意的是,愛爾蘭資料保護委員會也直接向兒童諮詢相關意見,兒童們紛紛提出他們對於資料保護的各種看法,愛爾蘭資料保護委員會也特別於該份文件內呈現出來。

在愛爾蘭,兒童的定義是指未滿18歲的人,與聯合國兒童權利公約(UN Convention on the Rights of the Child, UNCRC)的定義相同,而愛爾蘭資料保護委員會確立組織應遵循的14個基本原則,組織在處理個人資料時應注意對於兒童的保護,為兒童們提供一個比目前更安全、更合適以及更尊重隱私的網路環境,讓孩子們盡情得玩耍、互動、學習與創造。以下是該文件所列出的14個基本原則:

1.一定程度的保護(FLOOR OF PROTECTION)

線上服務提供者(Online service providers)應對所有使用者提供一定程度的保護,除非其採取風險導向的方法(risk-based approach)來驗證使用者的年齡,以將基本原則中所規定的保護措施應用於所有處理兒童資料的行為。

2.明確同意(CLEAR-CUT CONSENT)

當兒童同意處理其資料時,必須是明確、知情且自由得陳述,或給予明確同意。

3.零干擾(ZERO INTERFERENCE)

線上服務提供者處理兒童資料時,應確保追求合法利益的同時,不會對兒童的最佳利益造成干擾、衝突或負面影響。

4.瞭解受眾(KNOW YOUR AUDIENCE)

線上服務提供者應採取措施來識別其使用者,並確保針對兒童或可能被兒童所接觸的服務已制定針對兒童的資料保護措施。

5.每個情景的資訊(INFORMATION IN EVERY INSTANCE)

兒童有權獲得有關處理其自身個人資料的資訊,即便是由父母所代理同意處理的個人資料。

6.針對兒童的透明性(CHILD-ORIENTED TRANSPARENCY)

必須以簡潔、透明、可理解與可接觸的方式提供有關如何使用個人資料的隱私資訊,並應使用兒童易於理解且適合兒童年齡的語言。

7.讓兒童自主行使權利(LET CHILDREN HAVE THEIR SAY)

兒童本身即是資料主體,在任何年齡都擁有與其個人資料有關的權利。愛爾蘭資料保護委員會認為,只有兒童有能力,且符合他們的最佳利益,兒童可以隨時行使這些權利。

8.同意不會改變兒童的本質(CONSENT DOESN’T CHANGE CHILDHOOD)

從兒童或父母/監護人所取得的同意不應作為將所有年齡的兒童當作成年人對待的理由。

9.平台責任(YOUR PLATFORM, YOUR RESPONSIBILITY)

透過數位與線上技術提供或出售服務而獲得收入的公司,對於兒童的權利和自由可能會構成特殊的風險,如果此類公司使用年齡驗證或依靠父母同意進行資料處理,則愛爾蘭資料保護委員會期望公司在關於年齡驗證以及父母同意的驗證方面能夠更加努力。

10.不要拒絕兒童使用者或剝奪其使用體驗(DON’T SHUT OUT CHILD USERS OR DOWNGRADE THEIR EXPERIENCE)

如果公司所提供是提供針對兒童或可能被兒童所接觸的服務,公司不能透過將兒童拒於門外或剝奪使用體驗來繞過公司所應負擔的義務。

11.最小使用者年齡並非藉口(MINIMUM USER AGES AREN’T AN EXCUSE)

設置提供服務的使用者最小年齡不會取代組織遵守歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的資料控制者與對未成年人保護等相關義務。

12.禁止剖繪(PROHIBITION ON PROFILING)

考量兒童的特殊脆弱性(particular vulnerability)與對行為廣告的敏感性(susceptibility to behavioural advertising),因此線上服務提供者不得基於行銷/廣告的目的對於兒童進行剖繪(profile)或針對兒童使用自動化決策(automated decision making),或以其他方式利用其個人資料,除非能夠清楚得說明「如何」以及「為什麼」這樣做符合兒童的最佳利益。

13.實施資料衝擊影響評估(DO A DPIA)

線上服務提供者應進行資料保護衝擊影響評估(Data Protection Impact Assessments, DPIA),以最大程度得降低其服務的資料保護風險,尤其是因為處理個人資料所對於兒童造成的特定風險。兒童的最佳利益原則必須是資料衝擊影響評估的關鍵標準,並且當兩者利益間發生衝突時,兒童的最佳利益必須優於組織的商業利益。

14.融入制度(BAKE IT IN)

定期處理兒童個人資料的線上服務提供者應根據「從設計與預設階段著手資料保護」原則,使其具有一貫的高標準資料保護程度,並將其融入於服務之中。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

中國大陸國家互聯網信息辦公室公布App蒐集個人資料的必要範圍

中國大陸國家互聯網信息辦公室於2020年12月1日公布「常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿)」文件,指出現行App往往有超出範圍、強制蒐集使用者個人信息(即個人資料)的情形,而使用者拒絕同意則無法安裝使用App。因此該文件羅列了地圖導航、網路約車、即時通信等38種常見類別App的基本功能與必要個人信息。

必要個人信息是指保障App基本功能正常運行所必須的個人信息,缺少該信息App即無法提供基本功能服務,只要使用者同意蒐集必要個人信息,App不得拒絕使用者安裝使用。

從該份文件可以知道,要滿足一般App基本功能的必要個人信息範圍並沒有想像得來的多,業者在超出必要範圍的部分,不僅不能拒絕使用者安裝使用App,在其他個人信息的取得與利用更應該要尊重使用者的自主意志。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.中國大陸個人信息保護法草案全文發布
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿):

1.地圖導航類:

基本功能服務:定位和導航。

必要個人信息:位置信息。

2.網絡約車類:

基本功能服務:預約汽車出行。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)乘車人出發地、到達地、位置信息、行踪軌跡。

3.即時通信類:

基本功能服務:提供文字、圖片、語音、視頻等即時通信服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)賬號信息:賬號、聯繫人賬號列表。

4.網絡社區類:

基本功能服務:博客、論壇、社區等話題討論、信息分享和關注互動。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

5.網絡支付類:

基本功能服務:收款人或付款人依托公共網絡遠程發起支付指令,由支付機構提供貨幣資金轉移服務(如支付、提現、轉賬等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)付款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

6.網上購物類:

基本功能服務:購買商品。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

7.餐飲外賣類:

基本功能服務:購買餐飲。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

8.快遞物流類:

基本功能服務:包裹、印刷品等物品的快遞寄收件。

必要個人信息:

(1)寄件人真實姓名、地址、聯繫電話。

(2)收件人姓名、地址、聯繫電話。

9.交通票務類:

基本功能服務:交通相關的票務服務及行程管理(如票務購買、改簽、退票、行程管理等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)旅客姓名、證件類型和號碼、旅客類型。旅客類型通常包括兒童、成人、學生等。

(3)旅客出發地、目的地、出發時間、車次/船次/航班號、席別/艙位等級、座位號(如有)。

(4)支付信息。

10.婚戀相親類:

基本功能服務:婚戀相親。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)婚戀相親人的性別、年齡、婚姻狀況。

11.求職招聘類:

基本功能服務:職位信息查詢和求職簡歷投遞。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)求職者提供的簡歷。

12.網絡借貸類:

基本功能服務:通過互聯網平台實現的個人消費貸款。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)借款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼。

13.房屋租售類:

基本功能服務:個人房源信息發布、房屋出租或買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)房源基本信息:房屋地址、面積/戶型、期望售價或租金。

14.二手車交易類:

基本功能服務:二手車買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)購買方姓名、證件類型和號碼。

(3)出售方姓名、證件類型和號碼、車輛行駛證號、車輛識別號碼。

15.問診掛號類:

基本功能服務:在線問診、掛號。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)患者姓名、證件類型和號碼。

(3)患者預約掛號的醫院、科室。

16.旅遊服務類:

基本功能服務:旅遊產品訂購。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)出行人旅遊目的地、旅遊時間。

(3)出行人姓名、證件類型和號碼。

17.酒店服務類:

基本功能服務:酒店預訂。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)住宿人姓名、聯繫方式,入住、退房時間,入住酒店名稱。

18.網絡遊戲類:

基本功能服務:通過網絡提供遊戲產品和服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

19.學習教育類:

基本功能服務:在線輔導、網絡課堂等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

20.本地生活類:

基本功能服務:家政維修、家居裝修、二手閒置物品交易等日常生活服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

21.女性健康類:

基本功能服務:女性經期管理、備孕育兒、美容美體等健康管理服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用於健康管理的歷史信息。

22.用車服務類:

基本功能服務:共享單車、共享汽車、租賃汽車等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)使用共享汽車、租賃汽車服務用戶的證件類型和號碼,駕駛證影印件。

23.投資理財類:

基本功能服務:股票、期貨、基金、債券等相關投資理財服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件。

(3)投資理財用戶資金賬戶、銀行卡號碼。

24.手機銀行類:

基本功能服務:通過手機等移動智能終端設備進行銀行賬戶管理、信息查詢、轉賬匯款等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

25.郵箱雲盤類:

基本功能服務:郵箱、雲盤等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

26.遠程會議類:

基本功能服務:通過網絡提供音頻或視頻會議。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

27.網絡直播類:

基本功能服務:向公眾持續提供實時視頻、音頻、圖文等形式信息服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

28.在線影音類:

基本功能服務:影視、音樂播放和下載。

必要個人信息:無須個人信息,即可使用基本功能服務。

29.短視頻類:

基本功能服務:不超過一定時長的視頻搜索、播放。

必要個人信息:無須個人信息,即可使用基本功能服務。

30.新聞資訊類:

基本功能服務:新聞資訊的瀏覽、搜索。

必要個人信息:無須個人信息,即可使用基本功能服務。

31.運動健身類:

基本功能服務:運動記錄、健身管理等服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

32.瀏覽器類:

基本功能服務:瀏覽互聯網信息資源。

必要個人信息:無須個人信息,即可使用基本功能服務。

33.輸入法類:

基本功能服務:文字、符號等輸入。

必要個人信息:無須個人信息,即可使用基本功能服務。

34.安全管理類:

基本功能服務:查殺病毒、清理惡意插件、修復漏洞、清理優化、騷擾攔截、權限管理等。

必要個人信息:無須個人信息,即可使用基本功能服務。

35.電子圖書類:

基本功能服務:電子圖書閱讀。

必要個人信息:無須個人信息,即可使用基本功能服務。

36.拍攝美化類:

基本功能服務:拍攝、美顏、濾鏡等。

必要個人信息:無須個人信息,即可使用基本功能服務。

37.應用商店類:

基本功能服務:App下載和管理。

必要個人信息:無須個人信息,即可使用基本功能服務。

38.實用工具類:

基本功能服務:日曆、天氣、詞典翻譯、計算器、遙控器、手電筒、指南針、時鐘鬧鐘、文件傳輸、文件管理、壁紙鈴聲、截圖錄屏、錄音、協同辦公等。

必要個人信息:無須個人信息,即可使用基本功能服務。

沒有牙齒的老虎—個人資料保護法中損害賠償與行政罰鍰

我國對於個人資料(下稱個資)保護重視程度,或許能夠從個人資料保護法(下稱個資法)損害賠償與行政罰鍰相關規定略窺一二。

損害賠償

當公務機關或非公務機關違反個資法法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利時,應依個資法第28條與第29條負損害賠償責任。

然而,當被害人不易或不能證明其實際損害額時,被害人得請求法院依侵害情節,以每人每一事件新臺幣(下同)500元以上2萬元以下計算(個資法第28條第3項與個資法第29條第2項規定參照)。其修法理由表示:「考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點『證人、鑑定人到場之日費,每次依新臺幣500元支給』之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。」。

立法者於修法理由中表示前述金額已考量個資的價值性,似乎是認為當事人於個資受侵害時,其個資的價值只值500元~2萬元,同時也沒有考量到當事人訴訟費用與律師費等費用的支出,其金額的訂定,似乎過於草率。

行政罰鍰—限期改正

個資法中關於行政罰鍰的規定,主要分別有兩種不同的規範情形:
1.處5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之(個資法第47條)。
2.先限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰(個資法第48條)。

如果企業未依個資法第27條第1項採行適當安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,或是未依個資法第27條第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,則適用個資法第48條第4項規定(即前述第2種情形)。換句話說,主管機關將會先命企業限期改正,屆期未改正時,才會處以2萬元以上20萬元以下的罰鍰,但是企業於期限內改正時,主管機關便不能予以裁罰。

然而,第2種的行政管制手段,真的能夠有效促使企業遵循個資法的規定嗎?還是企業其實可以什麼都不做,等到被主管機關抓到之後再來改正就好?

行政罰鍰—金額

以下比較我國與其他國家的關於個資法的行政罰金額:

國家行政罰金額規定
我國最高按次處新臺幣50萬元以下罰鍰
歐盟一般資料保護規則(GDPR)最高處2000萬歐元(約新臺幣6.7億元)或企業者前一會計年度全球年營業額4%
巴西一般資料保護法(LGPD)最高處巴西幣5000萬元(約新臺幣2.7億元)或前一會計年度營業額2%金額
新加坡個資法(PDPA)對年營業額超過1000萬新元(約新臺幣2.1億元)的公司,最高處營業額10%的金額
中國大陸個人信息保護法草案最高處人民幣5000萬元(約新臺幣2.1億元)以下或者前一年度營業額5%的金額
印度個資法草案最高處1.5億盧比(約新臺幣5700萬元)或年營業額4%的金額

由上表可知,隨著歐盟一般資料保護規則(GDPR)的制定與施行,有許多國家逐漸仿效GDPR中關於行政處罰的模式,而大幅提高行政罰的金額,而我國目前的行政罰金額則是較為偏低。

對於處罰的金額應該如何訂定,經濟學家Avinash Dixit 與 Barry J. Nalebuff 兩位所合著的《思辯賽局(The art of strategy)》中提到:

停車計費器記錄的違規停車的罰金,往往是正常收費標準的好幾倍。設想一下,假如正常收費標準是每小時1美元,按照每小時1.01美元的標準進行處罰,能不能讓大家從此變得安分守己?有可能,條件是交通警察一定可以在你每次停車而又向計費器投錢時逮住你。但這種嚴格的管理方式可能代價不菲,這會讓交通警察的薪水成為首要課題;此外,為了保證警方說到做到,必須經常檢測收費機,這筆費用也可能相當龐大。

相反的,監管當局採用了一個同樣管用、代價卻更低的策略,那就是提高罰款金額,同時放鬆監管力度。比如,罰金若是高達每小時25美元,此時哪怕25次違規只有1次會被逮到,也足夠讓你乖乖付費停車了。一支規模更小的員警隊伍就能勝任這項工作,而收到罰金也更可能彌補管理成本。

從經濟學賽局理論的角度來看,儘管較低的罰鍰金額也能達到管制的目的,只是在監管上面,便會面臨人力不足與較高的管理成本等考量,而提高罰鍰金額,則一定程度能夠解決前述的人力與管理成本問題。

結語

加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada, OPC)今(2020)年11月提出其對於加拿大個資法改革的建議,其中便提到罰鍰最主要目的不在懲罰或阻止業者創新,而是力求確保最大程度的法令遵循,這是信任與尊重權利的基本條件。

前述議題,究竟如何處理才能在個資保護與企業法令遵循成本,以及其他許多面向(例如外資投資意願)中取得平衡,或許還需要從經濟學與心理學等角度分析,並且尚待更多的實證研究,然而假如當立法者都不願意重視個資保護的價值時,又如何能喚起機關或企業對此的重視與投資?

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

人工智慧與個人資料保護

隨著人工智慧(Artificial Intelligence, AI)技術的進步,AI在零售業、銀行與醫療等各領域都有了驚人的應用,推動了AI技術與資料利用等方面的創新,然而使用AI的組織仍然須持續面對挑戰,例如AI是解決問題的正確方式嗎?AI會產生什麼樣的道德問題?我們如何確定AI的使用是合法的?

儘管AI提供了一個能夠顯著改善社會的機會,然而AI的使用往往也會帶來風險(從AI系統帶來的安全風險到歧視與偏見的風險),而對於組織來說,如何評估AI的使用對資料保護的法令遵循性將會是一大挑戰。

英國個資保護主管機關ICO(Information Commissioner’s Office)於今(2020)年7月30日發布人工智慧與資料保護指引(Guidance on AI and data protection)」,提供設計、架構與實施AI系統的法令遵循路線圖,其內容約略分為以下幾個面向。

AI的問責與治理

在運用得當的情形下,AI將使組織更具效率與創新。但是,AI也對個人的權利與自由以及組織的法令遵循挑戰帶來巨大的風險。

與其他處理個人資料的技術相同,相同的資料保護概念也適用於AI的使用。資料保護法中,透過風險導向的方法要求組織在特定情形下遵守義務並採取適當措施,因此在法令遵循面必須包含評估個人權利和自由的風險,並進而識別、管理和減輕這些風險。

AI系統的合法性、公平性與透明性

首先,AI系統的開發與部署往往涉及針對不同目的以不同方式處理個人資料,組織必須分解每個不同處理操作,並為每個操作確定目的和適當的合法依據,以便遵守合法性原則。

其次,當組織使用AI系統來推斷個人的資料,則為了使處理過程更加公平,組織應確保1.該系統在統計上足夠準確,並且避免歧視,以及2.考慮個人合理期望的影響。

例如用於預測貸款還款率的AI系統在以下情況可能會被認為違反公平原則:
1.作出經常被證明是錯誤的預測。
2.導致群體間(例如男人與女人間)結果的差異,且無法證明是為實現合法目標的適當手段。
3.以個人無法合理預期的方式利用個人資料。

最後,組織需要透明得瞭解如何在AI系統中處理個人資料,以遵守透明性原則。(可以參考揭開黑箱,說清楚講明白—可解釋性AI人工智慧

AI系統的安全性

使用AI處理個人資料對於風險有著重要的影響,因此組織需要仔細評估與管理這些風險。然而,實際上並不存在一種「萬能的」安全方法,組織應針對不同個人資料處理所產生的風險等級與類別,分別採取適當的安全措施。

指引內也提到兩大適用AI模型的隱私攻擊種類,「模型反轉(model inversion)」與「成員推斷(membership inference)」,組織應該檢視自身的風險管理實踐情形,以確保個人資料在AI的使用環境中是安全的。

AI系統的資料最小化

資料最小化原則要求組織確定實現目標所需最小數量的個人資料,並且僅處理該個人資料(GDPR第5條第1項第c款參照)。AI系統通常需要大量資料,乍看之下彷彿難以符合資料最小化原則,然而資料最小化原則並不意謂著「不處理任何個人資料」或「處理大量資料就會違法」,關鍵的地方在於,組織是否僅處理其所需要的個人資料。

AI系統與個人權利

依據資料保護法,當事人對於其個人資料有許多相關權利,無論在AI系統的開發或是部署的生命週期各階段中,均有當事人權利的適用,組織應予以重視,例如以下情形:

  1. 訓練資料(training data)。
  2. 用於預測的資料及預測本身的結果。
  3. AI的模型內。

例如零售業者打算以過去的交易資料來預測消費者行為,需要大量的客戶交易資料集來訓練模型。而在將客戶交易資料轉換用於訓練統計模型的訓練資料時,儘管訓練資料已經較難連結到特定的個人,然而如果其仍然能單獨或與組織可能要處理的其他資料(即使不能與客戶的名字相連結)共同「挑選(single out)」相關的個人,此部分仍有資料保護法的適用,而組織應於當事人行使其權利行使時,將此部分納入考量。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

中國大陸個人信息保護法草案全文發布

中國大陸第13屆全國人大常委會日前於第22次會議針對《個人信息保護法(草案)》進行審議,並公布草案全文,徵求各界意見至2020年11月19日止。

鑑於我國不乏有企業與中國大陸進行商務往來,此次中國大陸個人信息保護法草案,倘通過立法,其對於我國企業於中國大陸的經營,將可能帶來不小的衝擊。該草案全文共70條,內容不僅賦予自然人就其個人資料之權利,更課與個人信息處理者相應義務,且違反者最高可處5000萬元以下或上一年度營業額5%的罰款,同時可能遭命暫停相關業務、停業整頓或吊銷營業執照等處罰,其所規範的法律效果值得有關企業重視。

同時由該草案全文也可略窺歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的影子,雖然並未全部移植GDPR規範內容,然而不論是對於自然人的權利、企業的義務、罰款金額,甚至是域外效力的規範,均可看出該個人信息保護法草案試圖仿效GDPR就個人資料的處理與保護進行規範。以下簡要介紹該草案的內容

一、地域適用範圍

依該草案第3條,於下列情形,均有個人信息保護法的適用

(一)在中國大陸境內處理(包含個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動)自然人個人信息的活動。

(二)在中國大陸境外處理自然人個人信息的活動,且符合下列情形:
1.以向境內自然人提供產品或服務為目的。
2.為分析評估中國大陸境內自然人的行為。
3.法律、行政法規規定的其他情形。

二、個人信息的定義

依該草案第4條規定,所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息(不包括匿名化處理後的信息)。同時於草案第29條第2項將種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤與其他一旦洩漏或者非法使用可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息列為敏感個人信息,而需另外遵守特別規定(第29條至第32條)。

三、個人自主權保障

(一)自主同意與個人信息處理

倘個人信息的處理是基於個人的同意,應當在個人充分知情的前提下、自願、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定(第14條第1項),同時,個人有權撤回其同意(第16條)。

當個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應重新取得個人同意(第14條第2項)。另外,個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息時,應取得未成年人監護人的同意。

最後,除個人信息的處理是提供產品或服務所必須外,個人信息處理者不得以個人不同意處理個人信息或者撤回同意為由,拒絕提供產品或服務(第17條)。

(二)自動化決策相關權利

個人信息處理者利用個人信息進行自動化決策時,應保證決策的透明度和處理結果的公平合理。當個人認為自動化決策對其權益造成重大影響時,有權要求個人信息處理者說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

同時通過自動化決策進行商業營銷、信息推送時,個人信息處理者應同時提供不針對其個人特徵的選項。

(三)個人關於個人信息的權利

1.知情權(第44條)
2.決定權(第44條)
3.限制或拒絕個人信息的處理(第44條)
4.請求查閱、複製個人信息(第45條)
5.請求補充更正(第46條)
6.刪除權(第47條)

四、企業個人信息保護的義務

(一)個人信息保護原則的遵循

1.誠實信用原則(第5條)
2.目的特定原則、資料最小化原則(第6條)
3.公開透明原則(第7條)

(二)維持個人信息正確性(第8條)

(三)採取安全措施(第9條)
1.必要安全措施(第50條)
2.指定個人信息保護負責人,在中國大陸境外的個人信息處理者應於中國大陸境內設立專門機構或指定代表(第51條)。
3.定期審計(第53條)
4.風險評估(第54條)
5.個人信息洩漏通知義務(第55條)

(四)告知義務(第18條)

個人信息處理者在處理個人信息前,原則應以顯著方式、清晰易懂的語言向個人告知:
1.個人信息處理者的身份和聯繫方式;
2.個人信息處理目的、處理方式、處理的個人信息種類、保存期限;
3.個人行使本法規定權利的方式與程序;
4.法律、行政法規規定應告知的其他事項。

前述應告知事項變更時,應將變更部分向個人告知。

(五)保存期限(第20條)

個人信息的保存期限,除法律或行政法規另有規定外,應為實現處理目的所必要的最短時間。

(六)共同個人信息處理者(第21條)

該草案第21條類似GDPR共同控制者(joint controllers)的規定,規定兩個或兩個以上的個人信息共同決定個人信息處理目的和處理方式時,應約定各自的權利義務,該約定不影響個人向任何一個個人信息處理者行使本法規定的權利。

同時,個人信息處理者共同處理個人信息,侵害個人信息權益時,應依法承擔連帶責任。

(七)委託監督義務(第22條)

(八)個人信息轉移、提供之告知義務(第23條、第24條第1項、第39條)

個人信息處理者因合併、分立等原因須要轉移個人信息時,應向個人告知接收方的身份、聯繫方式。接收方應繼續履行個人信息處理者義務。接收方變更原先處理目的、處理方式時,應依照本法重新向個人告知,並取得同意。

另外個人信息處理者向第三方提供其處理的個人信息時,也應向個人告知第三方的身份、聯繫方式、處理目的、處理方式與個人信息的種類,且應取得個人的單獨同意。

(九)禁止第三方再識別(第24條第2項)

個人信息處理者向第三方提供匿名化信息時,第三方不得利用技術等手段重新識別個人身份。

五、跨境提供個人信息(第38條)

個人信息處理者因業務等需要,確需向中國大陸境外提供個人信息時,應符合以下其中之一的條件:
1.通過國家網信部門組織的安全評估;
2.按照國家網信部門的規定經專業機構進行個人信息保護認證;
3.與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護水準:
4.法律、行政法規或者國家網信部門規定的其他條件。

六、處罰規定(第62條)

違反本法處理個人信息,或未按照規定採取必要的安全保護措施,情節嚴重時,將由履行個人信息保護職責的部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下之罰款,並可責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時對直接負責的主管人員和其他直接責任人員最高處10萬元以上,100萬元以下的罰款。

綜觀中國大陸該份個人信息保護草案,儘管與我國個人資料保護法(下稱個資法)有許多相似之處(例如個人資料處理的合法事由、委託監督義務與部分當事人權利等),然而其個人信息保護法草案引入GDPR諸多概念,包含自動化決策、禁止再識別、個人信息保護負責人與個人信息跨境提供等規範,這些均為我國個資法所無。

另外該個人信息保護法草案有域外適用的規範,我國企業不僅與中國大陸通商頻繁,且均使用華語,倘該法通過,我國許多企業較其他國家業者容易被認定為有個人信息保護法之適用,我國企業宜密切注意該部草案立法動向,並事先部署個人資料保護管理制度,以利面對這波全球對於個人資料保護法立法或修法的浪潮。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答