英國預計裁罰臉部辨識服務公司Clearview AI 1700萬元英鎊

2021年11月29日,英國資訊委員辦公室(The Information Commissioner’s Office, ICO)宣布預計對Clearview AI公司裁罰1700萬元英鎊(約6億2000萬元)之初步意向,同時要求停止進一步處理英國人民的個人資料,並刪除涉及嚴重違反英國資料保護法的個人資料。

Clearview AI公司宣稱其擁有世界上最龐大的臉部資料網路,先前ICO曾與澳洲資訊委員辦公室(the Office of the Australian Information Commissioner, OAIC)進行聯合調查,主要關注於Clearview AI公司使用從網路上取得的圖像與資料,以及使用生物識別技術進行臉部辨識。客戶能夠向Clearview AI公司提供圖像,以進行生物特徵進行搜尋,識別相關的臉部圖像結果,並與超過100億張圖像的資料庫進行對比。

ICO認為Clearview AI公司資料庫中的圖像很可能包含大量英國人民的資料,且可能是在人民不知情的情形下從網際網路上公開資訊中所取得,包含社群媒體平臺。ICO初步認為Clearview AI公司在下列面向未能遵循英國的資料保護法:

  • 未能以資料主體預期或公平的方式處理英國人民的資料。
  • 缺乏適當程序以避免資料無限期被保留。
  • 缺乏蒐集資料之合法性。
  • 生物識別資料的處理未能符合英國資料保護法與GDPR規範。
  • 未對英國人民告知相關資料處理情形。
  • 要求提供額外的照片等個人資料,可能與反對其資料被處理之個人的意向有悖。

澳洲OAIC所發布之調查結論亦認為Clearview AI公司違反澳洲之隱私法。其同樣認為Clearview AI違反1998年澳洲隱私法,包含未經同意澳洲人民的敏感資料、以不正當手段蒐集個人資料、未採取合理措施告知個人蒐集資料之情形、未確保所揭露的個人資料正確性以及未採取合理程序確保遵循澳洲的隱私原則等情形。OAIC決定要求Clearview AI停止蒐集澳洲人民的圖像與生物識別資料,並銷毀從澳洲蒐集的資料。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

10個對匿名化的誤解

我國個人資料保護法(下稱個資法)制定之後,在相關討論時,常常聽見有關「去識別化」的探討,並且試圖將不同場景所處理的不同個人資料加以「去識別化」,希望能夠避免遵循個資法規定。而在歐盟一般資料保護規則(General Data Protection Regulation, GDPR)下,則區分有匿名化(anonymization)資料與假名化(pseudonymization)資料兩種概念。匿名化資料係指不涉及已識別或可識別自然人的資訊或以不再可識別的方式匿名化的資料。由於匿名化資料已失去個人資料之屬性,因此並無GDPR之適用。至於假名化資料,由於其仍可透過使用額外資訊進而識別當事人身分,因此其於GDPR之概念底下仍屬個人資料之一種。實務上,組織常常因為想要避免遵循GDPR或個人資料保護法等規範,想要透過將資料匿名化的方式來因應隱私保護法令之遵循,而對「匿名化」存有誤解。

西班牙的資料保護主管機關(AEPD)因此提出「10個對匿名化的誤解」指引,向大眾說明與釐清匿名化的概念,以下摘要如下:

  • 誤解1:匿名化等於假名化

匿名化資料係指不能與特定個人相關連的資料,一但資料真正匿名化且無法識別個人,該資料便無GDPR的適用。而另外一個概念是假名化資料,依照GDPR的定義,假名化資料係指該個人資料在不使用額外資訊時,不再能夠識別出特定之資料主體,且該額外資料已被分開存放,並以技術及組織措施確保該個人資料無法或無可識別出當事人。然而本質上,假名化資料仍然屬於GDPR所保護的個人資料。

  • 誤解2:加密等於匿名化

AEPD指出,加密並不是一種匿名化的技術,而是屬於假名化的工具。加密過程中使用金鑰來轉化資料,降低資料遭不當存取的風險,並保持一定的機密性,然而原始資料解密之後仍然可以被存取,此時解密的金鑰即屬於前述所提到的「額外資訊」,其使被加密的資料能夠讀取,並進而識別個人。同時,考量加密演算法與金鑰的強度與技術進步(例如量子運算)等因素,縱然將加密金鑰刪除,仍無法確保加密資料無法被解密,因此即使將加密金鑰刪除,仍無法認為加密資料是屬於匿名化資料。

  • 誤解3:資料總是可以匿名化

匿名化是一個嘗試在降低重新識別風險與保持資料集在預期用途的可用性間找到正確平衡的過程。然而根據資料的情境與性質,可能無法充分減輕重新識別的風險,例如可能的個體總數太小時(例如一個僅包含705名歐洲議會成員的匿名資料集),或是當個體間資料類別特別不同時(例如位置資料),即有可能無法充分減輕重新識別風險。

  • 誤解4:匿名化是永恆的

實際上隨著時間的演進,不論是因為科技的進步(雲端運算與量子運算等技術),或是因為多年的資料外洩事故,均可能會將以前匿名化資料重新識別個人。

  • 誤解5:匿名化重新識別的風險為零

匿名化過程與其應用方式,將會對重新識別風險的可能性產生直接影響。強而有力的匿名化過程目的在於將重新識別的風險降低到特定閾值以下,該閾值取決於現有的緩解控制措施、重新識別對個人隱私的影響、動機與攻擊者重新識別的能力,實際上重新識別的剩餘風險並不會為零。

  • 誤解6:匿名化是無法衡量的概念

AEPD認為,不應將匿名化資料理解為資料集單純區分為是否匿名。任何資料集都有可能根據其個人化的可能性進行識別,強而有力的匿名化過程應評估重新識別的風險,同時必須隨著時間進行管理與控制。

除非在資料非常籠統的特定情形下,例如統計一年中每個國家或地區的網站存取者之資料集,否則重新識別的風險永遠不會是零。

  • 誤解7:匿名化可以完全自動化

匿名化的過程中,需要對原始資料集、其預期目的、要應用的技術與重新識別資料的風險進行分析。去除或遮蔽直接標識符是匿名化過程中的重要部分,但必須同時伴隨著尋找其他識別來源的謹慎分析。因此,儘管匿名化過程可以透過自動化工具來完成,但專家的干預仍然有其必要性。

  • 誤解8:匿名化使資料喪失用處

匿名化資料的目標是防止資料集中的個人被識別,例如將出生年月日以年份為分組,匿名化資料在某種情形下降低資料集的可用性,但並不意味匿名化資料是毫無用處的,但其可用性將取決於被接受的重新識別目的與風險。

另外,個人資料的儲存時間不能超過其原始目的規定的時間,某些資料控制者的解決方案可能是將個人資料匿名化,例如將網站存取紀錄匿名化,僅保留存取日期與存取頁面之紀錄,而不保存何人存取網站的資料。

GDPR的資料最小化原則要求資料控制者確定是否有必要處理個人資料以實現特定目的,或者該特定目的是否可以透過匿名化資料實現。某些情形下,可能導出資料的匿名化不符合其預期目的的結論,資料控制者必須在處理個人資料與適用GDPR之間作出決策。

  • 誤解9:遵循他人成功的匿名化流程,也會成功將資料匿名化

匿名化流程與食譜不同,甚至就算依照食譜操作仍然有可能作出風味各異的菜色,匿名化流程必須考量處理的性質、範圍、背景與目的,以及自然人權利與自由不同之可能性與嚴重程度的風險。

在不同的情境可能有不同的資料集,而可能與匿名化資料交叉比對,進而影響重新識別的風險,例如在瑞典有關納稅人的個人資料是公開資料,而在西班牙則為非公開。因此,一個包含西班牙與瑞典公民資料的資料集,縱使按照相同程序進行匿名化處理,重新識別的風險可能也會不同。

  • 誤解10:知曉資料歸屬於何人並沒有風險或利益

個人資料本身即具有價值,對於個人本身或第三方都是如此,重新識別個人身份可能對該個人的權利與自由產生嚴重影響。匿名化攻擊的形式可能包含有意地重新識別、無意地重新識別嘗試、安全漏洞或公開揭露資料,無論是出於好奇、偶然或是利益(例如科學研究、新聞或犯罪活動)。

準確評估重新識別對個人私人生活的影響較為困難,因為該影響始終取決於情境與相關資訊,例如在對於電影偏好情境下重新識別感興趣的個人,可能可以推斷該人的政治傾向或性傾向,但是這些政治傾向或性傾向在GDPR中屬於敏感性個人資料,而需特別予以保護。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

教育部學習歷程出包,誰該負責?

近日鬧的沸沸揚揚的「高中學習歷程」事件,據報導記載因為工程師疏失,相關虛擬主機的硬碟設定失誤,而導致有7854名學生總共2.5萬筆的資料遺失。儘管教育部長於今年9月26日已公開致歉,並表示將由專人協助學生檔案上傳等補救措施,並將依契約追究暨南大學團隊疏失及教育部國民及學前教育署(下稱國教署)督導不周的行政責任,然而目前的補救措施並未提及對學生的賠償或補償相關事宜。

學生歷程檔案為個資法所保護

依照個人資料保護法(下稱個資法)第2條第1款規定,個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。學生的學習歷程檔案,記錄學生於高中時期的學習表現,包含考試成果、學習軌跡、個人特質與能力發展等資料,其應屬於個資法所欲保護的個人資料

學生可依國家賠償法向教育部與國教署求償

按受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。(個資法第4條有明文規定),另外依照個資法施行細則第8條規定,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督,且必須定期確認受託者執行之狀況,並將確認結果記錄之。另外當公務機關違反個資法規定,導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,且被害人如有非財產上損害(即精神慰撫金),亦可請求賠償相關金額(個資法第28條第1項與第2項)。

因此,儘管相關情形依報導記載可能是因為國立暨南國際大學資工團隊(下稱暨大團隊)的疏失所造成,然而依照前述個資法規定,委託機關(即國教署)不僅對暨大團隊負有監督義務,同時暨大團隊相關疏失亦應由國教署負擔相關賠償責任。類似學習歷程檔案因硬碟設定錯誤導致不可用,已對學生個人資料的正確性、完整性與可用性造成影響,而侵害學生之權利,學生自得循國家賠償程序向國教署求償(個資法第31條規定),被害人當然也可以選擇向直接對學生歷程檔案造成影響的暨大團隊求償。另外雖然相關賠償金額並不易證明,但學生仍得請求法院依侵害情節,依個資法規定酌定相當金額(以每人每一事件新臺幣500元以上2萬元以下計算)。

結論

學生歷程檔案對高中生的升學影響重大,當學生歷程檔案受到影響,其關於個資當事人的權利即已受到侵害,學生自然可以依個資法等相關規定選擇向國教署或暨大團隊求償,但最好的情況,則是教育部與國教署認知到自己的責任,除了道歉之外,還應適時予以補償或賠償學生的損害。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

要建立Facebook粉絲專頁嗎?挪威資料保護主管機關的答案是No

就像許多政府機關喜歡透過社群平台與民眾交流,資料保護主管機關當然也不例外。挪威資料保護主管機關(Datatilsynet)於2021年9月22日宣布其將不會使用Facebook建立粉絲專頁,由於經過資料保護影響評估(Data protection impact assessments)後,其認為透過Facebook粉絲專頁處理個人資料對使用者權利與自由的風險過高,且Datatilsynet也無法落實歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第26條關於共同控制者等規定,甚至無法透過實施適當措施來降低相應風險。Datatilsynet表示其應為第一個依據GDPR規定對Facebook粉絲頁面進行全面性的組織,其並非基於監督者的角色,而是從控制者的角色去進行相關評估。同時Datatilsynet也發布「Risk assessment: Should the Norwegian Data Protection Authority create a Page on Facebook?」報告,期望引起相關使用社群媒體的討論。

風險評估與共同控制者

Datatilsynet認為,經過風險評估後,透過Facebook粉絲專頁處理個人資料對使用者權利與自由的具有高度的風險。同時依據歐洲法院(European Court of Justice, ECJ)的WirtschaftsakademieFashion ID 的兩項裁決,社群媒體與其他方之間的互動可能構成GDPR第26條共同控制,而須符合相關規定,但Datatilsynet認為其無法透過與Facebook成立單獨的協議來遵循相關規定。

必要性與適當性

Datatilsynet接著評估資料處理的必要性和適當性(Necessity and proportionality),以確保以資料控制者的身分做出的決策是合法的,並且以與目的相符的方式進行處理。其評估GDPR資料保護原則、資料主體的權利與資料主體的自由是否受到保護。評估結果認為儘管Datatilsynet作為粉絲專頁所有者,同時具有保護資料主體的法律依據,並遵循相關資料保護原則,但Datatilsynet使用粉絲專頁將會受到Facebook 及其條款的支配。同時,Datatilsynet還認為Facebook沒有充分落實GDPR第25條關於資料保護設計與預設(data protection by design and by default)的規定,以提供適當的資料保護。

資料主體觀點

Datatilsynet從資料主體的角度出發,評估資料主體行使相關權利時是否受到保障,包含透明性(Transparency)、可預期性(Predictability)以及Datatilsynet很可能無法以積極的方式協助資料主體行使其權利。

結論

Datatilsynet工作小組依GDPR第35條進行前述DPIA,並依同條第2項規定諮詢資料保護長(Data protection officer, DPO)後,提交相關報告予管理階層討論,Datatilsynet考量前揭DPIA結果與DPO的建議後,決定不於Facebook上建立粉絲專頁與透過粉絲專頁與民眾進行交流。附帶一提,Datatilsynet目前是透過Twitter來經營其社群媒體。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

愛爾蘭資料保護委員會(Data Protection Commission, DPC)於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則(GDPR)的調查與結論,過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則,包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始,DPC便開始著手調查,經過漫長的程序之後,DPC於2020年12月依據GDPR第60條向所有相關主管機關(Concerned Supervisory Authorities, CSA)提交一份決定草案,且隨後即收到8個CSA的反對意見,由於DPC無法與CSA就反對意見達成共識,並於2021年6月3日觸發GDPR第65條的爭端解決程序(dispute resolution process)。

2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要:

一、對非使用者(non-users)的透明性

1.在lossy hashing之前,非使用者的電話號碼構成個人資料。

2.在lossy hashing之後,非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料,然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人,以及資料控制者或第三方能夠於資料集(dataset)中挑選(single out)出資料主體的技術能力有關。EDPB參考第29條工作小組(WP29)關於匿名化的指引,認為K-Anonymity的方法僅能避免遭挑選出來的風險,而無法避免被連結(linkability)或被推論(inference)的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險,WhatsApp也具有此等能力,因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條,即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定,但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示,確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期,以基於安全(safety)與保護(security)的目的,於控制者對控制者基礎上與Facebook間共享個人資料,否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除,以反映真實情形。

四、透明性原則

綜合上述,WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

荷蘭資料保護主管機關因兒童隱私保護不足裁罰TikTok75萬歐元

荷蘭資料保護主管機關(The Dutch Data Protection Authority, DPA)於今年7月22日宣布裁罰TikTok75萬歐元(約新台幣2477萬元)。荷蘭DPA認為TikTok應用程式在安裝與使用時對荷蘭使用者提供的資料是以英文呈現,使用者難以理解其內容。 TikTok 有許多的兒童使用者, TikTok 缺乏對應用程式如何蒐集、處理與利用個人資料,對這些使用者提供充分且清楚的解釋,構成對隱私權的侵害。

荷蘭DPA的調查

在荷蘭,有許多的兒童手機都安裝有 TikTok ,荷蘭DPA因為考量兒童隱私問題,針對該應用程式進行深入調查。兒童在法律上被視為特別脆弱的群體,其很少能夠意識到自身行為所帶來的影響與後果,包含在社群媒體上分享個人資料所帶來的影響。因此,資料保護法針對兒童給予特別的保護。

對總部設在歐洲的公司,主要由總部所在的歐盟成員國負責監督其營運活動,而如果一家公司沒有在歐洲設立總部,則任何歐盟成員國都能對其營運活動進行監督。荷蘭DPA表示,在調查當初 TikTok 尚未在歐洲設立總部,直到後來才在愛爾蘭設立部門。因此DPA只被授權針對 TikTok 的隱私權聲明進行調查,其他隱私侵害行為則由愛爾蘭資料保護委員會接手後續調查與處理。

預防數位誘拐與網路霸凌措施

去年10月時,荷蘭DPA向 TikTok 提出調查結果報告,後續 TikTok 進行一連串的改變,致力於使應用程式對16歲以下的兒童更加安全。然而,兒童在建立其帳號時,仍然可以透過填寫不同的年齡來假裝為成年人,這樣的機制讓兒童暴露於風險之中,這個問題仍然尚待解決。

兒童隱私保護趨勢

未來隱私論壇(The Future of Privacy Forum)於今年7月28日發布「資料保護未來趨勢觀察:2021-2022歐洲資料保護主管機關監管策略(Insights into the future of data protection enforcement: Regulatory strategies of European Data Protection Authorities for 2021-2022)」報告,該份報告整理與分析法國、葡萄牙、比利時、挪威、瑞典、愛爾蘭、保加利亞、丹麥、芬蘭、拉脫維亞、立陶宛、盧森堡與德國等15個國家以及歐洲資料保護委員會(European Data Protection Board, EDPB)與歐洲資料保護監督機關(European Data Protection Supervisor, EDPS)的監管策略,其中便有超過半數的主管機關表達對兒童隱私保護的關切,將保護兒童個人資料列為優先監管事項,並發布相關指引與執法計畫。

2021年3月2日時,聯合國兒童權利委員會(Committee on the Rights of the Child)也發布第25號一般性意見—數位環境下的兒童權利(General comment No. 25 (2021) on children’s rights in relation to the digital environment)」強調數位環境下的兒童權利應受到保護與尊重。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

隨著越來越多人進行疫苗接種,愛爾蘭資料保護委員會(Data Protection Commission,DPC)指出,雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說,愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下,進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下,雇主應該如何瞭解員工疫苗接種情形?愛爾蘭DPC表示可以由以下面向來討論:

就業環境

根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議,無論疫苗接種情形,相關公共衛生感染預防與控制措施(例如保持社交距離、手部衛生、口罩與適當的通風)、以及在家工作等相關措施仍應維持。因此,基於資料最小化的原則,雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則(GDPR)下的敏感性個人資料,受到法律特殊的保障。而依照現行的安全工作協議,COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係,個人並無法控制其何時能夠接種疫苗,甚至因為疫苗的年齡限制,年輕人在短期內也無法接種疫苗,代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素,所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中,個人資料的處理發生在員工(資料主體)與雇主之間,兩者的關係存在不平衡的情況,因此也不應以員工同意的方式處理疫苗接種資料,這種情況下,難以符合自由給予的同意要件。

醫務官員(Medical Officer of Health)

依相關法律規定,醫務官員在履行公共衛生職責的過程中,可能會需要瞭解員工的疫苗接種情形,在這樣的情形下,則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料,來知道員工是否處於自我隔離期間,但在這種情形,可以要求員工說明其可以重返工作的時間,來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封,日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同,疫苗接種資料因為其敏感性,在我國同樣屬於特種個人資料,企業倘須蒐集、處理或利用這些疫苗接種資料,則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前,企業可以盡量避免蒐集此類特種個資,降低個資保存的風險,優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

FTC提出誠實、公平與公正的AI使用建議

人工智慧(artificial intelligence, AI)技術不斷的發展,在改變醫藥、金融等不同領域時,同時也引起主管機關的注意,美國聯邦貿易委員會(Federal Trade Commission)在2021年4月19日時,針對公司使用AI時如何同時確保真實(truth)、公平(fairness)與公正(equity)提出建議

FTC指出AI的使用可能產生令人不安的後果,包含種族歧視或其他層面的歧視,例如透過COVID-19預測模型可以有效分配病床、呼吸機與其他資源來幫助公共衛生系統對抗病毒,然而美國醫學資訊協會(American Medical Informatics Association)雜誌近期的一則研究指出,如果前述模型使用的資料反映了既有醫療保健服務中所存在的種族歧視,那將會使有色人種受到不平等的醫療服務。

FTC以其過往的經驗,提供建議如下:

從正確的基礎開始

對於AI來說,如果其資料集缺少特定人群的資訊,利用這些資料所建立的AI模型將可能對受法律保障的族群產生不公平的結果,因此一開始便要考慮改良資料集的方法、設計模型時考量資料的差異,並且根據其缺點限制AI模型使用的地方或方式。

注意歧視性的結果

最重要的是在使用AI前後定期測試演算法、,確保不會基於種族、性別或其他受保障的族群進行歧視。

擁抱透明性與獨立性

須要考慮如何實現透明性與獨立性,例如透過相關框架與標準,進行與公布獨立稽核的結果,以及將資料與原始碼(source code)對外開放檢查。

避免誇大演算法

對於客戶或消費者的陳述必須真實,且不具欺騙性,不須要過度誇大演算法的效能。例如告訴客戶,公司的AI產品能夠提供100%公正的雇用決策,但實際上演算法背後所使用的資料卻缺少種族或性別多樣性,這將可能會有問題。

說明如何使用資料

如果未能清楚的告訴使用者資料將會如何被使用,後續將會有相關法律風險,例如Everalbum利用使用者所上傳的照片來訓練其臉部辨識演算法,然而FTC認為該公司讓使用者誤以為其有能力控制關於臉部辨識的相關功能,並且未能於使用者關閉帳號後刪除使用者的照片或影片,FTC要求該公司刪除非法取得的資料,並且須要刪除基於使用者照片或影片所開法的臉部辨識模型與演算法。

避免有害的行為

儘管演算法可以讓公司知道最有興趣購買其產品的消費者,表面上看起來是一件不錯的事情,然而從另一個角度來看,假如這個模型透過種族、膚色、宗教與性別來精準定位這些消費者,則可能會踩到紅線。當相關行為導致或可能導致消費者受到實質性傷害,且消費者無法合理地避免傷害,同時消費者或競爭的利益不足以抵銷傷害時,FTC將會質疑這樣的行為是違反FTC法第5條的。

負起相應的責任

公司必須對自己的行為負責,如果公司無法做到的話,FTC表示他們會幫你做到這件事情。

歐盟執委會(European Commission)同樣於今年4月21日,針對AI技術發布「AI規則(Artificial Intelligence Regulation)」草案,打算藉此建立歐盟對於AI的監管框架。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元

2021年5月2日,挪威資料保護主管機關Datatilsynet公布由於Disqus對於網站使用者的追蹤未能遵循歐盟一般資料保護規則(General Data Protection Regulation, GDPR),不符合合法性、透明性與問責原則的要求,因此預計對Disqus處以250萬歐元罰款。

Disqus是Zeta Global下的美國公司,該公司提供線上公眾留言分享平臺,Disqus 使用 Disqus小工具對挪威網站的使用者進行追蹤,其相關資料也揭露給第三方的廣告合作夥伴。

Disqus對於挪威資料主體的個人資料進行處理

Disqus認為其透過cookies所蒐集的資料並非GDPR所謂的個人資料,因為其無法從cookies IDs識別個人。

然而主管機關認為,儘管cookie ID無法像姓名或地址一樣能夠單獨識別(identify)自然人,然而每個cookie ID均為獨特且置放於自然人的瀏覽器,使得控制者(controller)能夠區別(distinguish)每個人,並監控該自然人與網路的互動,cookie ID構成GDPR第4(1)條規定所規定的可得識別(identifiable)個人資料。因此,Disqus將cookies置入於網站使用者的終端設備,賦予每一個使用者單一的cookies ID,並藉此追蹤使用者,蒐集IP位址、網站存取時間,進而分析相關資訊,根據網路活動、興趣或其他特徵將使用者分門別類,構成GDPR下個人資料的處理。

Disqus屬於控制者

主管機關認為Disqus基於其自身商業利益對網站使用者進行追蹤、分析與剖析,即其資料蒐集是為了線上行為定向廣告(online behavioural advertising),將資料揭露予Zeta Global與其他第三方,同時Disqus決定了個人資料處理的目的與方式,構成GDPR第4(7)條所謂的控制者。

本案有GDPR的適用

雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。

主管機關認為,Disqus提供Disqus小工具,讓挪威的網站使用者能夠透過小工具對於網站內容發表留言與評論,該小工具讓挪威的資料主體能夠存取使用,顯示挪威的頂級域名(top-level domain),並以挪威語言提供,因此可以認定Disqus向挪威的資料主體(data subjects)提供服務,而有GDPR第3(2)(a)條的適用。另外,Disqus置入cookie並透過cookies蒐集網站使用者的資料,同樣也構成GDPR第3(2)(b)條所謂監控位於挪威境內的資料主體。

因此,儘管Disqus並非於歐洲經濟區內設立的公司,但因為其行為構成向挪威資料主體提供服務與監控位於挪威境內的資料主體,因此仍有GDPR的適用。

Datatilsynet具有本案管轄權

Disqus表示不論是Disqus或Zeta Global都沒有於挪威進行商業活動,認為挪威資料保護主管機關Datatilsynet並沒有法律管轄權(legal jurisdiction)進行調查或採取相關措施。

主管機關認為,Disqus於歐洲經濟區並未有分支機構(establishment),因此本案沒有GDPR第56(1)條合作機制(cooperation mechanism)的適用。同時依據歐洲資料保護委員會(European Data Protection Board, EDPB)所認可的第29條工作小組(The Article 29 Working Party, WP29)指引,控制者於歐盟沒有任何分支機構時,其必須透過當地代表與各成員國的主管機關交涉,沒有GDPR第56條一站式機制(one-stop-shop system)的適用。因此,Datatilsynet作為挪威資料保護主管機關自然能夠依據GDPR第55(1)條所賦予的權限處理本案。

Disqus違反問責原則

根據GDPR的問責原則(accountability principle),控制者必須予以負責並顯示其確實遵循GDPR的規定。主管機關認為,Disqus作為控制者,其應於公司開始處理挪威資料主體的個人資料之「前」,確保遵循GDPR與確立個人資料處理的法律基礎。由於Disqus並未意識到其GDPR適用於挪威使用者,可見Disqus並未評估個人資料處理活動的合法性,因而違反GDPR的問責原則。

Disqus 未落實對資料主體的告知

根據GDPR第12(1)條規定,Disqus應在開始追蹤資料主體時向資料主體提供資訊,換言之,當資料主體打開網站時,Disqus便應於網站和小工具上提供隱私權政策,Disqus將隱私權政策至於網站的最底部的行為並不符合GDPR第12(1)條提供資訊義務、第13條告知義務與5(1)(a)透明性原則的規定。

Disqus 不具個人資料處理的合法基礎

主管機關認為,Disqus未能確立其個人資料處理的法律基礎,也未能取得資料主體的合法同意,而在GDPR第6(1)(f)條的正當利益(legitimate interes)衡平測試(balance test)檢驗下,儘管Disqus基於行銷與商業營利的目的販售廣告構成該條所謂的正當利益,但Disqus在整體個人資料處理與揭露第三方的商業模式,過於廣泛、不透明且以侵犯的方式追求Disqus自身的線上行為定向廣告利益,甚至未能依法告知資料主體,使資料主體無法控制或終止追蹤,因此不符合必要性。

最後在衡平測試的檢驗,Disqus將未取得同意所蒐集來的資料分享予第三方,這些第三方隨後又可能將該資料揭露予其他第三方,Disqus的商業利益並未優於資料主體的負面影響(包含剖析、資料保護與言論自由等基本人權),因此並無GDPR第6(1)(f)條的正當利益條款的適用。

本案裁罰決定

依照GDPR第83(1)條規定,裁罰應為有效(effective)、適當(proportionate)且具懲罰性(dissuasive)。主管機關基於前揭的論述,認為Disqus違反GDPR第5(2)、6(1)與第13條等規定,考量GDPR第83(2)條所列的各款因素後,依據GDPR第83(5)條,裁罰Disqus共2500萬元挪威克朗(約為250萬歐元),其裁罰金額大約等於Disqus公司2018年營業額的15%,然而這並非最終決定,Disqus公司仍可於2021年5月31日前表示意見,Datatilsynet後續將會考量該公司的回覆作出最終決定。

由於本案 Disqus 公司於歐洲經濟區並未有分支機構,因此後續裁罰將會如何執行值得關注。另外本案也提及GDPR一站式的機制不適用於在歐盟境內沒有分支機構的企業,因此當企業在歐洲經濟區內沒有設立分支機構,而有違反GDPR相關規定,且涉及各國資料主體時,似乎各國的主管機關對此情形均可能有管轄權,倘各國主管機關對此違反情形均為裁罰,對企業將會是一大衝擊。對於我國企業而言,仍然必須檢視業務流程是否會涉及其他國家法令,避免誤觸紅線。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款

法國資料保護主管機關CNIL(Commission Nationale de l’Informatique et des Libertés, CNIL)於2021年1月27日分別對某資料控制者(Data Controller)及其資料處理者(Data Processor)2間公司分別處以150,000歐元與75,000歐元(共225,000歐元,約新臺幣756萬元)的罰款,理由是因為其未能採取充分的適當安全措施,導致資料控制者所經營網站的客戶個人資料遭受憑證填充攻擊(credential stuffing attacks),以致於資料外洩。

在2018年6月至2020年1月期間,CNIL收到數十份與網站相關的個人資料外洩通報,CNIL指出該網站遭受到無數次的憑證填充攻擊。

憑證填充攻擊,攻擊者通常使用因為資料洩漏而遭公布在網路上的帳號密碼,並藉由機器人以自動化方式嘗試登入網路服務。假設使用者經常在不同的網路服務中使用相同的帳號與密碼,則攻擊者使用憑證填充攻擊,嘗試與網路服務進行大量連接,身份驗證成功後,攻擊者將可以查看與帳戶相關的資訊。

CNIL表示,攻擊者因此取得該網站會員姓名、電子郵件地址、出生日期、會員卡的餘額以及與訂單相關的資訊。CNIL認為該兩間公司未能履行歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第32條規定的保護客戶個人資料安全義務。

儘管公司開發一種工具用偵測與組織來自機器人的攻擊,但是該工具的開發距離第一次攻擊長達1年的時間。CNIL認為,公司在防止攻擊與減輕衝擊部分,本來可以考慮採取其他更適當的措施,例如:(1)限制網站上每個IP地址允許的存取數量,可以有助於減緩攻擊發生的速度;(2)使用驗證使用者身份機制。 CNIL強調,資料控制者必須決定安全措施的實施,並向資料處理者說明,同時資料處理者也必須尋求最適切的解決方案,將其提供給資料控制者,以確保個人資料保護的落實。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則