- 生技與醫療器材報導 第151期 2012年2月 (文/孫世昌)
根據德國政府於去(2011)年11月所公布之一份官方消息指出,由於Facebook未確實遵循由「德國漢堡個人資料保護與資訊自由化委員會委員」(Hamburg Commissioner for Data Protection and Freedom of Information;簡稱HmbBfDI)針對其未明確告知使用者即逕自提供「自動臉部辨識功能」之行為所作之要求(即要求應與歐盟及德國現行個人資料保護規範保持一致),德國政府決定,將對Facebook展開正式法律行動!關於前述由Facebook所提供之自動臉部辨識工具,其主要用途,乃係借使用者所上傳之個人照片來作為「自動辨識其他使用者(或稱自動相片標籤)」之用,而除非使用者自行更改帳戶隱私設定,否則該功能皆一律預設為「自動啟動」狀態;對此,Facebook方面稍早曾表示,後續將計畫以導入「確認選框」、及提供「資料使用指引手冊」等配套措施,來做為滿足委員要求之替代方案;不過,德國官員回應,於本質上,不論是否提供指引手冊,Facebook仍應事先告知使用者,其蒐集臉部生物辨識資料之目的,及其可能之用途為何?而一位HmbBfDI官員Johannes Caspar也補充,若想合法運用自動臉部辨識工具,Facebook方面應在已明確告知使用者之前提下,方得為之;且對其臉部生物辨識資料已被Facebook存入資料庫之使用者,Facebook亦應負有再回頭告知之義務;然而,依目前情況來看,Facebook方面除未就其先前所提出之解決方案,作出明確之承諾外;後續亦未立即採取任何補救措施;基此,為確保未來各類新生物辨識技術,能在兼顧使用者「隱私權」及「資訊自決權」等前提下被妥善運用,故主管機關現已決定,將運用任何可能之法律手段(如罰款、或禁止令)來對其進行必要之監管。
一如上述,伴隨著各類生物辨識技術(如:臉部特徵、虹膜或聲紋辨識等)之廣泛應用及雲端網路之快速發展,在許多領域中(如出入境與移民管制、保安監控、資安、金融交易),此類可直接辨識特定個體之方法,已漸取代了傳統以人工識別(如出入境護照查驗)或採密碼輸入等管制方式;然而,在這樣的趨勢下,由於一般民眾之隱私保護觀念仍稍薄弱;因此,此類與資料主體間具高度關聯性之生物特徵資料,就在一鬆一拉間,搭著網路無國界之便車,不知不覺地被傳送到全球各個角落,供有心者或企業任意進行分析或利用;而由於此種於「檯面下」(指未告知當事人)的蒐集與運用,對民眾之個人隱私造成了不小的衝擊,故於近年間,除德國外,包括歐盟、美國等各先進國家政府,也紛紛採取了因應措施。以歐盟為例,為實質整合及提升境內個人資料保護措施、及置換現行歐盟第95/46/EC號個人資料保護指令(EU Data Protection Directive No. 95/46/EC),於去年12月初時,由歐盟執委會司法總署(EU Commission DG Justice),正式提出了一份「一般性資料保護規則」(General Data Protection Regulation)立法建議案,其主要目的,乃係要針對現行歐盟個人資料保護、合法處理及境外傳輸等相關部分,進行可能之修正及補強;而由於此項建議案,對未來歐盟境內生物辨識等個人資料之蒐集與運用,將產生重要之影響;故應有必要對歐盟政府日後所將可能採取之規範態度及立法方向,事先作一掌握及瞭解。
關於上述由執委會提出之新「一般性資料保護規則」建議案內容,其較具重要性之部分,大致如後:(一)適用範圍:1.於歐盟境外之資料管理者(Controller)與處理者(Processor),未來皆可能成為受新規則所規範之主體、2.目前資料管理者所需擔負之法律責任,日後將套用至資料處理者身上;3.對在多個會員國同時設有營運處所之企業,將依其營運總部之所在位置,定單一管轄之資料保護權責主管機關(Data Protection Authority;簡稱DPA);(二)用詞定義:將新增「個人資料洩漏」(含蓋所有形式之資安漏洞)、「與健康有關之個人資料」(即經告知同意而取得之個人健康資料)、「遺傳資料」、「生物辨識資料」等用詞定義;此外,對「同意」(Consent)一詞,另作出與以往不同之解釋,即強調,所謂的「同意」,必須達到足夠「明確」(Explicit)之程度;(三)資料保護原則:重視「透明化」、「最小處理」與「.有責性」(此為新增)等原則;(四)合法處理:1.一般性規範要件將轉趨嚴格、2.將以「告知」、「因遵守契約而為之必要處理」、「遵循法令規範要求」「重大利益考量」「公共利益」「資料管理者合法利益」等原則,作為日後合法處理判斷上之基礎;(五)個人基本權利:將新增「被遺忘之權利」、「輕便性」、與「特徵側寫」等權利;(六)資料保護主管:將要求員工人數超過250人之相關公、私機構,設置「資料保護主管」(Data Protection Officers);(七)資料洩漏通報措施:要求應於「資料安全洩漏事件」發生後24小時內,告知所有相關之DPAs與受影響之個人(為基本原則);(八)資料境外移轉:對個人資料之境外移轉,將要求僅能在該國已建立合適之資料保護措施之前提下,方允為之;(九)歐洲資料保護委員會:依個人資料保護指令第29條所設置之「工作小組」(Working Party),未來將被重新命名為「歐盟資料保護委員會」(European Data Protection Board),專責管理各DPAs所作成之各項決定;(十)懲罰措施:1.將賦予境內各DPAs一致性之執行權力並大幅提升其行政裁罰權、2.將依「有效性」、「比例原則」與「具嚇阻性」等原則,制訂可能之懲罰方式、3. 對未遵循歐盟新個人資料保護規則者,將比照違反歐盟競爭法之相關處罰規定,定其應繳納之罰款金額(這也是目前最備受各界關注之重點之一)。截至目前為止,執委會正準備將此建議案,於今(2012)年1月底前,提交給歐盟議會(European Parliament)進行審查,一旦通過,將「直接」適用於歐盟全境(預期最終版將於今年年底前公布)。
在簡單檢視過執委會所提出之新規則建議案內容後,我們可約略觀察出,其未來之立法方向,將朝如後數個面向發展:第一、強化個人基本權:就歐盟民眾之個人資料,歐盟將要求,應於符合透明公開及最小必要等原則之前提下,針對其將如何?為何?由誰?及於多久期間進行蒐集與利用,明確告知資料主體,並取得其同意;第二、提升單一市場內部資訊流之自由:由於各會員國目前所採取之個人資料保護措施並非完全一致,故除造成境內個人資料流通上之困難外,亦間接增加了各會員國政府正面運用此類資料之成本;而從上述相關條文可知,歐盟將嘗試從減少企業行政管理負擔及確保公平競爭等角度來加以解決;第三、嘗試調合各DPAs間事務合作及強化其行政裁罰權:依新規則建議案內容,為全面落實新個人資料保護措施,於水平整合之概念下,執委會乃嘗試從改善及協調各DPA間合作關係此角度切入,來協助一致化境內個人資料保護措施目標之實現;第四、強化歐盟民眾個人資料境外移轉保護:隨規範思維之改變,執委會認為就既有國際資料移轉傳輸程序,應進行可能之簡化與調和,故對歐盟現行之個人資料境外移轉相關之法律基礎及規定,亦可能會隨之作某種程度之變動(例如歐盟標準契約條款、美國安全港規範架構等);而就先前由執委會審定可提供合適資料保護措施之國家名單,亦將作重新調整及再認可。
總合前述,不論是從德國將對Facebook採取法律行動、或是從歐盟為提升個人資料保護而提出新規則建議案任一角度來看,其背後之規範思維,皆不是要大幅限縮各領域對生物辨識及其他個人資料可能合理之運用;而是在於,要嚴格要求此類資料之蒐集利用,必須得在已明確告知該資料主體並取得同意等前提下為之;而再向外一層想,資料管理者或處理者是否有足夠之保護措施,能保障資料主體日後不會因同意其利用而產生不必要之困擾(如因資料外洩而被複製或進行違法利用)?則或許是各先進國家政府,未來擬嚴加監督及把關之施力重點。最後,我們再回頭看,雖然此次由執委會所提出之新規則建議案之各項條文,未必會一字不改地全數被通過,但於其中所預含之管理態度及規範方向,或仍值相關業者作為事先思索因應對策時之參考。
參考資料:
1. About the “Facebook’s biometric database continues to be unlawful”, please refer to this website: http://www.datenschutz-hamburg.de/uploads/media/PressRelease-2011-11-10-Facebook_BiometricDatebase.pdf2. About the “Commission strife risks delaying data protection overhaul”, please refer to this website: http://www.euractiv.com/infosociety/commission-strife-risks-delaying-data-protection-overhaul-news-510203
3. About the “European Commission's Proposed Change to the EU Data Protection Laws: Detailed Analysis”,please refer to this website: http://www.reedsmith.com/publications/search_publications.cfm?widCall1=customWidgets.content_view_1&cit_id=32923
4. About full text of the draft “General Data Protection Regulation”, please refer to this website:
5. About the full article of “Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”, please refer to this website: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
- 本文章同步於MD News期刊第151期刊載,詳細可至網站:tw.zinio.com/search/index.jsp Zinio電子書平台下載~
本著作係採用創用 CC 姓名標示-相同方式分享 3.0 台灣 授權條款授權.
文章標籤
全站熱搜
留言列表
國內法規動向觀察與評析 (5)
