2021年11月29日,英國資訊委員辦公室(The Information Commissioner’s Office, ICO)宣布預計對Clearview AI公司裁罰1700萬元英鎊(約6億2000萬元)之初步意向,同時要求停止進一步處理英國人民的個人資料,並刪除涉及嚴重違反英國資料保護法的個人資料。
Clearview AI公司宣稱其擁有世界上最龐大的臉部資料網路,先前ICO曾與澳洲資訊委員辦公室(the Office of the Australian Information Commissioner, OAIC)進行聯合調查,主要關注於Clearview AI公司使用從網路上取得的圖像與資料,以及使用生物識別技術進行臉部辨識。客戶能夠向Clearview AI公司提供圖像,以進行生物特徵進行搜尋,識別相關的臉部圖像結果,並與超過100億張圖像的資料庫進行對比。
就像許多政府機關喜歡透過社群平台與民眾交流,資料保護主管機關當然也不例外。挪威資料保護主管機關(Datatilsynet)於2021年9月22日宣布其將不會使用Facebook建立粉絲專頁,由於經過資料保護影響評估(Data protection impact assessments)後,其認為透過Facebook粉絲專頁處理個人資料對使用者權利與自由的風險過高,且Datatilsynet也無法落實歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第26條關於共同控制者等規定,甚至無法透過實施適當措施來降低相應風險。Datatilsynet表示其應為第一個依據GDPR規定對Facebook粉絲頁面進行全面性的組織,其並非基於監督者的角色,而是從控制者的角色去進行相關評估。同時Datatilsynet也發布「Risk assessment: Should the Norwegian Data Protection Authority create a Page on Facebook?」報告,期望引起相關使用社群媒體的討論。
風險評估與共同控制者
Datatilsynet認為,經過風險評估後,透過Facebook粉絲專頁處理個人資料對使用者權利與自由的具有高度的風險。同時依據歐洲法院(European Court of Justice, ECJ)的Wirtschaftsakademie和Fashion ID 的兩項裁決,社群媒體與其他方之間的互動可能構成GDPR第26條共同控制,而須符合相關規定,但Datatilsynet認為其無法透過與Facebook成立單獨的協議來遵循相關規定。
必要性與適當性
Datatilsynet接著評估資料處理的必要性和適當性(Necessity and proportionality),以確保以資料控制者的身分做出的決策是合法的,並且以與目的相符的方式進行處理。其評估GDPR資料保護原則、資料主體的權利與資料主體的自由是否受到保護。評估結果認為儘管Datatilsynet作為粉絲專頁所有者,同時具有保護資料主體的法律依據,並遵循相關資料保護原則,但Datatilsynet使用粉絲專頁將會受到Facebook 及其條款的支配。同時,Datatilsynet還認為Facebook沒有充分落實GDPR第25條關於資料保護設計與預設(data protection by design and by default)的規定,以提供適當的資料保護。
2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。
最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。
未來隱私論壇(The Future of Privacy Forum)於今年7月28日發布「資料保護未來趨勢觀察:2021-2022歐洲資料保護主管機關監管策略(Insights into the future of data protection enforcement: Regulatory strategies of European Data Protection Authorities for 2021-2022)」報告,該份報告整理與分析法國、葡萄牙、比利時、挪威、瑞典、愛爾蘭、保加利亞、丹麥、芬蘭、拉脫維亞、立陶宛、盧森堡與德國等15個國家以及歐洲資料保護委員會(European Data Protection Board, EDPB)與歐洲資料保護監督機關(European Data Protection Supervisor, EDPS)的監管策略,其中便有超過半數的主管機關表達對兒童隱私保護的關切,將保護兒童個人資料列為優先監管事項,並發布相關指引與執法計畫。
根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。
雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。
法國個人資料保護主管機關「國家資訊自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)」在2020年12月16日發布語音助理(voice assistants)白皮書「On the record」,指出由於語音助理在智慧手機、汽車甚至是冰箱等產品已經成為一種必需品,為了探求語音助理所涉及的倫理、技術與法律議題,CNIL透過與眾多研究人員與專家的合作,發表了該份白皮書。
該份白皮書旨在為設計師(designers)、應用程式開發人員(application developers)、整合人員(integrators)與期望推出語音助理的組織提供領先的隱私保護實踐指引,強調聲音是屬於個人的生物特徵(biometric characteristic of individuals),因此語音助理的設計必須符合透明性與安全性,以符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與保護個人隱私。白皮書還提供使用者如何實施良好安全措施的建議,例如確保資料傳輸的機密性,或保護可能與這些設備互動的兒童。
喵喵科技法律隨筆 