教育部學習歷程出包,誰該負責?

近日鬧的沸沸揚揚的「高中學習歷程」事件,據報導記載因為工程師疏失,相關虛擬主機的硬碟設定失誤,而導致有7854名學生總共2.5萬筆的資料遺失。儘管教育部長於今年9月26日已公開致歉,並表示將由專人協助學生檔案上傳等補救措施,並將依契約追究暨南大學團隊疏失及教育部國民及學前教育署(下稱國教署)督導不周的行政責任,然而目前的補救措施並未提及對學生的賠償或補償相關事宜。

學生歷程檔案為個資法所保護

依照個人資料保護法(下稱個資法)第2條第1款規定,個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。學生的學習歷程檔案,記錄學生於高中時期的學習表現,包含考試成果、學習軌跡、個人特質與能力發展等資料,其應屬於個資法所欲保護的個人資料

學生可依國家賠償法向教育部與國教署求償

按受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。(個資法第4條有明文規定),另外依照個資法施行細則第8條規定,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督,且必須定期確認受託者執行之狀況,並將確認結果記錄之。另外當公務機關違反個資法規定,導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,且被害人如有非財產上損害(即精神慰撫金),亦可請求賠償相關金額(個資法第28條第1項與第2項)。

因此,儘管相關情形依報導記載可能是因為國立暨南國際大學資工團隊(下稱暨大團隊)的疏失所造成,然而依照前述個資法規定,委託機關(即國教署)不僅對暨大團隊負有監督義務,同時暨大團隊相關疏失亦應由國教署負擔相關賠償責任。類似學習歷程檔案因硬碟設定錯誤導致不可用,已對學生個人資料的正確性、完整性與可用性造成影響,而侵害學生之權利,學生自得循國家賠償程序向國教署求償(個資法第31條規定),被害人當然也可以選擇向直接對學生歷程檔案造成影響的暨大團隊求償。另外雖然相關賠償金額並不易證明,但學生仍得請求法院依侵害情節,依個資法規定酌定相當金額(以每人每一事件新臺幣500元以上2萬元以下計算)。

結論

學生歷程檔案對高中生的升學影響重大,當學生歷程檔案受到影響,其關於個資當事人的權利即已受到侵害,學生自然可以依個資法等相關規定選擇向國教署或暨大團隊求償,但最好的情況,則是教育部與國教署認知到自己的責任,除了道歉之外,還應適時予以補償或賠償學生的損害。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

要建立Facebook粉絲專頁嗎?挪威資料保護主管機關的答案是No

就像許多政府機關喜歡透過社群平台與民眾交流,資料保護主管機關當然也不例外。挪威資料保護主管機關(Datatilsynet)於2021年9月22日宣布其將不會使用Facebook建立粉絲專頁,由於經過資料保護影響評估(Data protection impact assessments)後,其認為透過Facebook粉絲專頁處理個人資料對使用者權利與自由的風險過高,且Datatilsynet也無法落實歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第26條關於共同控制者等規定,甚至無法透過實施適當措施來降低相應風險。Datatilsynet表示其應為第一個依據GDPR規定對Facebook粉絲頁面進行全面性的組織,其並非基於監督者的角色,而是從控制者的角色去進行相關評估。同時Datatilsynet也發布「Risk assessment: Should the Norwegian Data Protection Authority create a Page on Facebook?」報告,期望引起相關使用社群媒體的討論。

風險評估與共同控制者

Datatilsynet認為,經過風險評估後,透過Facebook粉絲專頁處理個人資料對使用者權利與自由的具有高度的風險。同時依據歐洲法院(European Court of Justice, ECJ)的WirtschaftsakademieFashion ID 的兩項裁決,社群媒體與其他方之間的互動可能構成GDPR第26條共同控制,而須符合相關規定,但Datatilsynet認為其無法透過與Facebook成立單獨的協議來遵循相關規定。

必要性與適當性

Datatilsynet接著評估資料處理的必要性和適當性(Necessity and proportionality),以確保以資料控制者的身分做出的決策是合法的,並且以與目的相符的方式進行處理。其評估GDPR資料保護原則、資料主體的權利與資料主體的自由是否受到保護。評估結果認為儘管Datatilsynet作為粉絲專頁所有者,同時具有保護資料主體的法律依據,並遵循相關資料保護原則,但Datatilsynet使用粉絲專頁將會受到Facebook 及其條款的支配。同時,Datatilsynet還認為Facebook沒有充分落實GDPR第25條關於資料保護設計與預設(data protection by design and by default)的規定,以提供適當的資料保護。

資料主體觀點

Datatilsynet從資料主體的角度出發,評估資料主體行使相關權利時是否受到保障,包含透明性(Transparency)、可預期性(Predictability)以及Datatilsynet很可能無法以積極的方式協助資料主體行使其權利。

結論

Datatilsynet工作小組依GDPR第35條進行前述DPIA,並依同條第2項規定諮詢資料保護長(Data protection officer, DPO)後,提交相關報告予管理階層討論,Datatilsynet考量前揭DPIA結果與DPO的建議後,決定不於Facebook上建立粉絲專頁與透過粉絲專頁與民眾進行交流。附帶一提,Datatilsynet目前是透過Twitter來經營其社群媒體。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

愛爾蘭資料保護委員會(Data Protection Commission, DPC)於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則(GDPR)的調查與結論,過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則,包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始,DPC便開始著手調查,經過漫長的程序之後,DPC於2020年12月依據GDPR第60條向所有相關主管機關(Concerned Supervisory Authorities, CSA)提交一份決定草案,且隨後即收到8個CSA的反對意見,由於DPC無法與CSA就反對意見達成共識,並於2021年6月3日觸發GDPR第65條的爭端解決程序(dispute resolution process)。

2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要:

一、對非使用者(non-users)的透明性

1.在lossy hashing之前,非使用者的電話號碼構成個人資料。

2.在lossy hashing之後,非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料,然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人,以及資料控制者或第三方能夠於資料集(dataset)中挑選(single out)出資料主體的技術能力有關。EDPB參考第29條工作小組(WP29)關於匿名化的指引,認為K-Anonymity的方法僅能避免遭挑選出來的風險,而無法避免被連結(linkability)或被推論(inference)的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險,WhatsApp也具有此等能力,因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條,即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定,但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示,確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期,以基於安全(safety)與保護(security)的目的,於控制者對控制者基礎上與Facebook間共享個人資料,否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除,以反映真實情形。

四、透明性原則

綜合上述,WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

荷蘭資料保護主管機關因兒童隱私保護不足裁罰TikTok75萬歐元

荷蘭資料保護主管機關(The Dutch Data Protection Authority, DPA)於今年7月22日宣布裁罰TikTok75萬歐元(約新台幣2477萬元)。荷蘭DPA認為TikTok應用程式在安裝與使用時對荷蘭使用者提供的資料是以英文呈現,使用者難以理解其內容。 TikTok 有許多的兒童使用者, TikTok 缺乏對應用程式如何蒐集、處理與利用個人資料,對這些使用者提供充分且清楚的解釋,構成對隱私權的侵害。

荷蘭DPA的調查

在荷蘭,有許多的兒童手機都安裝有 TikTok ,荷蘭DPA因為考量兒童隱私問題,針對該應用程式進行深入調查。兒童在法律上被視為特別脆弱的群體,其很少能夠意識到自身行為所帶來的影響與後果,包含在社群媒體上分享個人資料所帶來的影響。因此,資料保護法針對兒童給予特別的保護。

對總部設在歐洲的公司,主要由總部所在的歐盟成員國負責監督其營運活動,而如果一家公司沒有在歐洲設立總部,則任何歐盟成員國都能對其營運活動進行監督。荷蘭DPA表示,在調查當初 TikTok 尚未在歐洲設立總部,直到後來才在愛爾蘭設立部門。因此DPA只被授權針對 TikTok 的隱私權聲明進行調查,其他隱私侵害行為則由愛爾蘭資料保護委員會接手後續調查與處理。

預防數位誘拐與網路霸凌措施

去年10月時,荷蘭DPA向 TikTok 提出調查結果報告,後續 TikTok 進行一連串的改變,致力於使應用程式對16歲以下的兒童更加安全。然而,兒童在建立其帳號時,仍然可以透過填寫不同的年齡來假裝為成年人,這樣的機制讓兒童暴露於風險之中,這個問題仍然尚待解決。

兒童隱私保護趨勢

未來隱私論壇(The Future of Privacy Forum)於今年7月28日發布「資料保護未來趨勢觀察:2021-2022歐洲資料保護主管機關監管策略(Insights into the future of data protection enforcement: Regulatory strategies of European Data Protection Authorities for 2021-2022)」報告,該份報告整理與分析法國、葡萄牙、比利時、挪威、瑞典、愛爾蘭、保加利亞、丹麥、芬蘭、拉脫維亞、立陶宛、盧森堡與德國等15個國家以及歐洲資料保護委員會(European Data Protection Board, EDPB)與歐洲資料保護監督機關(European Data Protection Supervisor, EDPS)的監管策略,其中便有超過半數的主管機關表達對兒童隱私保護的關切,將保護兒童個人資料列為優先監管事項,並發布相關指引與執法計畫。

2021年3月2日時,聯合國兒童權利委員會(Committee on the Rights of the Child)也發布第25號一般性意見—數位環境下的兒童權利(General comment No. 25 (2021) on children’s rights in relation to the digital environment)」強調數位環境下的兒童權利應受到保護與尊重。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

隨著越來越多人進行疫苗接種,愛爾蘭資料保護委員會(Data Protection Commission,DPC)指出,雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說,愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下,進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下,雇主應該如何瞭解員工疫苗接種情形?愛爾蘭DPC表示可以由以下面向來討論:

就業環境

根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議,無論疫苗接種情形,相關公共衛生感染預防與控制措施(例如保持社交距離、手部衛生、口罩與適當的通風)、以及在家工作等相關措施仍應維持。因此,基於資料最小化的原則,雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則(GDPR)下的敏感性個人資料,受到法律特殊的保障。而依照現行的安全工作協議,COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係,個人並無法控制其何時能夠接種疫苗,甚至因為疫苗的年齡限制,年輕人在短期內也無法接種疫苗,代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素,所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中,個人資料的處理發生在員工(資料主體)與雇主之間,兩者的關係存在不平衡的情況,因此也不應以員工同意的方式處理疫苗接種資料,這種情況下,難以符合自由給予的同意要件。

醫務官員(Medical Officer of Health)

依相關法律規定,醫務官員在履行公共衛生職責的過程中,可能會需要瞭解員工的疫苗接種情形,在這樣的情形下,則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料,來知道員工是否處於自我隔離期間,但在這種情形,可以要求員工說明其可以重返工作的時間,來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封,日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同,疫苗接種資料因為其敏感性,在我國同樣屬於特種個人資料,企業倘須蒐集、處理或利用這些疫苗接種資料,則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前,企業可以盡量避免蒐集此類特種個資,降低個資保存的風險,優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元

2021年5月2日,挪威資料保護主管機關Datatilsynet公布由於Disqus對於網站使用者的追蹤未能遵循歐盟一般資料保護規則(General Data Protection Regulation, GDPR),不符合合法性、透明性與問責原則的要求,因此預計對Disqus處以250萬歐元罰款。

Disqus是Zeta Global下的美國公司,該公司提供線上公眾留言分享平臺,Disqus 使用 Disqus小工具對挪威網站的使用者進行追蹤,其相關資料也揭露給第三方的廣告合作夥伴。

Disqus對於挪威資料主體的個人資料進行處理

Disqus認為其透過cookies所蒐集的資料並非GDPR所謂的個人資料,因為其無法從cookies IDs識別個人。

然而主管機關認為,儘管cookie ID無法像姓名或地址一樣能夠單獨識別(identify)自然人,然而每個cookie ID均為獨特且置放於自然人的瀏覽器,使得控制者(controller)能夠區別(distinguish)每個人,並監控該自然人與網路的互動,cookie ID構成GDPR第4(1)條規定所規定的可得識別(identifiable)個人資料。因此,Disqus將cookies置入於網站使用者的終端設備,賦予每一個使用者單一的cookies ID,並藉此追蹤使用者,蒐集IP位址、網站存取時間,進而分析相關資訊,根據網路活動、興趣或其他特徵將使用者分門別類,構成GDPR下個人資料的處理。

Disqus屬於控制者

主管機關認為Disqus基於其自身商業利益對網站使用者進行追蹤、分析與剖析,即其資料蒐集是為了線上行為定向廣告(online behavioural advertising),將資料揭露予Zeta Global與其他第三方,同時Disqus決定了個人資料處理的目的與方式,構成GDPR第4(7)條所謂的控制者。

本案有GDPR的適用

雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。

主管機關認為,Disqus提供Disqus小工具,讓挪威的網站使用者能夠透過小工具對於網站內容發表留言與評論,該小工具讓挪威的資料主體能夠存取使用,顯示挪威的頂級域名(top-level domain),並以挪威語言提供,因此可以認定Disqus向挪威的資料主體(data subjects)提供服務,而有GDPR第3(2)(a)條的適用。另外,Disqus置入cookie並透過cookies蒐集網站使用者的資料,同樣也構成GDPR第3(2)(b)條所謂監控位於挪威境內的資料主體。

因此,儘管Disqus並非於歐洲經濟區內設立的公司,但因為其行為構成向挪威資料主體提供服務與監控位於挪威境內的資料主體,因此仍有GDPR的適用。

Datatilsynet具有本案管轄權

Disqus表示不論是Disqus或Zeta Global都沒有於挪威進行商業活動,認為挪威資料保護主管機關Datatilsynet並沒有法律管轄權(legal jurisdiction)進行調查或採取相關措施。

主管機關認為,Disqus於歐洲經濟區並未有分支機構(establishment),因此本案沒有GDPR第56(1)條合作機制(cooperation mechanism)的適用。同時依據歐洲資料保護委員會(European Data Protection Board, EDPB)所認可的第29條工作小組(The Article 29 Working Party, WP29)指引,控制者於歐盟沒有任何分支機構時,其必須透過當地代表與各成員國的主管機關交涉,沒有GDPR第56條一站式機制(one-stop-shop system)的適用。因此,Datatilsynet作為挪威資料保護主管機關自然能夠依據GDPR第55(1)條所賦予的權限處理本案。

Disqus違反問責原則

根據GDPR的問責原則(accountability principle),控制者必須予以負責並顯示其確實遵循GDPR的規定。主管機關認為,Disqus作為控制者,其應於公司開始處理挪威資料主體的個人資料之「前」,確保遵循GDPR與確立個人資料處理的法律基礎。由於Disqus並未意識到其GDPR適用於挪威使用者,可見Disqus並未評估個人資料處理活動的合法性,因而違反GDPR的問責原則。

Disqus 未落實對資料主體的告知

根據GDPR第12(1)條規定,Disqus應在開始追蹤資料主體時向資料主體提供資訊,換言之,當資料主體打開網站時,Disqus便應於網站和小工具上提供隱私權政策,Disqus將隱私權政策至於網站的最底部的行為並不符合GDPR第12(1)條提供資訊義務、第13條告知義務與5(1)(a)透明性原則的規定。

Disqus 不具個人資料處理的合法基礎

主管機關認為,Disqus未能確立其個人資料處理的法律基礎,也未能取得資料主體的合法同意,而在GDPR第6(1)(f)條的正當利益(legitimate interes)衡平測試(balance test)檢驗下,儘管Disqus基於行銷與商業營利的目的販售廣告構成該條所謂的正當利益,但Disqus在整體個人資料處理與揭露第三方的商業模式,過於廣泛、不透明且以侵犯的方式追求Disqus自身的線上行為定向廣告利益,甚至未能依法告知資料主體,使資料主體無法控制或終止追蹤,因此不符合必要性。

最後在衡平測試的檢驗,Disqus將未取得同意所蒐集來的資料分享予第三方,這些第三方隨後又可能將該資料揭露予其他第三方,Disqus的商業利益並未優於資料主體的負面影響(包含剖析、資料保護與言論自由等基本人權),因此並無GDPR第6(1)(f)條的正當利益條款的適用。

本案裁罰決定

依照GDPR第83(1)條規定,裁罰應為有效(effective)、適當(proportionate)且具懲罰性(dissuasive)。主管機關基於前揭的論述,認為Disqus違反GDPR第5(2)、6(1)與第13條等規定,考量GDPR第83(2)條所列的各款因素後,依據GDPR第83(5)條,裁罰Disqus共2500萬元挪威克朗(約為250萬歐元),其裁罰金額大約等於Disqus公司2018年營業額的15%,然而這並非最終決定,Disqus公司仍可於2021年5月31日前表示意見,Datatilsynet後續將會考量該公司的回覆作出最終決定。

由於本案 Disqus 公司於歐洲經濟區並未有分支機構,因此後續裁罰將會如何執行值得關注。另外本案也提及GDPR一站式的機制不適用於在歐盟境內沒有分支機構的企業,因此當企業在歐洲經濟區內沒有設立分支機構,而有違反GDPR相關規定,且涉及各國資料主體時,似乎各國的主管機關對此情形均可能有管轄權,倘各國主管機關對此違反情形均為裁罰,對企業將會是一大衝擊。對於我國企業而言,仍然必須檢視業務流程是否會涉及其他國家法令,避免誤觸紅線。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

個資外洩求償判決與舉證責任轉換之運用

根據媒體報導,去(2020)年民眾通報高風險賣場前5名,分別是Momo購物網、小三美日、讀冊生活、486團購網與Hito本舖,其通報數量均超過200件,其中以Momo購物網383件居冠。

以法學搜尋系統Lawsnote搜尋網路購物相關個資外洩求償判決,2018年至2020年的民事判決件數僅有18件,其中原告勝訴的判決為11件,勝訴率約為60%。然而仔細檢視原告敗訴的案件,其中不乏因為原告(即消費者)無法證明詐騙集團所使用的資料來自被告公司的個資外洩行為,而因此敗訴。

臺灣高雄地方法院109年度雄小字第3154號判決為例,法院即表示「當事人主張有利於己之事實,他造對之有爭執者,有提出證據以證明其事實為真實之責任,主張積極事實者應負舉證之責任,乃為舉證責任分配之原則。依上開規定,本件原告主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個資係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任。」

然而,個資存放與安全措施的相關資料與證據均為企業所持有,一般民眾要證明遭詐騙時的個資是來自被告公司何其困難,因此即有法院判決透過舉證責任轉換的運用,降低民眾求償的舉證門檻。

「按當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條規定甚明。上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。」(臺灣臺北地方法院106年度北小字第2161號民事判決參照)

另外也有判決從常態事實與變態事實兩者的舉證責任出發,認為駭客入侵公司電腦竊取大量客戶資料屬於常態事實,侵入個人電腦竊取個人消費資料屬於變態事實,而應由被告公司先舉證證明其已善盡客戶消費資料的保存責任且未遭不法蒐集。

「按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料(含所留之聯繫資料,例如:手機號碼、住家地址等)更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」臺灣士林地方法院107年度湖簡字第110號民事判決參照。

本文將相關法院判決與舉證責任轉換運用與否,粗淺地整理如下表。由下方表格可以觀之,18件判決中,法院有適當運用舉證責任轉換的判決均是對原告有利的結果(如表格灰色標記處)。而法院未運用舉證責任轉換共有12件,其中原告敗訴的判決有7件(約佔58%),儘管案件的勝負尚有其他影響因素,但仍然可以看出,法院倘運用舉證責任轉換,對於原告(民眾)是較為有利的。

民事訴訟法第277條也提到「當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限。」,因此法院在相關案件適用前述條文時,仍應適當考量原告與被告雙方能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等情形,來決定雙方舉證責任或是否減輕證明度。倘若法院一律機械式套用當事人主張有利於己的事實,均對該事實有舉證之責任,則難免無法達到個案正義,同時不免有法律強人所難之嘆。同時,法院判決兼具「傳達訊息」之功能,儘管個資外洩相關判決,因為其所涉及金額較低,往往無法上訴到最高法院,然而隨著隱私權與資料保護的重視,也期待法院為相關判決時,可以多加著墨,引領相關議題的討論。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

關於語音助理的幾件事,CNIL的語音助理白皮書告訴你

不論是Apple HomePod還是Google Nest Audio,語音助理在智慧家庭中的角色越來越重要,不管是想要知道天氣、行事曆或是播放音樂,只要動口不動手,優秀的語音助理都能替你完成。然而,語音助理也會知道你的一切相關資訊。

法國個人資料保護主管機關「國家資訊自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)」在2020年12月16日發布語音助理(voice assistants)白皮書「On the record」,指出由於語音助理在智慧手機、汽車甚至是冰箱等產品已經成為一種必需品,為了探求語音助理所涉及的倫理、技術與法律議題,CNIL透過與眾多研究人員與專家的合作,發表了該份白皮書。

該份白皮書旨在為設計師(designers)、應用程式開發人員(application developers)、整合人員(integrators)與期望推出語音助理的組織提供領先的隱私保護實踐指引,強調聲音是屬於個人的生物特徵(biometric characteristic of individuals),因此語音助理的設計必須符合透明性與安全性,以符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與保護個人隱私。白皮書還提供使用者如何實施良好安全措施的建議,例如確保資料傳輸的機密性,或保護可能與這些設備互動的兒童。

對於語音助理的使用者,CNIL強調除了喚醒的條件與資訊、可用的服務、安全措施等條件的選擇之外,最重要的是認識到這些設備所伴隨的挑戰,使用者應該注意下列五點事項:

一、確保交流的機密性

※選擇使用的設備

1.與進行遠距資料處理(remote processing)的設備相比,優先使用進行本機資料處理(local data processing)的設備。

2.選擇配備物理式麥克風靜音的設備。

3.選擇透過手動按壓啟動而非透過喚醒詞來啟動的設備,這將會讓使用者對於啟動時間有更多控制。否則,請優先考慮啟動與結束時會發出訊號的設備,並於設定語音助理時啟動該功能。

※關於設備的使用

1.如果你不想讓別人聽到你的對話,在設備允許的情形下,關閉基於改善產品對你的互動進行分析的功能。

2.如果你不想分享技術資料,關閉基於改善產品對你的互動進行分析的功能。

3.如果你不想被語音助理聽到,可以將其關閉或靜音。

4.通知第三方(訪客、家事清潔人員)關於對話錄音的潛在風險,或關閉/靜音設備的麥克風。

5.相對的,如果你待在一個有語音助理的地點,如果你不想被錄音,可以要求擁有者關閉設備/拔掉插頭。

6.當嵌入專用設備時,請將語音助理放在顯眼且對所有人可見的位置。

7.定期檢查使用者帳戶中記錄資料的歷史紀錄,並刪除機敏資料。

二、個人資料將被用來營利

1.留意你在裝置前所說的內容可能會被用來建立關於你的廣告資料。

2.選擇不需要建立帳戶即可使用的設備。

3.如果功能允許,選擇使用「私密瀏覽」模式。

4.考量共享個人資料與敏感性的隱私風險後,再連結到真正有用的助理服務。

5.定期檢查哪些服務與助理連結,並禁用很少或沒有使用的服務。

6.如有任何疑問可以與服務專線聯繫,必要時也可以與主管機關聯繫(即CNIL)。

三、留意沒有螢幕的設備

1.除了透過語音介面進行裝置管理與資料刪除,選擇也能透過螢幕或使用者帳戶進行的設備。

2.定期檢視助理的儀表板以及根據需要自定義其功能,例如選擇使用的預設搜尋引擎或資料來源。

3.可以使用語音助理功能來設定關於本章節內容的小訣竅提醒。

四、監督兒童使用

1.以明確得指導方式說明語音助理的工作方式並示範簡單的設置(例如關閉按鈕)。

2.避免將設備放置在兒童專用區域(臥室、遊戲室等)。

3.監督兒童與設備的互動,當兒童使用設備時,留在房間裡陪伴他使用,當兒童不使用設備時,將其關閉。

4.確保預設情形下,將裝備設置為過濾兒童資料。

5.如果裝備記錄了歷史紀錄,則以尊重兒童隱私的方式查閱相關統計情形與過去的互動情況。

6.定期刪除歷史記錄。

五、預防駭客入侵的風險

1.避免使用無法識別或無法輕鬆識別其來源、設計者、控制者等的設備。

2.謹慎選擇可以由語音助理控制的服務,並避免那些有風險的服務(開門、上鎖或開車)。

3.謹慎安裝與存取合法的應用程式,駭客可以建立惡意軟體來蒐集使用者資料(帳戶、信用卡號碼、密碼、地址或聯繫方式等)。

4.如果設備允許,則透過雙因素身份驗證(例如透過電子郵件或簡訊發送驗證碼)來設置設備或某些敏感應用程式的安全性。

5.仔細選擇與你帳戶相關服務(電子郵件、日曆、銀行帳戶、電話等)的啟動。

6.保護語音助理連接到的網路(尤其是Wi-Fi)。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

中國大陸國家互聯網信息辦公室公布App蒐集個人資料的必要範圍

中國大陸國家互聯網信息辦公室於2020年12月1日公布「常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿)」文件,指出現行App往往有超出範圍、強制蒐集使用者個人信息(即個人資料)的情形,而使用者拒絕同意則無法安裝使用App。因此該文件羅列了地圖導航、網路約車、即時通信等38種常見類別App的基本功能與必要個人信息。

必要個人信息是指保障App基本功能正常運行所必須的個人信息,缺少該信息App即無法提供基本功能服務,只要使用者同意蒐集必要個人信息,App不得拒絕使用者安裝使用。

從該份文件可以知道,要滿足一般App基本功能的必要個人信息範圍並沒有想像得來的多,業者在超出必要範圍的部分,不僅不能拒絕使用者安裝使用App,在其他個人信息的取得與利用更應該要尊重使用者的自主意志。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.中國大陸個人信息保護法草案全文發布
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿):

1.地圖導航類:

基本功能服務:定位和導航。

必要個人信息:位置信息。

2.網絡約車類:

基本功能服務:預約汽車出行。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)乘車人出發地、到達地、位置信息、行踪軌跡。

3.即時通信類:

基本功能服務:提供文字、圖片、語音、視頻等即時通信服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)賬號信息:賬號、聯繫人賬號列表。

4.網絡社區類:

基本功能服務:博客、論壇、社區等話題討論、信息分享和關注互動。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

5.網絡支付類:

基本功能服務:收款人或付款人依托公共網絡遠程發起支付指令,由支付機構提供貨幣資金轉移服務(如支付、提現、轉賬等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)付款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

6.網上購物類:

基本功能服務:購買商品。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

7.餐飲外賣類:

基本功能服務:購買餐飲。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

8.快遞物流類:

基本功能服務:包裹、印刷品等物品的快遞寄收件。

必要個人信息:

(1)寄件人真實姓名、地址、聯繫電話。

(2)收件人姓名、地址、聯繫電話。

9.交通票務類:

基本功能服務:交通相關的票務服務及行程管理(如票務購買、改簽、退票、行程管理等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)旅客姓名、證件類型和號碼、旅客類型。旅客類型通常包括兒童、成人、學生等。

(3)旅客出發地、目的地、出發時間、車次/船次/航班號、席別/艙位等級、座位號(如有)。

(4)支付信息。

10.婚戀相親類:

基本功能服務:婚戀相親。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)婚戀相親人的性別、年齡、婚姻狀況。

11.求職招聘類:

基本功能服務:職位信息查詢和求職簡歷投遞。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)求職者提供的簡歷。

12.網絡借貸類:

基本功能服務:通過互聯網平台實現的個人消費貸款。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)借款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼。

13.房屋租售類:

基本功能服務:個人房源信息發布、房屋出租或買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)房源基本信息:房屋地址、面積/戶型、期望售價或租金。

14.二手車交易類:

基本功能服務:二手車買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)購買方姓名、證件類型和號碼。

(3)出售方姓名、證件類型和號碼、車輛行駛證號、車輛識別號碼。

15.問診掛號類:

基本功能服務:在線問診、掛號。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)患者姓名、證件類型和號碼。

(3)患者預約掛號的醫院、科室。

16.旅遊服務類:

基本功能服務:旅遊產品訂購。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)出行人旅遊目的地、旅遊時間。

(3)出行人姓名、證件類型和號碼。

17.酒店服務類:

基本功能服務:酒店預訂。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)住宿人姓名、聯繫方式,入住、退房時間,入住酒店名稱。

18.網絡遊戲類:

基本功能服務:通過網絡提供遊戲產品和服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

19.學習教育類:

基本功能服務:在線輔導、網絡課堂等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

20.本地生活類:

基本功能服務:家政維修、家居裝修、二手閒置物品交易等日常生活服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

21.女性健康類:

基本功能服務:女性經期管理、備孕育兒、美容美體等健康管理服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用於健康管理的歷史信息。

22.用車服務類:

基本功能服務:共享單車、共享汽車、租賃汽車等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)使用共享汽車、租賃汽車服務用戶的證件類型和號碼,駕駛證影印件。

23.投資理財類:

基本功能服務:股票、期貨、基金、債券等相關投資理財服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件。

(3)投資理財用戶資金賬戶、銀行卡號碼。

24.手機銀行類:

基本功能服務:通過手機等移動智能終端設備進行銀行賬戶管理、信息查詢、轉賬匯款等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

25.郵箱雲盤類:

基本功能服務:郵箱、雲盤等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

26.遠程會議類:

基本功能服務:通過網絡提供音頻或視頻會議。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

27.網絡直播類:

基本功能服務:向公眾持續提供實時視頻、音頻、圖文等形式信息服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

28.在線影音類:

基本功能服務:影視、音樂播放和下載。

必要個人信息:無須個人信息,即可使用基本功能服務。

29.短視頻類:

基本功能服務:不超過一定時長的視頻搜索、播放。

必要個人信息:無須個人信息,即可使用基本功能服務。

30.新聞資訊類:

基本功能服務:新聞資訊的瀏覽、搜索。

必要個人信息:無須個人信息,即可使用基本功能服務。

31.運動健身類:

基本功能服務:運動記錄、健身管理等服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

32.瀏覽器類:

基本功能服務:瀏覽互聯網信息資源。

必要個人信息:無須個人信息,即可使用基本功能服務。

33.輸入法類:

基本功能服務:文字、符號等輸入。

必要個人信息:無須個人信息,即可使用基本功能服務。

34.安全管理類:

基本功能服務:查殺病毒、清理惡意插件、修復漏洞、清理優化、騷擾攔截、權限管理等。

必要個人信息:無須個人信息,即可使用基本功能服務。

35.電子圖書類:

基本功能服務:電子圖書閱讀。

必要個人信息:無須個人信息,即可使用基本功能服務。

36.拍攝美化類:

基本功能服務:拍攝、美顏、濾鏡等。

必要個人信息:無須個人信息,即可使用基本功能服務。

37.應用商店類:

基本功能服務:App下載和管理。

必要個人信息:無須個人信息,即可使用基本功能服務。

38.實用工具類:

基本功能服務:日曆、天氣、詞典翻譯、計算器、遙控器、手電筒、指南針、時鐘鬧鐘、文件傳輸、文件管理、壁紙鈴聲、截圖錄屏、錄音、協同辦公等。

必要個人信息:無須個人信息,即可使用基本功能服務。

人工智慧與個人資料保護

隨著人工智慧(Artificial Intelligence, AI)技術的進步,AI在零售業、銀行與醫療等各領域都有了驚人的應用,推動了AI技術與資料利用等方面的創新,然而使用AI的組織仍然須持續面對挑戰,例如AI是解決問題的正確方式嗎?AI會產生什麼樣的道德問題?我們如何確定AI的使用是合法的?

儘管AI提供了一個能夠顯著改善社會的機會,然而AI的使用往往也會帶來風險(從AI系統帶來的安全風險到歧視與偏見的風險),而對於組織來說,如何評估AI的使用對資料保護的法令遵循性將會是一大挑戰。

英國個資保護主管機關ICO(Information Commissioner’s Office)於今(2020)年7月30日發布人工智慧與資料保護指引(Guidance on AI and data protection)」,提供設計、架構與實施AI系統的法令遵循路線圖,其內容約略分為以下幾個面向。

AI的問責與治理

在運用得當的情形下,AI將使組織更具效率與創新。但是,AI也對個人的權利與自由以及組織的法令遵循挑戰帶來巨大的風險。

與其他處理個人資料的技術相同,相同的資料保護概念也適用於AI的使用。資料保護法中,透過風險導向的方法要求組織在特定情形下遵守義務並採取適當措施,因此在法令遵循面必須包含評估個人權利和自由的風險,並進而識別、管理和減輕這些風險。

AI系統的合法性、公平性與透明性

首先,AI系統的開發與部署往往涉及針對不同目的以不同方式處理個人資料,組織必須分解每個不同處理操作,並為每個操作確定目的和適當的合法依據,以便遵守合法性原則。

其次,當組織使用AI系統來推斷個人的資料,則為了使處理過程更加公平,組織應確保1.該系統在統計上足夠準確,並且避免歧視,以及2.考慮個人合理期望的影響。

例如用於預測貸款還款率的AI系統在以下情況可能會被認為違反公平原則:
1.作出經常被證明是錯誤的預測。
2.導致群體間(例如男人與女人間)結果的差異,且無法證明是為實現合法目標的適當手段。
3.以個人無法合理預期的方式利用個人資料。

最後,組織需要透明得瞭解如何在AI系統中處理個人資料,以遵守透明性原則。(可以參考揭開黑箱,說清楚講明白—可解釋性AI人工智慧

AI系統的安全性

使用AI處理個人資料對於風險有著重要的影響,因此組織需要仔細評估與管理這些風險。然而,實際上並不存在一種「萬能的」安全方法,組織應針對不同個人資料處理所產生的風險等級與類別,分別採取適當的安全措施。

指引內也提到兩大適用AI模型的隱私攻擊種類,「模型反轉(model inversion)」與「成員推斷(membership inference)」,組織應該檢視自身的風險管理實踐情形,以確保個人資料在AI的使用環境中是安全的。

AI系統的資料最小化

資料最小化原則要求組織確定實現目標所需最小數量的個人資料,並且僅處理該個人資料(GDPR第5條第1項第c款參照)。AI系統通常需要大量資料,乍看之下彷彿難以符合資料最小化原則,然而資料最小化原則並不意謂著「不處理任何個人資料」或「處理大量資料就會違法」,關鍵的地方在於,組織是否僅處理其所需要的個人資料。

AI系統與個人權利

依據資料保護法,當事人對於其個人資料有許多相關權利,無論在AI系統的開發或是部署的生命週期各階段中,均有當事人權利的適用,組織應予以重視,例如以下情形:

  1. 訓練資料(training data)。
  2. 用於預測的資料及預測本身的結果。
  3. AI的模型內。

例如零售業者打算以過去的交易資料來預測消費者行為,需要大量的客戶交易資料集來訓練模型。而在將客戶交易資料轉換用於訓練統計模型的訓練資料時,儘管訓練資料已經較難連結到特定的個人,然而如果其仍然能單獨或與組織可能要處理的其他資料(即使不能與客戶的名字相連結)共同「挑選(single out)」相關的個人,此部分仍有資料保護法的適用,而組織應於當事人行使其權利行使時,將此部分納入考量。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?