愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

隨著越來越多人進行疫苗接種,愛爾蘭資料保護委員會(Data Protection Commission,DPC)指出,雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說,愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下,進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下,雇主應該如何瞭解員工疫苗接種情形?愛爾蘭DPC表示可以由以下面向來討論:

就業環境

根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議,無論疫苗接種情形,相關公共衛生感染預防與控制措施(例如保持社交距離、手部衛生、口罩與適當的通風)、以及在家工作等相關措施仍應維持。因此,基於資料最小化的原則,雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則(GDPR)下的敏感性個人資料,受到法律特殊的保障。而依照現行的安全工作協議,COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係,個人並無法控制其何時能夠接種疫苗,甚至因為疫苗的年齡限制,年輕人在短期內也無法接種疫苗,代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素,所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中,個人資料的處理發生在員工(資料主體)與雇主之間,兩者的關係存在不平衡的情況,因此也不應以員工同意的方式處理疫苗接種資料,這種情況下,難以符合自由給予的同意要件。

醫務官員(Medical Officer of Health)

依相關法律規定,醫務官員在履行公共衛生職責的過程中,可能會需要瞭解員工的疫苗接種情形,在這樣的情形下,則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料,來知道員工是否處於自我隔離期間,但在這種情形,可以要求員工說明其可以重返工作的時間,來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封,日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同,疫苗接種資料因為其敏感性,在我國同樣屬於特種個人資料,企業倘須蒐集、處理或利用這些疫苗接種資料,則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前,企業可以盡量避免蒐集此類特種個資,降低個資保存的風險,優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元

2021年5月2日,挪威資料保護主管機關Datatilsynet公布由於Disqus對於網站使用者的追蹤未能遵循歐盟一般資料保護規則(General Data Protection Regulation, GDPR),不符合合法性、透明性與問責原則的要求,因此預計對Disqus處以250萬歐元罰款。

Disqus是Zeta Global下的美國公司,該公司提供線上公眾留言分享平臺,Disqus 使用 Disqus小工具對挪威網站的使用者進行追蹤,其相關資料也揭露給第三方的廣告合作夥伴。

Disqus對於挪威資料主體的個人資料進行處理

Disqus認為其透過cookies所蒐集的資料並非GDPR所謂的個人資料,因為其無法從cookies IDs識別個人。

然而主管機關認為,儘管cookie ID無法像姓名或地址一樣能夠單獨識別(identify)自然人,然而每個cookie ID均為獨特且置放於自然人的瀏覽器,使得控制者(controller)能夠區別(distinguish)每個人,並監控該自然人與網路的互動,cookie ID構成GDPR第4(1)條規定所規定的可得識別(identifiable)個人資料。因此,Disqus將cookies置入於網站使用者的終端設備,賦予每一個使用者單一的cookies ID,並藉此追蹤使用者,蒐集IP位址、網站存取時間,進而分析相關資訊,根據網路活動、興趣或其他特徵將使用者分門別類,構成GDPR下個人資料的處理。

Disqus屬於控制者

主管機關認為Disqus基於其自身商業利益對網站使用者進行追蹤、分析與剖析,即其資料蒐集是為了線上行為定向廣告(online behavioural advertising),將資料揭露予Zeta Global與其他第三方,同時Disqus決定了個人資料處理的目的與方式,構成GDPR第4(7)條所謂的控制者。

本案有GDPR的適用

雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。

主管機關認為,Disqus提供Disqus小工具,讓挪威的網站使用者能夠透過小工具對於網站內容發表留言與評論,該小工具讓挪威的資料主體能夠存取使用,顯示挪威的頂級域名(top-level domain),並以挪威語言提供,因此可以認定Disqus向挪威的資料主體(data subjects)提供服務,而有GDPR第3(2)(a)條的適用。另外,Disqus置入cookie並透過cookies蒐集網站使用者的資料,同樣也構成GDPR第3(2)(b)條所謂監控位於挪威境內的資料主體。

因此,儘管Disqus並非於歐洲經濟區內設立的公司,但因為其行為構成向挪威資料主體提供服務與監控位於挪威境內的資料主體,因此仍有GDPR的適用。

Datatilsynet具有本案管轄權

Disqus表示不論是Disqus或Zeta Global都沒有於挪威進行商業活動,認為挪威資料保護主管機關Datatilsynet並沒有法律管轄權(legal jurisdiction)進行調查或採取相關措施。

主管機關認為,Disqus於歐洲經濟區並未有分支機構(establishment),因此本案沒有GDPR第56(1)條合作機制(cooperation mechanism)的適用。同時依據歐洲資料保護委員會(European Data Protection Board, EDPB)所認可的第29條工作小組(The Article 29 Working Party, WP29)指引,控制者於歐盟沒有任何分支機構時,其必須透過當地代表與各成員國的主管機關交涉,沒有GDPR第56條一站式機制(one-stop-shop system)的適用。因此,Datatilsynet作為挪威資料保護主管機關自然能夠依據GDPR第55(1)條所賦予的權限處理本案。

Disqus違反問責原則

根據GDPR的問責原則(accountability principle),控制者必須予以負責並顯示其確實遵循GDPR的規定。主管機關認為,Disqus作為控制者,其應於公司開始處理挪威資料主體的個人資料之「前」,確保遵循GDPR與確立個人資料處理的法律基礎。由於Disqus並未意識到其GDPR適用於挪威使用者,可見Disqus並未評估個人資料處理活動的合法性,因而違反GDPR的問責原則。

Disqus 未落實對資料主體的告知

根據GDPR第12(1)條規定,Disqus應在開始追蹤資料主體時向資料主體提供資訊,換言之,當資料主體打開網站時,Disqus便應於網站和小工具上提供隱私權政策,Disqus將隱私權政策至於網站的最底部的行為並不符合GDPR第12(1)條提供資訊義務、第13條告知義務與5(1)(a)透明性原則的規定。

Disqus 不具個人資料處理的合法基礎

主管機關認為,Disqus未能確立其個人資料處理的法律基礎,也未能取得資料主體的合法同意,而在GDPR第6(1)(f)條的正當利益(legitimate interes)衡平測試(balance test)檢驗下,儘管Disqus基於行銷與商業營利的目的販售廣告構成該條所謂的正當利益,但Disqus在整體個人資料處理與揭露第三方的商業模式,過於廣泛、不透明且以侵犯的方式追求Disqus自身的線上行為定向廣告利益,甚至未能依法告知資料主體,使資料主體無法控制或終止追蹤,因此不符合必要性。

最後在衡平測試的檢驗,Disqus將未取得同意所蒐集來的資料分享予第三方,這些第三方隨後又可能將該資料揭露予其他第三方,Disqus的商業利益並未優於資料主體的負面影響(包含剖析、資料保護與言論自由等基本人權),因此並無GDPR第6(1)(f)條的正當利益條款的適用。

本案裁罰決定

依照GDPR第83(1)條規定,裁罰應為有效(effective)、適當(proportionate)且具懲罰性(dissuasive)。主管機關基於前揭的論述,認為Disqus違反GDPR第5(2)、6(1)與第13條等規定,考量GDPR第83(2)條所列的各款因素後,依據GDPR第83(5)條,裁罰Disqus共2500萬元挪威克朗(約為250萬歐元),其裁罰金額大約等於Disqus公司2018年營業額的15%,然而這並非最終決定,Disqus公司仍可於2021年5月31日前表示意見,Datatilsynet後續將會考量該公司的回覆作出最終決定。

由於本案 Disqus 公司於歐洲經濟區並未有分支機構,因此後續裁罰將會如何執行值得關注。另外本案也提及GDPR一站式的機制不適用於在歐盟境內沒有分支機構的企業,因此當企業在歐洲經濟區內沒有設立分支機構,而有違反GDPR相關規定,且涉及各國資料主體時,似乎各國的主管機關對此情形均可能有管轄權,倘各國主管機關對此違反情形均為裁罰,對企業將會是一大衝擊。對於我國企業而言,仍然必須檢視業務流程是否會涉及其他國家法令,避免誤觸紅線。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

個資外洩求償判決與舉證責任轉換之運用

根據媒體報導,去(2020)年民眾通報高風險賣場前5名,分別是Momo購物網、小三美日、讀冊生活、486團購網與Hito本舖,其通報數量均超過200件,其中以Momo購物網383件居冠。

以法學搜尋系統Lawsnote搜尋網路購物相關個資外洩求償判決,2018年至2020年的民事判決件數僅有18件,其中原告勝訴的判決為11件,勝訴率約為60%。然而仔細檢視原告敗訴的案件,其中不乏因為原告(即消費者)無法證明詐騙集團所使用的資料來自被告公司的個資外洩行為,而因此敗訴。

臺灣高雄地方法院109年度雄小字第3154號判決為例,法院即表示「當事人主張有利於己之事實,他造對之有爭執者,有提出證據以證明其事實為真實之責任,主張積極事實者應負舉證之責任,乃為舉證責任分配之原則。依上開規定,本件原告主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個資係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任。」

然而,個資存放與安全措施的相關資料與證據均為企業所持有,一般民眾要證明遭詐騙時的個資是來自被告公司何其困難,因此即有法院判決透過舉證責任轉換的運用,降低民眾求償的舉證門檻。

「按當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條規定甚明。上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。」(臺灣臺北地方法院106年度北小字第2161號民事判決參照)

另外也有判決從常態事實與變態事實兩者的舉證責任出發,認為駭客入侵公司電腦竊取大量客戶資料屬於常態事實,侵入個人電腦竊取個人消費資料屬於變態事實,而應由被告公司先舉證證明其已善盡客戶消費資料的保存責任且未遭不法蒐集。

「按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料(含所留之聯繫資料,例如:手機號碼、住家地址等)更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」臺灣士林地方法院107年度湖簡字第110號民事判決參照。

本文將相關法院判決與舉證責任轉換運用與否,粗淺地整理如下表。由下方表格可以觀之,18件判決中,法院有適當運用舉證責任轉換的判決均是對原告有利的結果(如表格灰色標記處)。而法院未運用舉證責任轉換共有12件,其中原告敗訴的判決有7件(約佔58%),儘管案件的勝負尚有其他影響因素,但仍然可以看出,法院倘運用舉證責任轉換,對於原告(民眾)是較為有利的。

民事訴訟法第277條也提到「當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限。」,因此法院在相關案件適用前述條文時,仍應適當考量原告與被告雙方能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等情形,來決定雙方舉證責任或是否減輕證明度。倘若法院一律機械式套用當事人主張有利於己的事實,均對該事實有舉證之責任,則難免無法達到個案正義,同時不免有法律強人所難之嘆。同時,法院判決兼具「傳達訊息」之功能,儘管個資外洩相關判決,因為其所涉及金額較低,往往無法上訴到最高法院,然而隨著隱私權與資料保護的重視,也期待法院為相關判決時,可以多加著墨,引領相關議題的討論。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

關於語音助理的幾件事,CNIL的語音助理白皮書告訴你

不論是Apple HomePod還是Google Nest Audio,語音助理在智慧家庭中的角色越來越重要,不管是想要知道天氣、行事曆或是播放音樂,只要動口不動手,優秀的語音助理都能替你完成。然而,語音助理也會知道你的一切相關資訊。

法國個人資料保護主管機關「國家資訊自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)」在2020年12月16日發布語音助理(voice assistants)白皮書「On the record」,指出由於語音助理在智慧手機、汽車甚至是冰箱等產品已經成為一種必需品,為了探求語音助理所涉及的倫理、技術與法律議題,CNIL透過與眾多研究人員與專家的合作,發表了該份白皮書。

該份白皮書旨在為設計師(designers)、應用程式開發人員(application developers)、整合人員(integrators)與期望推出語音助理的組織提供領先的隱私保護實踐指引,強調聲音是屬於個人的生物特徵(biometric characteristic of individuals),因此語音助理的設計必須符合透明性與安全性,以符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與保護個人隱私。白皮書還提供使用者如何實施良好安全措施的建議,例如確保資料傳輸的機密性,或保護可能與這些設備互動的兒童。

對於語音助理的使用者,CNIL強調除了喚醒的條件與資訊、可用的服務、安全措施等條件的選擇之外,最重要的是認識到這些設備所伴隨的挑戰,使用者應該注意下列五點事項:

一、確保交流的機密性

※選擇使用的設備

1.與進行遠距資料處理(remote processing)的設備相比,優先使用進行本機資料處理(local data processing)的設備。

2.選擇配備物理式麥克風靜音的設備。

3.選擇透過手動按壓啟動而非透過喚醒詞來啟動的設備,這將會讓使用者對於啟動時間有更多控制。否則,請優先考慮啟動與結束時會發出訊號的設備,並於設定語音助理時啟動該功能。

※關於設備的使用

1.如果你不想讓別人聽到你的對話,在設備允許的情形下,關閉基於改善產品對你的互動進行分析的功能。

2.如果你不想分享技術資料,關閉基於改善產品對你的互動進行分析的功能。

3.如果你不想被語音助理聽到,可以將其關閉或靜音。

4.通知第三方(訪客、家事清潔人員)關於對話錄音的潛在風險,或關閉/靜音設備的麥克風。

5.相對的,如果你待在一個有語音助理的地點,如果你不想被錄音,可以要求擁有者關閉設備/拔掉插頭。

6.當嵌入專用設備時,請將語音助理放在顯眼且對所有人可見的位置。

7.定期檢查使用者帳戶中記錄資料的歷史紀錄,並刪除機敏資料。

二、個人資料將被用來營利

1.留意你在裝置前所說的內容可能會被用來建立關於你的廣告資料。

2.選擇不需要建立帳戶即可使用的設備。

3.如果功能允許,選擇使用「私密瀏覽」模式。

4.考量共享個人資料與敏感性的隱私風險後,再連結到真正有用的助理服務。

5.定期檢查哪些服務與助理連結,並禁用很少或沒有使用的服務。

6.如有任何疑問可以與服務專線聯繫,必要時也可以與主管機關聯繫(即CNIL)。

三、留意沒有螢幕的設備

1.除了透過語音介面進行裝置管理與資料刪除,選擇也能透過螢幕或使用者帳戶進行的設備。

2.定期檢視助理的儀表板以及根據需要自定義其功能,例如選擇使用的預設搜尋引擎或資料來源。

3.可以使用語音助理功能來設定關於本章節內容的小訣竅提醒。

四、監督兒童使用

1.以明確得指導方式說明語音助理的工作方式並示範簡單的設置(例如關閉按鈕)。

2.避免將設備放置在兒童專用區域(臥室、遊戲室等)。

3.監督兒童與設備的互動,當兒童使用設備時,留在房間裡陪伴他使用,當兒童不使用設備時,將其關閉。

4.確保預設情形下,將裝備設置為過濾兒童資料。

5.如果裝備記錄了歷史紀錄,則以尊重兒童隱私的方式查閱相關統計情形與過去的互動情況。

6.定期刪除歷史記錄。

五、預防駭客入侵的風險

1.避免使用無法識別或無法輕鬆識別其來源、設計者、控制者等的設備。

2.謹慎選擇可以由語音助理控制的服務,並避免那些有風險的服務(開門、上鎖或開車)。

3.謹慎安裝與存取合法的應用程式,駭客可以建立惡意軟體來蒐集使用者資料(帳戶、信用卡號碼、密碼、地址或聯繫方式等)。

4.如果設備允許,則透過雙因素身份驗證(例如透過電子郵件或簡訊發送驗證碼)來設置設備或某些敏感應用程式的安全性。

5.仔細選擇與你帳戶相關服務(電子郵件、日曆、銀行帳戶、電話等)的啟動。

6.保護語音助理連接到的網路(尤其是Wi-Fi)。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

中國大陸國家互聯網信息辦公室公布App蒐集個人資料的必要範圍

中國大陸國家互聯網信息辦公室於2020年12月1日公布「常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿)」文件,指出現行App往往有超出範圍、強制蒐集使用者個人信息(即個人資料)的情形,而使用者拒絕同意則無法安裝使用App。因此該文件羅列了地圖導航、網路約車、即時通信等38種常見類別App的基本功能與必要個人信息。

必要個人信息是指保障App基本功能正常運行所必須的個人信息,缺少該信息App即無法提供基本功能服務,只要使用者同意蒐集必要個人信息,App不得拒絕使用者安裝使用。

從該份文件可以知道,要滿足一般App基本功能的必要個人信息範圍並沒有想像得來的多,業者在超出必要範圍的部分,不僅不能拒絕使用者安裝使用App,在其他個人信息的取得與利用更應該要尊重使用者的自主意志。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.中國大陸個人信息保護法草案全文發布
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

常見類型移動互聯網應用程序(App)必要個人信息範圍(徵求意見稿):

1.地圖導航類:

基本功能服務:定位和導航。

必要個人信息:位置信息。

2.網絡約車類:

基本功能服務:預約汽車出行。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)乘車人出發地、到達地、位置信息、行踪軌跡。

3.即時通信類:

基本功能服務:提供文字、圖片、語音、視頻等即時通信服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)賬號信息:賬號、聯繫人賬號列表。

4.網絡社區類:

基本功能服務:博客、論壇、社區等話題討論、信息分享和關注互動。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

5.網絡支付類:

基本功能服務:收款人或付款人依托公共網絡遠程發起支付指令,由支付機構提供貨幣資金轉移服務(如支付、提現、轉賬等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)付款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

6.網上購物類:

基本功能服務:購買商品。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

7.餐飲外賣類:

基本功能服務:購買餐飲。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)收貨人姓名、地址、聯繫電話。

(3)支付信息。

8.快遞物流類:

基本功能服務:包裹、印刷品等物品的快遞寄收件。

必要個人信息:

(1)寄件人真實姓名、地址、聯繫電話。

(2)收件人姓名、地址、聯繫電話。

9.交通票務類:

基本功能服務:交通相關的票務服務及行程管理(如票務購買、改簽、退票、行程管理等)。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)旅客姓名、證件類型和號碼、旅客類型。旅客類型通常包括兒童、成人、學生等。

(3)旅客出發地、目的地、出發時間、車次/船次/航班號、席別/艙位等級、座位號(如有)。

(4)支付信息。

10.婚戀相親類:

基本功能服務:婚戀相親。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)婚戀相親人的性別、年齡、婚姻狀況。

11.求職招聘類:

基本功能服務:職位信息查詢和求職簡歷投遞。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)求職者提供的簡歷。

12.網絡借貸類:

基本功能服務:通過互聯網平台實現的個人消費貸款。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)借款人姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼。

13.房屋租售類:

基本功能服務:個人房源信息發布、房屋出租或買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)房源基本信息:房屋地址、面積/戶型、期望售價或租金。

14.二手車交易類:

基本功能服務:二手車買賣。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)購買方姓名、證件類型和號碼。

(3)出售方姓名、證件類型和號碼、車輛行駛證號、車輛識別號碼。

15.問診掛號類:

基本功能服務:在線問診、掛號。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)患者姓名、證件類型和號碼。

(3)患者預約掛號的醫院、科室。

16.旅遊服務類:

基本功能服務:旅遊產品訂購。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)出行人旅遊目的地、旅遊時間。

(3)出行人姓名、證件類型和號碼。

17.酒店服務類:

基本功能服務:酒店預訂。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)住宿人姓名、聯繫方式,入住、退房時間,入住酒店名稱。

18.網絡遊戲類:

基本功能服務:通過網絡提供遊戲產品和服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

19.學習教育類:

基本功能服務:在線輔導、網絡課堂等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

20.本地生活類:

基本功能服務:家政維修、家居裝修、二手閒置物品交易等日常生活服務。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

21.女性健康類:

基本功能服務:女性經期管理、備孕育兒、美容美體等健康管理服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用於健康管理的歷史信息。

22.用車服務類:

基本功能服務:共享單車、共享汽車、租賃汽車等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)使用共享汽車、租賃汽車服務用戶的證件類型和號碼,駕駛證影印件。

23.投資理財類:

基本功能服務:股票、期貨、基金、債券等相關投資理財服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件。

(3)投資理財用戶資金賬戶、銀行卡號碼。

24.手機銀行類:

基本功能服務:通過手機等移動智能終端設備進行銀行賬戶管理、信息查詢、轉賬匯款等服務。

必要個人信息:

(1)註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

(2)用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼。

(3)收款人姓名、銀行卡號碼。

25.郵箱雲盤類:

基本功能服務:郵箱、雲盤等。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

26.遠程會議類:

基本功能服務:通過網絡提供音頻或視頻會議。

必要個人信息:註冊用戶移動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一)。

27.網絡直播類:

基本功能服務:向公眾持續提供實時視頻、音頻、圖文等形式信息服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

28.在線影音類:

基本功能服務:影視、音樂播放和下載。

必要個人信息:無須個人信息,即可使用基本功能服務。

29.短視頻類:

基本功能服務:不超過一定時長的視頻搜索、播放。

必要個人信息:無須個人信息,即可使用基本功能服務。

30.新聞資訊類:

基本功能服務:新聞資訊的瀏覽、搜索。

必要個人信息:無須個人信息,即可使用基本功能服務。

31.運動健身類:

基本功能服務:運動記錄、健身管理等服務。

必要個人信息:無須個人信息,即可使用基本功能服務。

32.瀏覽器類:

基本功能服務:瀏覽互聯網信息資源。

必要個人信息:無須個人信息,即可使用基本功能服務。

33.輸入法類:

基本功能服務:文字、符號等輸入。

必要個人信息:無須個人信息,即可使用基本功能服務。

34.安全管理類:

基本功能服務:查殺病毒、清理惡意插件、修復漏洞、清理優化、騷擾攔截、權限管理等。

必要個人信息:無須個人信息,即可使用基本功能服務。

35.電子圖書類:

基本功能服務:電子圖書閱讀。

必要個人信息:無須個人信息,即可使用基本功能服務。

36.拍攝美化類:

基本功能服務:拍攝、美顏、濾鏡等。

必要個人信息:無須個人信息,即可使用基本功能服務。

37.應用商店類:

基本功能服務:App下載和管理。

必要個人信息:無須個人信息,即可使用基本功能服務。

38.實用工具類:

基本功能服務:日曆、天氣、詞典翻譯、計算器、遙控器、手電筒、指南針、時鐘鬧鐘、文件傳輸、文件管理、壁紙鈴聲、截圖錄屏、錄音、協同辦公等。

必要個人信息:無須個人信息,即可使用基本功能服務。

人工智慧與個人資料保護

隨著人工智慧(Artificial Intelligence, AI)技術的進步,AI在零售業、銀行與醫療等各領域都有了驚人的應用,推動了AI技術與資料利用等方面的創新,然而使用AI的組織仍然須持續面對挑戰,例如AI是解決問題的正確方式嗎?AI會產生什麼樣的道德問題?我們如何確定AI的使用是合法的?

儘管AI提供了一個能夠顯著改善社會的機會,然而AI的使用往往也會帶來風險(從AI系統帶來的安全風險到歧視與偏見的風險),而對於組織來說,如何評估AI的使用對資料保護的法令遵循性將會是一大挑戰。

英國個資保護主管機關ICO(Information Commissioner’s Office)於今(2020)年7月30日發布人工智慧與資料保護指引(Guidance on AI and data protection)」,提供設計、架構與實施AI系統的法令遵循路線圖,其內容約略分為以下幾個面向。

AI的問責與治理

在運用得當的情形下,AI將使組織更具效率與創新。但是,AI也對個人的權利與自由以及組織的法令遵循挑戰帶來巨大的風險。

與其他處理個人資料的技術相同,相同的資料保護概念也適用於AI的使用。資料保護法中,透過風險導向的方法要求組織在特定情形下遵守義務並採取適當措施,因此在法令遵循面必須包含評估個人權利和自由的風險,並進而識別、管理和減輕這些風險。

AI系統的合法性、公平性與透明性

首先,AI系統的開發與部署往往涉及針對不同目的以不同方式處理個人資料,組織必須分解每個不同處理操作,並為每個操作確定目的和適當的合法依據,以便遵守合法性原則。

其次,當組織使用AI系統來推斷個人的資料,則為了使處理過程更加公平,組織應確保1.該系統在統計上足夠準確,並且避免歧視,以及2.考慮個人合理期望的影響。

例如用於預測貸款還款率的AI系統在以下情況可能會被認為違反公平原則:
1.作出經常被證明是錯誤的預測。
2.導致群體間(例如男人與女人間)結果的差異,且無法證明是為實現合法目標的適當手段。
3.以個人無法合理預期的方式利用個人資料。

最後,組織需要透明得瞭解如何在AI系統中處理個人資料,以遵守透明性原則。(可以參考揭開黑箱,說清楚講明白—可解釋性AI人工智慧

AI系統的安全性

使用AI處理個人資料對於風險有著重要的影響,因此組織需要仔細評估與管理這些風險。然而,實際上並不存在一種「萬能的」安全方法,組織應針對不同個人資料處理所產生的風險等級與類別,分別採取適當的安全措施。

指引內也提到兩大適用AI模型的隱私攻擊種類,「模型反轉(model inversion)」與「成員推斷(membership inference)」,組織應該檢視自身的風險管理實踐情形,以確保個人資料在AI的使用環境中是安全的。

AI系統的資料最小化

資料最小化原則要求組織確定實現目標所需最小數量的個人資料,並且僅處理該個人資料(GDPR第5條第1項第c款參照)。AI系統通常需要大量資料,乍看之下彷彿難以符合資料最小化原則,然而資料最小化原則並不意謂著「不處理任何個人資料」或「處理大量資料就會違法」,關鍵的地方在於,組織是否僅處理其所需要的個人資料。

AI系統與個人權利

依據資料保護法,當事人對於其個人資料有許多相關權利,無論在AI系統的開發或是部署的生命週期各階段中,均有當事人權利的適用,組織應予以重視,例如以下情形:

  1. 訓練資料(training data)。
  2. 用於預測的資料及預測本身的結果。
  3. AI的模型內。

例如零售業者打算以過去的交易資料來預測消費者行為,需要大量的客戶交易資料集來訓練模型。而在將客戶交易資料轉換用於訓練統計模型的訓練資料時,儘管訓練資料已經較難連結到特定的個人,然而如果其仍然能單獨或與組織可能要處理的其他資料(即使不能與客戶的名字相連結)共同「挑選(single out)」相關的個人,此部分仍有資料保護法的適用,而組織應於當事人行使其權利行使時,將此部分納入考量。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

中國大陸個人信息保護法草案全文發布

中國大陸第13屆全國人大常委會日前於第22次會議針對《個人信息保護法(草案)》進行審議,並公布草案全文,徵求各界意見至2020年11月19日止。

鑑於我國不乏有企業與中國大陸進行商務往來,此次中國大陸個人信息保護法草案,倘通過立法,其對於我國企業於中國大陸的經營,將可能帶來不小的衝擊。該草案全文共70條,內容不僅賦予自然人就其個人資料之權利,更課與個人信息處理者相應義務,且違反者最高可處5000萬元以下或上一年度營業額5%的罰款,同時可能遭命暫停相關業務、停業整頓或吊銷營業執照等處罰,其所規範的法律效果值得有關企業重視。

同時由該草案全文也可略窺歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的影子,雖然並未全部移植GDPR規範內容,然而不論是對於自然人的權利、企業的義務、罰款金額,甚至是域外效力的規範,均可看出該個人信息保護法草案試圖仿效GDPR就個人資料的處理與保護進行規範。以下簡要介紹該草案的內容

一、地域適用範圍

依該草案第3條,於下列情形,均有個人信息保護法的適用

(一)在中國大陸境內處理(包含個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動)自然人個人信息的活動。

(二)在中國大陸境外處理自然人個人信息的活動,且符合下列情形:
1.以向境內自然人提供產品或服務為目的。
2.為分析評估中國大陸境內自然人的行為。
3.法律、行政法規規定的其他情形。

二、個人信息的定義

依該草案第4條規定,所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息(不包括匿名化處理後的信息)。同時於草案第29條第2項將種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤與其他一旦洩漏或者非法使用可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息列為敏感個人信息,而需另外遵守特別規定(第29條至第32條)。

三、個人自主權保障

(一)自主同意與個人信息處理

倘個人信息的處理是基於個人的同意,應當在個人充分知情的前提下、自願、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定(第14條第1項),同時,個人有權撤回其同意(第16條)。

當個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應重新取得個人同意(第14條第2項)。另外,個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息時,應取得未成年人監護人的同意。

最後,除個人信息的處理是提供產品或服務所必須外,個人信息處理者不得以個人不同意處理個人信息或者撤回同意為由,拒絕提供產品或服務(第17條)。

(二)自動化決策相關權利

個人信息處理者利用個人信息進行自動化決策時,應保證決策的透明度和處理結果的公平合理。當個人認為自動化決策對其權益造成重大影響時,有權要求個人信息處理者說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

同時通過自動化決策進行商業營銷、信息推送時,個人信息處理者應同時提供不針對其個人特徵的選項。

(三)個人關於個人信息的權利

1.知情權(第44條)
2.決定權(第44條)
3.限制或拒絕個人信息的處理(第44條)
4.請求查閱、複製個人信息(第45條)
5.請求補充更正(第46條)
6.刪除權(第47條)

四、企業個人信息保護的義務

(一)個人信息保護原則的遵循

1.誠實信用原則(第5條)
2.目的特定原則、資料最小化原則(第6條)
3.公開透明原則(第7條)

(二)維持個人信息正確性(第8條)

(三)採取安全措施(第9條)
1.必要安全措施(第50條)
2.指定個人信息保護負責人,在中國大陸境外的個人信息處理者應於中國大陸境內設立專門機構或指定代表(第51條)。
3.定期審計(第53條)
4.風險評估(第54條)
5.個人信息洩漏通知義務(第55條)

(四)告知義務(第18條)

個人信息處理者在處理個人信息前,原則應以顯著方式、清晰易懂的語言向個人告知:
1.個人信息處理者的身份和聯繫方式;
2.個人信息處理目的、處理方式、處理的個人信息種類、保存期限;
3.個人行使本法規定權利的方式與程序;
4.法律、行政法規規定應告知的其他事項。

前述應告知事項變更時,應將變更部分向個人告知。

(五)保存期限(第20條)

個人信息的保存期限,除法律或行政法規另有規定外,應為實現處理目的所必要的最短時間。

(六)共同個人信息處理者(第21條)

該草案第21條類似GDPR共同控制者(joint controllers)的規定,規定兩個或兩個以上的個人信息共同決定個人信息處理目的和處理方式時,應約定各自的權利義務,該約定不影響個人向任何一個個人信息處理者行使本法規定的權利。

同時,個人信息處理者共同處理個人信息,侵害個人信息權益時,應依法承擔連帶責任。

(七)委託監督義務(第22條)

(八)個人信息轉移、提供之告知義務(第23條、第24條第1項、第39條)

個人信息處理者因合併、分立等原因須要轉移個人信息時,應向個人告知接收方的身份、聯繫方式。接收方應繼續履行個人信息處理者義務。接收方變更原先處理目的、處理方式時,應依照本法重新向個人告知,並取得同意。

另外個人信息處理者向第三方提供其處理的個人信息時,也應向個人告知第三方的身份、聯繫方式、處理目的、處理方式與個人信息的種類,且應取得個人的單獨同意。

(九)禁止第三方再識別(第24條第2項)

個人信息處理者向第三方提供匿名化信息時,第三方不得利用技術等手段重新識別個人身份。

五、跨境提供個人信息(第38條)

個人信息處理者因業務等需要,確需向中國大陸境外提供個人信息時,應符合以下其中之一的條件:
1.通過國家網信部門組織的安全評估;
2.按照國家網信部門的規定經專業機構進行個人信息保護認證;
3.與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護水準:
4.法律、行政法規或者國家網信部門規定的其他條件。

六、處罰規定(第62條)

違反本法處理個人信息,或未按照規定採取必要的安全保護措施,情節嚴重時,將由履行個人信息保護職責的部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下之罰款,並可責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時對直接負責的主管人員和其他直接責任人員最高處10萬元以上,100萬元以下的罰款。

綜觀中國大陸該份個人信息保護草案,儘管與我國個人資料保護法(下稱個資法)有許多相似之處(例如個人資料處理的合法事由、委託監督義務與部分當事人權利等),然而其個人信息保護法草案引入GDPR諸多概念,包含自動化決策、禁止再識別、個人信息保護負責人與個人信息跨境提供等規範,這些均為我國個資法所無。

另外該個人信息保護法草案有域外適用的規範,我國企業不僅與中國大陸通商頻繁,且均使用華語,倘該法通過,我國許多企業較其他國家業者容易被認定為有個人信息保護法之適用,我國企業宜密切注意該部草案立法動向,並事先部署個人資料保護管理制度,以利面對這波全球對於個人資料保護法立法或修法的浪潮。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

如何落實GDPR法遵?英國ICO發布問責制框架

英國個資保護主管機關ICO(Information Commissioner’s Office)近日發布組織問責制框架(Accountability Framework),旨在協助組織管理其隱私保護。問責制框架目前仍處於測試階段,未來將會隨著與利害關係人溝通後逐漸完善。該問責制框架從領導與監督、政策與程序以及培訓與意識等十個面向,提供組織與企業路線圖,藉此瞭解每個面向應該要做什麼以及如何改進,以落實歐盟一般資料保護規則(GDPR)法令遵循。

另外組織也能透過ICO所提供的問責制自我評估工具追蹤器來衡量與追蹤組織內部法令遵循的程度及情形。

一、領導與監督(Leadership and oversight)

組織架構(Organisational structure)

  • 董事會或最高管理階層負責整體資料保護(data protection)與資訊管理(information governance)。
  • 決策者以身作則,並倡導主動積極的資料保護法遵文化。
  • 具備良好的溝通與資訊交換管道,例如管理團隊與稽核團隊間或執行團隊與資訊管理指導團隊間。
  • 政策明確規定負責資料保護與資訊管理的組織架構。
  • 職責說明(Job descriptions)清楚表示相關責任與報告管道。
  • 職責說明是最新、合於目的且定期進行審查。
  • 資料保護與資訊管理人員瞭解組織架構與其職責。

是否任命DPO(Whether to appoint a DPO)

  • 資料保護長(Data Protection Officer, DPO)依據歐盟一般資料保護規則(General Data. Protection Regulation, GDPR)第39條承擔特定責任,包含資料保護法令遵循、資料保護政策、提升意識、教育訓練與稽核。
  • DPO對資料保護的法律與落實具有專業知識。
  • DPO擁有有效完成其工作權限、支援與資源。
  • 如果組織沒有任命DPO的需要,則應紀錄該決定。
  • 如果組織沒有任命DPO的需要,則要適當指派負責資料保護法遵的人,且要有足夠的人員與資源來負責資料保護法規定的義務。

適當的報告(Appropriate reporting)

  • 員工知道DPO及其職責,以及如何與DPO聯繫。
  • 所有資料保護問題都適時(timely)讓DPO參與。
  • DPO獨立執行任務,不應有任何利益衝突,並且不對組織內個人資料處理的方式與目的作出任何直接的執行決策。
  • DPO直接向高階決策者提供建議,並向最高管理階層表達其看法。
  • DPO定期向高階管理人員提供有關資料保護法令遵循的資訊。

運作角色(Operational roles)

  • 資料保護與資訊管理人員有明確的職責,確保組織符合資料保護法的要求。
  • 員工可以有效管理所有紀錄,並確保資訊安全。
  • 網路管理人員或資料保護負責人可以其部門實施與維護資料保護策略。
  • 資料保護與資訊管理人員擁有有效執行職責的權限、支援與資源。

監督小組(Oversight groups)

  • 關鍵長官(例如DPO)定期參與監督小組會議。
  • 由適當的高階員工擔任小組主席,例如DPO或資深資訊風險所有者(senior information risk owner , SIRO)。
  • 明確規範該小組的目標。
  • 該小組會議記錄紀錄所發生的情形。
  • 該小組討論涵蓋所有與資料保護相關的主題,包含關鍵績效指標(KPI)、問題與風險。
  • 該小組的工作或行動計畫受到定期監督。
  • 董事會或最高管理階層會考量監督小組所報告的資料保護與資訊管理問題與風險。

業務小組會議(Operational group meetings)

  • 小組定期開會並有相關人員參加。
  • 小組製作會議記錄與行動計畫。
  • 議程顯示小組討論適當的資料保護與資訊管理問題。
  • 出現的任何資料保護與資訊管理問題與風險均向監督小組報告。

二、政策與程序(Policies and procedures)

指導與支持(Direction and support)

  • 政策依據最高管理階層認可的資料保護與資訊管理的策略業務計畫所制定。
  • 政策包含資料保護、紀錄管理與資訊安全等面向。
  • 根據資料保護策略制定執行程序、指引與手冊,並提供予執行人員。
  • 政策與程序清楚得概述角色和職責

審查與核准(Review and approval)

  • 所有政策與程序均依循內部規範的格式與樣式。
  • 適當的高階管理人員負責審查並核准新的與現有的政策與程序。
  • 現有的政策與程序依據所記錄的審查日期進行審查,並且是最新且合於目的。
  • 當政策與程序需要修改時(例如因為業務變更、判決見解或法規變更),其政策與程序的修改沒有不當延遲。
  • 所有政策、程序和指引均顯示文件管理資訊(document control information),包含版本號、所有者、審閱日期與修改歷史紀錄。

員工意識(Staff awareness)

  • 員工閱讀並瞭解政策與程序,包含瞭解實施與遵守的重要性。
  • 使員工瞭解更新的政策與程序。
  • 將政策於程序以組織的網站、網路共享或其他方式,使員工能夠閱讀。
  • 透過指引、海報或出版物,有助於強調關鍵資訊並提高員工對於政策與程序的意識。

從設計與預設著手資料保護(Data protection by design and by default)

  • 組織整體的政策與程序,在有關的情形下同時考量資料保護。
  • 透過政策與程序確保涉及個人資料的系統、服務、產品與業務,其設計與實施考量資料保護議題,並於預設階段即落實個人資料保護。
  • 組織於政策與程序載明實施資料保護原則與維護當事人權利的方法,例如資料最小化、假名化(pseudonymisation)與目的限制等事項。
  • 政策與程序就弱勢群體(例如兒童)的個人資料提供額外的保護

三、培訓與意識(Training and awareness)

全員培訓計畫(All-staff training programme)

  • 教育訓練計畫結合國家與特定產業別的要求。
  • 計畫具有全面性,包含對所有員工的資料保護關鍵領域的教育訓練,例如處理當事人請求、資料共享、資訊安全、個人資料外洩與紀錄管理。
  • 考慮所有員工的教育訓練需求,並依此制定教育訓練計畫。
  • 在組織中分配負責資料保護與資訊管理教育訓練的職責,並且已制定教育訓練計畫或策略,以在定好的時限內完成教育訓練。
  • 組織擁有專門且經受訓的資源可以為所有員工提供教育訓練。
  • 定期檢視計畫確保維持最新且準確的狀態。
  • 由高階管理人員簽署計畫。

到職與進修培訓(Induction and refresher training)

  • 由適當的人員(例如DPO或資訊管理經理)負責監督或核准到職教育訓練。
  • 員工應接受到職與在職教育訓練,無論員工為組織工作的期限長短、契約性質或職等。
  • 員工在存取個人資料之前與之後1個月內,接受到職教育訓練。
  • 員工在適當時間間隔完成在職教育訓練。

專業角色(Specialised roles)

  • 針對資訊管理與資料保護人員的教育訓練需求進行分析,並通知教育訓練計畫,確保計畫符合該人員的職責。
  • 具有證據可以確認該關鍵人員完成最新且適當的專業訓練與發展,並接受適當得在職訓練。
  • 保存所提供教育訓練教材副本與接受教育訓練人員的詳細資訊。

監督(Monitoring)

  • 在教育訓練結束時進行評估,以測試員工的理解並確保其有效性,其中可能包含設定最低合格分數。
  • 保留教育訓練教材副本與接受訓練人員資訊的紀錄
  • 依據組織要求,監督各級員工的教育訓練完成狀況,並對未完成訓練的員工進行追蹤。
  • 員工能夠就所接受的教育訓練提供回饋。

提高意識(Awareness raising)

  • 有證據佐證組織定期使用各種適當方法來提高員工的意識與對資料保護及資訊管理的認識,例如電子郵件、團隊簡報、會議、海報、講義和部落格。
  • 當員工對於資料保護與資訊管理有任何疑問時,讓員工能輕易接觸相關資料,以及能夠與誰聯繫。

四、當事人權利(Individuals’ rights)

通知個人並確定請求(Informing individuals and identifying requests)

  • 向當事人提供有關其權利以及如何行使其權利的明確且相關的資訊。
  • 政策與程序規範處理當事人請求行使權利的流程。
  • 所有員工都接受有關如何識別請求以及將請求提交到何處的教育訓練與指導。

資源(Resources)

  • 由一個特定的人或團隊負責管理與回應請求。
  • 工作人員接受專門的訓練來應對請求,包含定期的教育訓練。
  • 有足夠的資源來處理請求。
  • 如果某員工缺席或請假,組織有訓練其他人員執行關鍵任務。
  • 組織可以處理任何請求增加或員工減少的問題。

紀錄與追蹤請求(Logging and tracking requests)

  • 組織具有適當的流程確保請求紀錄日誌準確無誤並適當更新。
  • 請求紀錄日誌顯示請求的到期日期、最後回應的實際日期與所採取的措施。
  • 日誌記錄請求處理過程中的關鍵階段,例如已搜尋哪些系統或部門。
  • 備有組織對請求的回應紀錄,以及任何當事人請求近用時,組織所揭露或拒絕提供的資訊。

適時回應(Timely responses)

  • 組織能夠在法定期限內處理所有當事人請求。
  • 負責處理請求的員工定期開會討論問題,對任何延遲的案件進行調查,並優先處理。
  • 如果需要延展期限,向當事人更新其請求的進度,並適時通知。
  • 如果當事人請求被拒絕,組織會記錄相關原因,並告知當事人拒絕或不適用的原因。

監督與評估績效(Monitoring and evaluating performance)

  • 負責處理請求的人員定期開會討論。
  • 組織定期編寫關於績效與案件質量評估的報告,確保請求得到適當處理(case quality assessments)
  • 向最高管理階層報告,讓其審查並採取行動。
  • 組織分析請求的性質或原因的趨勢,以提高績效或減少數量。

資料不正確或不完整(Inaccurate or incomplete information)

  • 組織採取適當合理的流程,檢查所保有個人資料的正確性,並在必要時能夠予以更正。
  • 組織如果認為資料符合正確性的要求,組織具有向當事人解釋的程序,組織必須通知當事人申訴的權利,並在系統中記錄當事人對於正確性提出異議的事實。
  • 如果當事人個人資料已揭露予其他人,除有不可能通知的情形或需花費顯不相當的努力,組織會聯繫每一個接收者,向其通知相關更正資訊。
  • 組織在被當事人詢問時,會告知有哪些第三方收到當事人的個人資料。

刪除(Erasure)

  • 組織在必要時於工作系統(live systems)與備份系統(back-up systems)中刪除個人資料,並能清楚告知當事人其個人資料後續的處置情況。
  • 如果當事人個人資料已揭露予其他人,除有不可能通知的情形或需花費顯不相當的努力,組織會聯繫每一個接收者,向其通知相關刪除資訊。
  • 組織在被當事人詢問時,會告知有哪些第三方收到當事人的個人資料。
  • 如果個人資料於線上環境公開時,組織採取合理流程告知其他控制者,如果他們正在處理個人資料,應刪除該資料的連結、副本或複製本。
  • 組織對於基於兒童同意的個人資料處理,尤其是在網路處理個人資料時,組織對於請求刪除特別重視。

限制(Restriction)

  • 組織以適合處理類型與系統的方式限制個人資料的處理,例如暫時將個人資料移到另一個系統或從網站上刪除。
  • 如果當事人個人資料已揭露予其他人,除有不可能通知的情形或需花費顯不相當的努力,組織會聯繫每一個接收者,向其通知限制相關的資訊。
  • 組織在被當事人詢問時,會告知有哪些第三方收到當事人的個人資料。

資料可攜(Data portability)

  • 依照法律要求,組織以結構化,通用且機器可讀的格式提供個人資料。
  • 當事人要求時,組織在能力所及的情形下可以直接將資料傳輸給另一個組織。

與自動決策和剖繪相關權利(Rights related to automated decision-making and profiling)

  • 於所有的自動化決策與剖繪時,針對弱勢群體進行額外的確認。
  • 組織僅蒐集最小限度的個人資料,並對剖繪所建立的資料有明確保存政策。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,組織具有記錄可以證明均符合依據GDPR第22條進行。如有適用,組織應進行資料保護衝擊評估(data protection impact assessment, DPIA)。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,允許個人以簡易的方式請求人為介入、表達意見與質疑決策。
  • 組織定期檢視準確性與偏差,確保系統依照預期運作,並回饋於系統設計工作中。

個人投訴(Individual complaints)

  • 組織具有處理個人資料提出資料保護投訴的程序,並將其解決方案向高階管理人員報告。
  • 公開DPO聯繫方式或其他聯絡方法,讓當事人能夠就資料處理向DPO提出投訴。
  • 組織在隱私訊息向當事人告知他們有權向主管機關(在英國即為ICO)投訴。

五、透明性(Transparency)

隱私權聲明內容(Privacy notice content)

  • 隱私權資訊包含所有相關的聯繫資訊,例如組織以及組織代表(如果有適用)的名稱與聯繫資訊,以及DPO的聯繫資訊。
  • 隱私資訊包含處理的目的、合法依據與處理合法利益(如果有適用)。
  • 隱私資訊包含組織取得個人資料的類別與來源。
  • 隱私資訊包含組織與其他組織共享的所有個人資料詳細資訊,以及向任何第三方國或國際組織傳輸的詳細資訊(如果有適用)。
  • 隱私資訊包含個人資料的保存期限,在無法明確載明保存期限的情形時,則應包含確定保存期間的標準。
  • 隱私資訊包含有關當事人權利的細節,包含撤回同意的權利(如有適用)與提出投訴的權利。
  • 隱私資訊包含當事人是否有法律規定或契約義務提供個人資料的詳細資訊(如有適用,且組織直接蒐集其個人資料)。
  • 當間接蒐集當事人個人資料時,向當事人提供有關資料來源的隱私資訊,例如該資料來自於社群媒體、公開的選民登記冊或政府機關。

適時的隱私資訊(Timely privacy information)

  • 當蒐集(例如填寫表格時)或觀察(例如使用CCTV或線上追蹤時)個人資料時時,當事人能收到隱私資訊。
  • 如果間接蒐集個人資料時,組織應於取得資料後一個月內向當事人提供隱私資訊。

有效的隱私資訊(Effective privacy information)

  • 組織主動讓當事人以免費且簡易的方式取得並瞭解隱私資訊。
  • 組織以電子或實體的形式向當事人提供隱私資訊,並且使用適當的組合技巧,例如分層顯示、圖示與行動與智慧設備功能。
  • 組織使用清楚易懂的語言撰寫隱私資訊,讓目標受眾能夠理解,並且在必要時以無障礙方式提供。
  • 組織特別注意並確保對於兒童提供清楚且易懂的隱私資訊,確保隱私資訊適合兒童年齡,並解釋處理過程中所涉及的風險與組織所採取的保護措施。

自動化決策與剖繪(Automated decision-making and profiling)

  • 組織使用剖繪時,提供當事人近用其用於剖繪的個資,使當事人能夠檢視其正確性並在必要時予以更正。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,組織會告訴當事人相關處理情況,包含組織正在使用什麼資訊、原因以及可能產生的影響。
  • 如果處理目的一開始尚不明確,組織應向當事人說明組織將如何處理他們的資料,並在目的變的更為明確時主動更新隱私資訊。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,組織應以有意義的方式解釋處理方式,使當事人能夠行使其權利,包含獲得人工干預、表達意見與對決策提出異議。

員工意識(Staff awareness)

  • 安排組織整體員工接受隱私資訊的教育訓練。
  • 第一線員工接受更專業或更具體的教育訓練。
  • 員工瞭解組織提供隱私資訊的方式。

隱私資訊檢視(Privacy information review)

  • 組織根據處理活動的紀錄檢視隱私資訊,以確保其保持最新,並準確得解釋個人資料的情況。
  • 組織保存隱私資訊歷史文件的日誌,包含組織作出任何更改的日期,以便審查組織在何時向當事人提供哪些隱私資訊。
  • 組織進行使用者測試,以評估隱私資訊的有效性。
  • 組織會分析民眾對組織的投訴(關於組織如何使用個人資料,特別是如何利用個人資料的說明)。
  • 如果組織計畫將個人資料利用於新目的,組織備有程序更新隱私資訊,並在開始任何處理之前,向個人通知這些變化。

支持透明性與控制的工具(Tools supporting transparency and control)

  • 清楚的隱私政策且民眾可以輕易接觸。
  • 組織為個人提供工具,例如安全的自助服務系統、儀表板與及時通知,使當事人能夠近用、確定與管理組織如何使用其個人資料。
  • 組織提供優良的隱私預設與使用者友好的選項與控制。
  • 在相關的情形下,組織的程序可以幫助兒童以他們理解、易於近用的方式行使他們資料保護權利。
  • 組織實施適當的保護措施保護使用數位服務的兒童。

六、處理紀錄與合法依據(Records of processing and lawful basis)

資料盤點(Data mapping)

  • 組織進行個資盤點,查明組織保有哪些個人資料,並瞭解資料如何在組織內部流動。
  • 不斷更新個資盤點表,並明確分配維護與修改個資盤點表的責任。
  • 詢問員工意見,確保處理活動情形準確性,例如使用問卷或員工調查。

處理活動紀錄(Record of processing activities, ROPA)

  • 組織以電子形式記錄處理活動,以利便於增加、刪除或修改相關資訊。
  • 組織根據處理活動、政策與程序定期審查紀錄,確保其保持正確與最新,並明確分配責任。
  • 組織定期審查處理活動與處理的資料類型,以達到資料最小化的目的。

ROPA要求(ROPA requirements)

  • ROPA至少要包含以下內容
    1. 組織的名稱與聯繫方式、是控制者還是處理者(如有適用,還包含共同控制者、組織代表與DPO)
    2. 處理的目的
    3. 對個人與個人資料類別的描述
    4. 個人資料接收者的類別
    5. 向第三國傳輸的詳細資訊,包含傳輸的安全機制與措施的紀錄。
  • 組織備有處理者代表組織進行的所有處理活動的任何內部紀錄。

ROPA最佳實務(Good practice for ROPAs)

  • ROPA還包含或連結到以下內容的文件:
    1. 隱私聲明所需的資訊,例如處理個人資料的合法依據與來源
    2. 同意紀錄
    3. 控制者與處理者間的契約
    4. DPIA報告
    5. 個人資料外洩紀錄
    6. 依據個資法處理特種資料或犯罪資料的資訊
    7. 保留與刪除的政策文件

紀錄合法依據(Documenting your lawful basis)

  • 組織檢視處理目的後,為每個處理活動選擇最適當的法律基礎。
  • 組織紀錄所適用的法律基礎(一個或多個)與原因。
  • 如果組織處理特種資料或刑事犯罪資料,組織應紀錄GDPR第9條與第10條,以及英國資料保護法(DPA 2018)的附表1所載相關要求。
  • 針對附表1所記載要求,組織備有適當政策文件,包含:
    1. 所依據的附表1條件
    2. 組織已經採取哪些程序來確保遵守資料保護原則
    3. 組織如何保存與刪除特種資料或刑事犯罪資料
    4. 審查日期
    5. 負責處理人員的詳情
    6. 組織在開始任何新處理之前確定法律基礎

合法依據透明化(Lawful basis transparency)

  • 組織的隱私聲明中公開關於處理的目的、組織處理任何特種個資與刑事犯罪資料的法律基礎與相關要件的資訊。
  • 組織以易於理解的方式提供資訊。
  • 如果情事變更或因原先無法預期的新處理目的而變更法律基礎,組織應及時通知當事人,並紀錄這些變更。

同意要求(Consent requirements)

  • 同意的請求:
    1. 與其他條款與條件分別放置
    2. 要求積極同意,並且不要使用預選框
    3. 明確且具體(不是簽署服務的前提要件)
    4. 告知當事人如何以簡單的方式撤回同意
    5. 提供組織的名稱以及任何依據同意作為法律基礎的第三方
  • 組織備有當事人同意的詳細紀錄,包含當事人被告知的內容,以及當事人同意的時間與方式,並且便於相關員工存取、檢視與在需要時提取。
  • 組織備有說明如何徵得當事人同意的證據與示例,例如線上表格或通知、選擇同意的勾選框或紙本表格。

審查同意(Reviewing consent)

  • 組織具有審查同意的程序、檢查其關連性、處理與目的是否已經更改並記錄任何更改。
  • 組織具有在適當時間間隔更新同意的程序。
  • 組織使用隱私儀表板或其他偏好管理工具來幫助當事人管理其同意。

風險導向的年齡檢查與父母或監護人的同意(Risk-based age checks and parental or guardian consent)

  • 組織透過作出合理的努力,檢查給予同意之人的年齡,特別是在當事人為兒童的情形。
  • 組織具有合理有效的程序確定當事人是否可以提供同意,在當事人無法提供同意時,則應取得並記錄父母或監護人同意的有效方法。
  • 為兒童提供線上服務時,組織會使用風險導向的年齡檢查系統(risk-based age checking systems)來確定年齡,並根據對兒童權利和自由的風險來確定適當的級別。
  • 為兒童提供線上服務時,如果未滿13歲,則需要定期審查父母或監護人同意的紀錄,並且組織透過合理的努力來驗證同意人是否具有親權。當兒童年滿13歲且能夠取得他們同意時,組織應特別予以注意。

合法權益評估(Legitimate interest assessment, LIA)

  • LIA確定合法利益、處理的好處以及是否有必要。
  • LIA包含平衡測試,以顯示組織如何確定其合法利益高於當事人利益,並考慮以下問題:
    1. 除有充分理由,否則請勿以侵害性方式或可能造成傷害的方式處理個人資料
    2. 保護弱勢群體(如學習障礙者或兒童)的利益
    3. 是否實施保護措施以減少任何潛在的負面影響
    4. 是否可以選擇退出(opt-out)
    5. 是否需要DPIA
  • 組織清楚記錄決策與評估。
  • 組織在處理個人資料之前完成LIA
  • 組織保持對LIA進行審查,如因變化影響到結果,應加以更新。

七、契約與資料共享(Contracts and data sharing)

資料共享政策與程序(Data sharing policies and procedures)

  • 組織具有透過DPIA或類似的工作流程評估資料共享的合法性、利益與風險。
  • 組織將所有共享決策紀錄在案,以利稽核、監督與調查,並定期檢視。
  • 組織對資料共享有明確的政策、程序與指引,包含誰有權決定系統性的資料共享或一次性揭露,以及在何種情形適合這樣做。
  • 組織對所有可能作出資料共享決定的員工進行充分訓練,讓他們瞭解自己的責任。同時,組織會根據情況定期更新訓練內容。

資料共享協議(Data sharing agreements)

  • 組織與所有相關組織簽訂資料共享協議,並應由高階管理人員簽署確認。
  • 資料共享協議包含以下細節:
    1. 各方的角色
    2. 資料共享的目的
    3. 資料在每個階段會如何處理
    4. 所設定的標準(兒童的隱私預設標準應較高)
  • 必要時,組織整體日常運作的程序與指引將為協議提供支援。
  • 如果組織依據GDPR第26條作為共同控制者,組織根據約定或資料共享協議約定責任分配,並向當事人提供適當隱私資訊。
  • 組織具有定期檢視程序,確保資訊保持準確與最新,並檢視協議如何運作。
  • 組織保存當前資料共享協議的主要紀錄(central log)。

限制轉讓(Restricted transfers)

  • 組織考慮限制性傳輸是基於適足性認定(adequacy decision)或資料保護法中所列出的適當安全措施的範圍,例如包含委員會通過的標準契約資料保護條款的契約(standard contractual data protection clauses)或拘束性企業規則(Binding Corporate Rules, BCRs)。
  • 如果不符合前述範圍,則組織應考量該傳輸是否在GDPR第49條規定的豁免範圍內。

處理者(Processors)

  • 組織與所有處理者簽訂書面契約。
  • 如果使用處理者,組織應評估資料主體的風險,並確保有效降低這些風險。
  • 由適當級別的管理階層核准並簽署契約,核准與簽署所需要的管理階層應與契約的價值與風險成正比。
  • 每份契約(或法律行為)都規定處理的詳細資訊,包含:
    1. 處理的主要內容
    2. 處理的期限
    3. 處理的性質與目的
    4. 所涉及的個人資料類別
    5. 資料當事人類別
    6. 根據GDPR第28(3)條所列的清單、控制者的義務與權利
  • 組織保存所有當下處理者契約的紀錄或日誌,並在處理者變更時予以更新。
  • 組織定期檢視契約,以確保其維持最新狀態。
  • 如果處理者使用子處理者(sub-processor)來協助組織進行處理,處理者必須取得組織的書面授權,並與該子處理者簽訂書面契約。

控制者與處理者間契約要求(Controller-processor contract requirements)

  • 契約或其他法律行為說明處理者必須(包含以下事項):
    1. 僅根據控制者的書面指示進行處理,除非有法律規定
    2. 確保處理資料的人員負有保密義務
    3. 協助控制者回應當事人權利行使的請求
    4. 接受稽核與檢查
  • 契約內包含處理者必須採取的技術上與組織上安全措施(包含加密、假名化、處理系統的韌性與個人資料備份以便能夠恢復系統)。
  • 契約內包含確保處理者在契約結束時刪除或返還所有個人資料的條款。除有法律要求保存,否則處理者還必須刪除現有的個人資料。
  • 契約中確保處理者協助控制者履行GDPR中有關處理安全、個人資料外洩通知與DPIA的義務。

處理者盡職調查(Processor due diligence checks)

  • 組織與處理者簽訂契約前,採購流程會根據處理的風險進行相應的盡職調查。
  • 盡職調查程序包含資料安全檢查,例如現場訪視、系統測試與稽核要求。
  • 盡職調查過程中包含檢查確認潛在的處理者將保護資料當事人的權利。

處理者法遵性檢視(Processor compliance reviews)

  • 契約中包含允許組織進行稽核或檢視的條款,以確認處理者遵守所有契約條款與條件。
  • 組織根據處理風險進行例行的法遵檢視,以確認處理者是否遵守契約。

第三方產品與服務(Third-party products and services)

  • 組織使用第三方產品或服務處理個人資料時,確保選擇在設計產品或服務時考慮到資料保護的供應商。

目的限制(Purpose limitation)

  • 組織僅共享實現其特定目的所需的個人資料。
  • 在資料共享時,盡可能得對資料進行假名化或最小化。組織還考慮進行匿名化處理,使資料不再是個人資料。

八、風險與資料保護衝擊評估(Risks and data protection impact assessments, DPIAs)

識別、記錄與風險管理(Identifying, recording and managing risks)

  • 資訊風險政策(可以是一份單獨文件,也可以是更廣泛的企業風險政策中一部份)規定組織及其資料處理者如何管理資訊風險,以及如何監督資訊風險政策的遵循情形。
  • 組織具有程序協助員工將資訊管理與資料保護的問題與風險報告與通知至統一的地方(例如員工論壇)。
  • 組織在適當的風險管理表(risk register)內識別與管理資訊風險,其中包含企業與部門風險管理表與資訊資產風險評估間的明確關聯。
  • 組織具有正式的程序,透過資訊資產盤點表(information asset register)中識別、紀錄與管理有關資訊資產相關的風險。
  • 如果組織識別資訊風險,組織具有適當的行動計畫、進度報告以及考量過往經驗與教訓,以避免未來的風險。
  • 組織制定措施以減輕已被識別的風險,並定期測試這些措施以保持有效性。

從設計與預設著手資料保護(Data protection by design and by default)

  • 組織在所有風險、專案與應變管理的政策與程序中都記載DPIA的要求,並與DPIA政策與程序相關連。
  • 組織於程序中規定,如果有適用,必須在專案開始之前進行DPIA,DPIA必須與規劃和開發過程同時進行。
  • 組織在風險與侵害隱私的事件發生前對其進行預測,並確保在任何系統、產品或流程的初始設計階段以及整個過程中,均考量:
    1. 預期的處理活動
    2. 處理活動可能對個人權利與自由造成的風險
    3. 減輕風險的可行措施

DPIA政策與程序(DPIA policy and procedures)

  • 組織具有DPIA政策,其中包含:
    1. 決定是否進行DPIA的明確程序
    2. DPIA應包含的內容
    3. 如何授權
    4. 如何將其納入整體規劃之中
  • 組織會有一份檢查清單,用於考慮是否需要進行DPIA,包含對擬議處理的範圍、類型與方式的所有相關考量。
  • 如果檢查清單顯示組織不需要DPIA,組織應予以記錄。
  • 組織程序包含要求適時向DPO或其他內部員工尋求建議。
  • 組織程序包含與控制者、資料處理者、當事人、其代表人或其他利害關係人進行適當諮詢。
  • 員工教育訓練包含須要在任何涉及個人資料的計畫早期階段考量DPIA,並在相關情形下訓練員工如何進行DPIA。
  • 組織將完成DPIA的責任分配給有足夠權力針對專案進行決策的員工,例如項目負責人或經理。

DPIA內容(DPIA content)

  • 組織具有一個標準的、架構良好的DPIA範本,以簡易的語言書寫DPIA。
  • DPIA包含:
    1. 處理的性質、範圍、背景與目的
    2. 評估必要性、相當性與法遵措施
    3. 識別與評估當事人風險
    4. 識別減輕這些風險的任何額外措施
  • DPIA明確載明控制者、處理者、當事人與系統間的關係與資料流。
  • DPIA識別消除、減輕或降低高風險的措施。
  • 組織備有文件化流程,並有適當的文件控制,組織會定期審查流程以確保保持最新。
  • 組織記錄DPO的意見與建議及其他任何諮詢的細節。
  • 由適當的人簽署DPIA,如專案負責人或高階經理。

DPIA風險減輕與審查(DPIA risk mitigation and review)

  • 當組織無法減輕剩餘的高風險,組織具有向主管機關(在英國為ICO)諮詢的流程。
  • 組織將DPIA的結果,納入相關的工作計畫、專案行動計畫與風險管理表。
  • 在DPIA之後,組織不會開始高風險處理,直到實施適當的減輕措施。
  • 組織備有程序將DPIA的結果傳達給適當的利害關係人,例如透過正式的總結報告。
  • 在可能的情況下,組織考慮主動公布DPIA,必要時刪除敏感的細節。
  • 組織同意並記錄定期審查DPIA的時間表,或者當處理的性質、範圍、背景或目的發生變化時,檢視DPIA。

九、紀錄管理與安全(Records management and security)

建立、搜尋與檢索紀錄(Creating, locating and retrieving records)

  • 組織具有政策與程序,確保以便於管理、檢索與處置的方式對新紀錄進行適當分類、命名與編輯索引。
  • 組織識別書面或電子紀錄保存系統,並保存一個主要日誌或資訊資產盤點表。
  • 組織隨時瞭解、追蹤紀錄的去向,並嘗試追蹤遺失或未歸還的紀錄。
  • 組織可以使用獨特的參考索引編輯在異地儲存的紀錄,以實現精準的檢索與後續追踪。

傳輸安全(Security for transfers)

  • 組織制定關於以郵寄、傳真和電子方式進行內部與外部傳輸的保護規則,例如在傳輸政策或指引中。
  • 盡量減少異地傳輸的資料,並保證傳輸過程中的安全。
  • 當組織將資料傳輸到異地時,組織會使用適當的傳輸方式,例如安全快遞(secure courier)、加密、安全檔案傳輸協定(SFTP)、虛擬私人網路(VPN),並進行檢查以確保資料已被接收。
  • 組織與任何用於在組織與第三方間傳輸業務資訊的任何第三方簽訂協議。

資料品質(Data quality)

  • 組織定期對包含個人資料的紀錄進行資料質量檢視,以確保他們精準、適當且不過度。
  • 組織進行資料質量檢視或稽核後,組織會讓員工瞭解資料質量的問題,以防止再次發生。
  • 定期剔除含有個人資料的紀錄(無論是使用中或已歸檔),以減少不精準和過度保留的風險。

保存時間表(Retention schedule)

  • 組織根據業務需要,並參照法定要求與其他主體(例如英國國家檔案館),制定保存期限表。
  • 該期限表提供足夠的資訊,以確定所有紀錄,並根據期限表執行處置決策。
  • 組織要分配責任,確保員工遵循期限表,並定期檢視。
  • 組織定期檢視所保存的資料,以確定是否有機會將其最小化、假名化或匿名化,並將此紀錄於表格內。

刪除銷毀(Destruction)

  • 針對紙本文件,組織使用上所的廢物箱處理含有個人資料的紀錄,並採用內部或第三方機器碎紙或焚燒的方式。
  • 對於保存在電子設備的資訊,則使用擦除(wiping)、消磁(degaussing)或安全銷毀硬體(粉碎)的方式。
  • 機密廢棄物在銷毀之前應由組織蒐集、保管或運送。
  • 組織與第三方簽訂適當契約來處置個人資料,並且第三方向組織提供適當的保證,保證他們已經安全得處置資料,例如透過稽核檢查與銷毀證書。
  • 組織對所有送去處置或銷毀的設備與機密廢棄物都存有紀錄。

資料資產表(Information asset register)

  • 組織保有資產盤點表,其中包含所有資訊資產(軟體與硬體)的詳細資料:
    1. 資產所有者
    2. 資產的位置
    3. 保存期限
    4. 所實施的安全措施
  • 組織定期檢視盤點表,以確保其保持最新與準確。
  • 組織定期檢視盤點表中的資產進行風險評估,並進行實物檢查,以確保硬體資料庫存的準確性。

可接受的軟體使用規則(Rules for acceptable software use)

  • 組織具有可接受的使用政策或條款與條件。
  • 組織具有系統操作程序,記錄保護系統或應用程式內資料的安全配置與措施。
  • 組織監督可接受使用規則的遵守情形,並確保員工瞭解任何監督情形。

存取控制(Access control)

  • 組織制定存取控制政策,規定使用者在使用機密認證資訊(如密碼或憑證)時必須遵循組織的政策。
  • 組織實施正式的使用者存取授權程序,為員工(含臨時員工)和第三方承包商分配履行其職責所需的所有相關系統和服務的存取權限,例如到職流程。
  • 組織應限制與控制特權存取權的分配與使用。
  • 組織應保存使用者存取保有個人資料系統的log紀錄。
  • 組織定期審查使用者的存取權限,並在適當的情形下調整或取消權限,例如當員工職位變更或離職時。

未經授權的存取(Unauthorised access)

  • 組織依據最小權限原則,將對處理個人資料的系統或應用程式的存取權限限制在絕對最小的範圍內(例如實施讀/寫/刪除/執行的存取規則)。
  • 組織對處理個人資料的系統或應用程式採行一定的密碼複雜度規則與限制嘗試性登入。
  • 組織有密碼管理措施,包含預設密碼更改、控制使用任何共享密碼與安全密碼的儲存(非使用純文字)。
  • 電子郵件內容與附件安全解決方案(加密)適當得保護包含敏感個人資料的電子郵件。
  • 組織紀錄與監控使用者與系統活動,以檢測任何異常情形。
  • 組織在整個網路、關鍵或敏感資訊系統上部署防毒軟體(anti-virus)與惡意程式清除軟體(anti-malware)作為保護。
  • 防毒軟體與惡意程式清除軟體保持最新,並對其進行配置,以執行定期掃描。
  • 組織可以存取系統或軟體技術漏洞的任何更新,例如供應商的警報或修補程式,並採取相應行動。
  • 組織定期進行漏洞掃描。
  • 組織部署URL或網路內容過濾,以阻止某類別或特定的網站。
  • 組織嚴格控制或禁止使用社群媒體或訊息應用程式(例如WhatsApp)分享個人資料。
  • 組織根據情形設置外部與內部防火牆與入侵檢測系統,以確保網路與系統中的資訊安全,防止未經授權的存取或攻擊,例如拒絕服務攻擊。
  • 組織沒有使用不受支援的作業系統,例如Windows XP 或 Windows Server 2003。
  • 組織建立特別的控制措施,以保障透過公共網路或無線網路傳遞的資料機密性與完整性,並保護連接的系統和應用程式。

行動裝置、家庭或遠程工作與可攜式媒體(Mobile devices, home or remote working and removable media)

  • 組織有行動裝置和家庭/遠距工作政策,表明組織將如何管理相關的風險。
  • 組織備有保護措施,以避免未經授權存取或揭露行動裝置的資訊,例如加密與遠距擦除功能。
  • 在家庭或遠距工作的情形時,組織會採取安全措施以保護所處理的資料,例如VPN與雙因素認證。
  • 當組織有業務需要將個人資料儲存在可攜式媒體時,盡量所儲存的個人資料,組織實施一個軟體解決方案,可以為單一設備與某個設備類別設置權限或加以限制。
  • 組織不允許在未經事先授權的情況下將設備、資訊或軟體帶離現場,並且記錄所有行動裝置與可攜式媒體的使用情形與其配發對象。

區域安全(Secure areas)

  • 組織實施適當的入口管制(例如門鎖、警報器、安全照明或CCTV)保護安全區域(包含敏感或關鍵資訊的區域)。
  • 組織具有訪客政策,例如簽到程序、名牌與陪同訪問。
  • 在安全區域(如服務器機房)實施額外的保護措施,以防止外部與環境威脅。
  • 適當擺放辦公室設備,並加以保護,以減少環境威脅的風險與未經授權進入的機會。
  • 組織以安全的方式存放紙本文件,並進行接觸的管控。
  • 組織在處理個人資料的地方實行明確的辦公桌政策。
  • 組織定期清查或檢查,並適當得回報問題。
  • 於組織內實行螢幕登出政策。

營運持續、災難復原與備份(Business continuity, disaster recovery and back-ups)

  • 組織具有風險導向的營運持續計畫作為管理中斷,組織具有災難恢復計畫管理災難,這些計畫識別對組織的持續運作相關重要的紀錄。
  • 組織針對電子資訊、軟體和系統進行備份(最好將其存放於異地)。
  • 備份的頻率應反映資料的敏感性與重要性。
  • 組織定期測試備份與恢復程序,確保其仍合於目的。

十、事故應變與監控(Breach response and monitoring)

檢測、管理與記錄事故與資料外洩(Detecting, managing and recording incidents and breaches)

  • 組織有適當的教育訓練,使員工能別識別安全事故(security incident)與個人資料事故(personal data breach)。
  • 組織有專人或團隊管理安全事故與個人資料事故。
  • 員工知道如何將安全事故迅速升級至適當的人員或小組,以確定否已發生資料外洩。
  • 組織的程序與系統有助於回報安全事故與資料外洩。
  • 組織具有應變計畫,以迅速處理任何安全事故與個人資料事故。
  • 組織對實際的外洩事故與幾乎發生的事故(near misses,即使不須要向主管機關通報或個人通知)進行集中紀錄、文件化與存檔。
  • 日誌記錄了與幾乎發生的事故或與外洩事故有關的事實,其中包含:
    1. 原因
    2. 發生了什麼事情
    3. 受影響的個人資料
    4. 資料外洩的影響
    5. 採取的任何補救措施與理由

評估與事故回報(Assessing and reporting breaches)

  • 組織具有程序評估個人資料外洩對個人造成風險的可能性與嚴重性。
  • 組織具有程序,在意識到違規事故發生後72小時內通知主管機關ICO(即使尚未知悉全部資訊),並即時通知ICO。
  • 該程序包含必須向主管機關ICO提供有關違規事故的詳細資訊。
  • 如果組織認為沒有必要通報違規事故,應記錄組織認為違規事故不太可能對個人權利與自由造成風險的原因。

通知當事人(Notifying individuals)

  • 組織具有程序,規定組織將如何告知受影響的當事人有關可能對他們的權利與自由造成高度風險的資料外洩。
  • 組織以清楚易懂的語言告知當事人有關資料外洩的情形,且沒有無故遲延。
  • 組織向當事人提供的資訊包含DPO的詳細資訊、對違規事故可能造成的結果描述與所採取的措施(包含減輕風險措施與任何可能的不利影響)。
  • 組織向當事人提供建議,以保護其免於違規事故的影響。

審查與監控(Reviewing and monitoring)

  • 組織分析所有個人資料事故報告,以防止再次發生。
  • 組織監控事故的類型、數量與成本。
  • 組織對一段時間內的違規事故進行趨勢分析,以瞭解主要內容或問題。
  • 由負責監督資料保護與資訊管理小組審查這些結果。

外部稽核與法遵檢查(External audit or compliance check)

  • 組織完成外部提供的自我評估工具,以提供資料保護與資訊安全法遵性保證。
  • 組織接受或聘用外部稽核員的服務,以提供資料保護與資訊安全法遵性的獨立保證(或驗證)。
  • 組織遵守組織所屬行業的適當行為或實踐準則(如有適用)。
  • 組織製作稽核報告以記錄稽核結果。
  • 組織有一個主要行動計畫,以推展資料保護與資訊管理稽核的結果。

內部稽核程序(Internal audit programme)

  • 組織監督內部資料保護法遵性,並定期檢視現有措施的有效性。
  • 組織定期檢視員工對資料保護與資訊管理政策與程序的遵守情形。
  • 組織定期進行臨時性監督(ad-hoc monitoring)與抽查(spot checks)。
  • 組織確保對於政策遵守情形的監督是公正的,將其與政策執行者分離。
  • 組織具有主要稽核計畫/時間表,顯示資料保護與資訊管理內部稽核的規劃。
  • 組織製作稽核報告以記錄稽核結果。
  • 組織具有主要行動計畫,以推展資料保護與資訊管理稽核的結果

績效與法遵資訊(Performance and compliance information)

  • 組織具有當事人近用請求(subject access request, SAR)績效的KPI(請求量和在法定時間內完成的百分比)
  • 組織具有關於完成資料保護與資訊管理教育訓練的KPI,包含一份顯示完成訓練的員工百分比的報告。
  • 組織具有關於資訊安全的KPI,包含安全漏洞、事故與幾乎發生的事故的數量。
  • 組織具有關於紀錄管理的KPI,包含使用諸如檔案檢索統計數量,遵守處置期限表的情況,以及為含有個人資料的紙本文件檔案編輯索引與追蹤系統的績效。

管理資訊的運用(Use of management information)

  • 組織具有一個儀表板,對所有關鍵的資料保護與資訊管理KPI進行進階的摘要(high-level summary)。
  • 組織對資料保護與資訊管理進行監督的小組定期討論KPI以及監督與檢視的結果。
  • 資料保護與資訊管理KPI與監督及檢視的結果,由小組定期於業務層級討論(例如在團隊會議上討論)。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答

加州針對基因檢測公司通過基因資料隱私法

在加州消費者隱私法(California Consumer Privacy Act , CCPA )之後,加州( California)參議院於今(2020)年8月31日通過「基因資料隱私法( Genetic Information Privacy Act)」,該法尚待加州州長Gavin Newsom簽署。

立法者考量基因體資料(Genomic data)具有高度可區分性,只要有30到80個單核苷酸多型性(single nucleotide polymorphism, SNP)序列即可以唯一得識別一個個體。同時基因體資料非常穩定,其在個人的生命中幾乎沒有變化,因此具有長期價值(long-lived value),與其他具有到期日期的生物特徵資料(biometric data,例如血液檢測)不同。且基因檢測公司在很大程度上不受監管,並且可能暴露個人與基因資料,造成意想不到的後果,因而制定該法。

該法主要規範直接面向消費者的基因檢測公司(Direct-to-consumer genetic testing company),包含直接向消費者銷售(Sells),推銷(markets),解釋(interprets)或以其他方式提供消費者主動接觸( consumer-initiated)的基因檢測產品或服務的組織,或是分析從消費者取得的基因資料的組織,除非該基因資料的分析是由具醫療執照之人基於醫療診斷或治療的情況為之。

該法一旦正式頒佈,將要求前述基因檢測公司遵守比加州消費者隱私法更嚴謹的規範,包含:

1.向消費者提供蒐集、利用、維護和揭露基因資料的清楚且完整的政策和程序資訊,包含通俗易懂的隱私權實施原則(privacy practices)、明顯且易於接觸的隱私權聲明(privacy notice)與如何提出投訴的清楚描述。

2.取得消費者的明確同意,以蒐集、利用與揭露消費者的基因資料,其中至少應包含針對所蒐集基因資料用途(誰有權利用、如何共享基因資料)、每次將基因資料傳輸或揭露給第三方時(包含第三方名稱)與根據基因資料向消費者進行行銷等事項的單獨且明確的同意。同時該法也明文規定,依靠「暗黑模式(Dark pattern)」,即透過使用者介面(user interface, UI)操縱或設計實質影響消費者自主權、決策權或選擇權所獲得的同意並不構成明確同意。

3.提供有效的撤回同意機制,使消費者無須採取任何不必要的步驟,其中應包含公司與消費者聯繫的主要媒介。同時公司於收到消費者撤回同意後的30天內銷毀消費者的生物樣本(biological sample)。

4.實施並維護合理的安全程序與措施以保護消費者的基因資料遭到未經授權的存取、破壞、利用、修改或揭露。

5.制定程序與措施,使消費者能夠輕易得近用其基因資料、刪除消費者帳戶和基因資料、銷毀消費者的生物樣本。

6.不得因消費者行使相關權利而予以差別待遇,包含拒絕提供商品、服務或利益;對商品或服務收取不同價格或費率;向消費者提供不同級別或品質的商品、或利益等情形。

7.除特定情形外,不得將消費者的基因資料揭露給某些組織,例如與作出健康保險、人壽保險、長期照護保險、失能險或就業決策有關的組織。

8.每次違反該法將受到最高1萬美元的民事處罰(civil penalty)。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答


從抖音案看中國大陸個人資料保護的發展

(本文主要介紹中國大陸法制與判決,相關用語均尊重原文)

中國大陸第13屆全國人民代表大會(下稱全國人大)第3次會議於今(2020)年5月28日表決通過了「中華人民共和國民法典(下稱民法典)」,民法典將於2021年1月1日起開始實施,民法典第1032條至第1039條針對隱私權與個人信息(即個人資料,以下為尊重原文與統一用語,將以個人信息稱之)制定基礎的保護原則、定義個人信息的概念、載明個人信息處理的合法基礎、規範個人信息處理者的義務、自然人就個人信息的權利與行政機關的職責等事項。另外,中國大陸的國家市場監督管理總局與國家標準化管理委員也於今年發布「GB/T 35273-2020信息安全技術個人信息安全規範」,將於今年10月1日正式實施,其針對「多項業務功能的自主選擇」、「用戶畫像(profiling)的使用限制」、「個性化展示的使用」、「基於不同業務目的所收集個人信息的匯聚融合」、「第三方接入管理」、「個人信息安全工程」、「個人信息處理活動紀錄」、「徵得授權同意的例外」、「個人信息主體註銷帳戶」、「明確責任部門與人員」以及「個人生物識別信息」等內容進行增加與修改。而全國人大常委會也於今年表示預計將「個人信息保護法」與「數據安全法」等草案提請審議,可以看得出中國大陸對於制定個人信息保護相關規範的重視。

另外北京互聯網法院於2020年7月30日就抖音App侵害個人權益一案進行一審判決(下稱本案),認定抖音App構成原告個人信息權益的侵權行為,成為網路時代下中國大陸關於App蒐集、處理與利用個人信息的典型判決。以下將簡要介紹本案的內容。

個人信息的定義

中華人民共和國民法總則(下稱民法總則)第111條規定:「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或公開他人個人信息。」,另依網路安全法第76條第5項規定:「個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。」

本案判決認為,根據前揭規定,構成個人信息應滿足「可識別性」與「有一定的載體」兩個要件。「有一定的載體」是構成個人信息的形式要件,即個人信息應以電子或其他方式記錄,沒有一定載體記錄的信息無法構成個人信息。所謂可識別性,包含對於個體身份的識別(是誰)、個體特徵的識別(是什麼樣的人),同時在考量是否具可識別性時,不應機械割裂得對每一個單獨信息進行判斷,而應結合具體場景,以信息處理者處理的相關信息組合進行判斷。

本案所涉及的姓名、手機號碼與地理位置信息均構成個人信息

本案中,原告主張被告(北京微播視界科技有限公司)於2019年2月9日原告註冊使用抖音App前收集、存儲、使用其姓名及涉案手機號碼的行為構成侵權。法院判決認為,姓名是自然人作為社會個體與他人進行區別,在社會生活中具備可識別性的稱謂或符號。手機號碼是電話管理部門為手機設定的號碼,隨著「手機實名制」政策的推行和普及,手機號碼與特定自然人的關連性愈加緊密,因此自然人的姓名與其使用的手機號碼無論單獨或組合均具有可識別性,屬於個人信息。

另外針對地理位置信息部分,根據抖音App的「隱私政策」,其對「個人信息」的解釋包括「個人位置信息」,對「個人敏感信息」包括「精準定位信息」。可見「隱私政策」中的個人位置信息亦非僅限於「精準定位信息」。同時因為手機號碼具有可識別性,在收集手機號碼的情形下,被告收集的位置信息與手機號碼信息組合,能夠識別到特定人,屬於個人信息,與該位置的精確程度無關,因此地理位置信息也屬於個人信息。

本案所涉及的信息蒐集、處理與使用構成原告個人信息權益的侵害

一、被告於2019年2月9日原告註冊抖音App前收集、存儲原告姓名和手機號碼並使用的行為並未徵得原告同意

本案被告通過讀取其他手機用戶通訊錄的方式獲得原告姓名和手機號碼,並在原告註冊後向其推薦可能認識的人。被告對原告姓名和手機號碼的處理可以分為三個階段,而被告於第一階段與第三階段,針對原告姓名和手機號碼並使用的行為並未徵得原告同意:

1.第一階段:2019年2月9日前被告通過向其他手機用戶申請授權收集並存儲了其他手機用戶的手機通訊錄信息,其中包含了原告的姓名和手機號碼,此時原告尚未註冊使用抖音App,被告在未徵得原告同意的情況下對手機號碼為處理。

2.第二階段:2019年2月9日原告使用手機號碼註冊抖音App時,被告收集並存儲了原告註冊時提供的手機號碼,原告註冊的行為應視為其同意被告收集其手機號碼。

3.第三階段:被告使用原告第二階段註冊使用的的手機號碼與第一階段從其他手機用戶手機通訊錄中收集、存儲的手機號碼進行匹配,並向原告推薦「可能認識的人」。被告雖主張該階段信息處理行為已透過「隱私政策」告知原告,但根據隱私政策內容:「你使用推薦通訊錄好友功能時,在獲得你的明示同意後,我們會將你通訊錄中的信息進行高強度加密算法處理後,用於向你推薦通訊錄的好友。」,法院認為該內容應指,被告讀取原告通訊錄後,向原告進行推薦,並非從他人通訊錄收集原告手機號碼並向原告推薦,兩種收集方式與推薦邏輯並不完全相同,不能視為被告已經告知並徵得原告同意。

二、被告未徵得原告同意處理其姓名和手機號碼的行為,構成對原告該項個人信息的侵害

本案法院認為,被告對於姓名和手機號碼的使用,會涉及手機用戶、通訊錄聯繫人與互聯網行業發展的不同利益需求的平衡,應從姓名和手機號碼「信息的特點與屬性」、「信息使用的方式和目的」、「對各方利益可能產生的影響」等面向進行分析。儘管本案被告讀取手機通訊錄時不可避免得會讀取原告的手機號碼,但讀取和匹配行為並不會對原告產生打擾,也通常不會不合理得損害原告利益,且有利於滿足其他有社交需求用戶的利益及行業和社會發展的需要,屬於對該信息的合理使用。

然而法院特別強調,該合理使用仍應符合處理個人信息的合法、正當、必要原則。本案中,原告未註冊時,不存在在抖音App中建立社交關係的可能,被告從其他用戶手機通訊錄收集到原告姓名和手機號碼後,通過匹配可以知道軟件內沒有使用該手機號碼作為帳戶的用戶,應及時刪除該信息,但被告並未及時刪除,直到原告起訴時,該信息仍存儲於被告的後台系統中,超出必要限度,故不屬於合理使用,構成對原告該項個人信息權益的侵害。

三、被告未徵得原告同意收集原告的地理位置信息,構成對原告該項個人信息的侵害

依據原告所提交的公證書顯示,原告下載抖音App後,在瀏覽「用戶隱私政策概要」及「隱私政策」之前,抖音App主頁視頻上方即顯示原告公證時公證處所在城市「成都」。在原告使用手機號碼登錄後,主頁視頻上方同樣顯示「成都」,隨後才彈窗詢問「允許訪問你的位置?你的城市信息將會在個人主頁上展示,可在資料頁手動修改或取消展示」。顯然,無論原告是否同意允許訪問其「位置」,被告已經在詢問前收集到該信息。

被告雖主張其通過IP地址獲得模糊的地理位置信息,然而未提交證據證明。縱使其陳述屬實,作為軟件經營者在互聯網信息交互時獲得了用戶的IP地址,但IP地址並不必然等同於地理位置,通過IP地址去分析用戶所在地理位置並在軟件中進行顯示,屬於對信息的進一步處理和使用,同樣需要徵得用戶的同意,否則依然構成對個人信息的不當使用和過度處理。同時根據抖音App的「隱私政策」條款:「你發布音視頻等信息並選擇顯示位置時,我們會請求你授權地理位置這一敏感權限,並收集與本服務相關的位置信息。這些技術包括IP地址、GPS……」,可知根據「隱私政策」通過IP地址獲得地理位置亦應徵得用戶同意。故被告在未徵得原告同意情況下收集原告的地理位置信息,構成對原告該項個人信息的侵害。

四、被告責任

1.被告應於判決生效日刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息

依中華人民國共和國侵權責任法(下稱侵權責任法)第15條規定:「承擔侵權責任的方式主要有:(一)停止侵害;(二)排除妨礙;(三)消除危險;(四)返還財產;(五)恢復原狀;(六)賠償損失;(七)消除影響、恢復名譽。」另網路安全法第43條規定:「個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。」

本案法院認為,依照前述規定,信息主體要求網路運營者刪除違法收集的個人信息時,無需以構成實際損害為前提。另原告雖要求被告停止使用並刪除2019年2月9日前收集、存儲的其姓名和手機號碼的個人信息與未經授權收集、存儲的地理位置信息,然而就責任承擔的方式,刪除信息即可以實現停止使用。因此,原告得要求被告刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息。

2.被告應於判決生效日起7日內,以書面形式向原告道歉

依照最高人民法院關於審理利用信息網路侵害人身權益民事糾紛案件適用法律若干問題的規定第16條:「人民法院判決侵權人承擔賠禮道歉,消除影響或者恢復名譽等責任形式的,應當與侵權的具體方式和所造成的影響範圍相當。」由於被告侵權行為發生在抖音App中,並未給原告造成向抖音用戶公開的大範圍影響,因此考量被告的侵權方式和所造成影響範圍,法院判決被告應以書面方式向原告道歉。

3.被告應於判決生效日起7日內賠償原告經濟損失1000元與維權合理費用4231元

依照侵權責任法第20條規定:「侵害他人人身權益造成財產損失的,按照被侵權人因此受到的損失賠償;被侵權人的損失難以確定時,侵權人因此獲得利益的,按照其獲得的利益賠償;侵權人因此獲得的利益難以確定,被侵權人和侵權人就賠償數額協商不一致,向人民法院提起訴訟的,由人民法院根據實際情況確定賠償數額。」

本案法院認為,對個人信息的消極利用會給信息主體帶來人身和財產受到侵害的風險,對個人信息的積極利用會給使用者帶來利益。個人信息是數據的重要來源之一,而數據作為新型生產要素又是數字經濟發展的基礎,對於個人信息的採集和利用必然會帶來商業價值和經濟利益。儘管本案原被告均未就原告因個人信息權益受到侵害所遭受的財產損失或被告因此獲得利益的部分提出相關證據,但被告對個人信息的採集和利用必然會為其商業運贏帶來利益。因此判決被告在未徵得原告同意情況下採集原告的個人信息並加以利用的行為,應進行一定的經濟賠償,並考量本案情況酌定賠償數額為1000元(約新臺幣4272元),被告並應賠償原告的維權合理費用(公證費支出)4231元(約新臺幣18075元)。

結語

在數位時代下,消費者所使用的每項產品,其背後的技術與邏輯往往把持於經營者手上,就連法院也必須依據手上現有的證據逐一抽絲剝繭,並且透過專家的協助,才有可能稍稍瞭解其背後的真相。儘管本案判決的賠償金額不高,但其針對抖音App蒐集、處理與利用個人信息的過程,細緻區分每個階段流程,並加以分析判斷各階段流程個人信息處理的合法性,實屬難得。

同時該案判決也於末段強調,因為技術能力,普通網路用戶很難瞭解其個人信息如何被處理和利用,其對網路空間中的個人信息和私人領域的控制力更為減弱。因此互聯網企業更需要從保護用戶權利的角度,合法合規得設計產品模式、開發技術應用。規範個人信息的處理行為並不會影響行業發展,反而會促使技術在個人信息保護方面不斷創新進步。企業可以透過諸如完善隱私政策內容和告知形式、對信息不可復原的匿名化處理等產品模式和技術創新的方式,在加強隱私權和個人信息保護的前提下,促進互聯網行業的發展,而非對公民個人權益和行業發展非此即彼的取捨,互聯網企業應承擔其應盡的法律責任和社會責任。

觀諸中國大陸現行與即將施行的民法典中關於個人資料保護的法令,儘管難謂完善,其仍尚待一部完整的個人資料保護法,然而從本案中可以看出,現時於中國大陸侵害自然人個人資料的權益仍有相對應的法律責任。同時今年10月1日實施的「GB/T 35273-2020信息安全技術個人信息安全規範」,其中已有歐盟一般資料保護規則(GDPR)的影子,未來中國大陸關於個人資料保護的規範,或許會有朝GDPR靠攏的趨勢。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答