德國禁種MON810爭議,行政法院裁定有理由,支持主管機關禁種決定
跨國農業生技公司Monsanto研發的MON810品系抗蟲基因改造玉米,於今(2009)年4月中旬遭到德國農業生技的主管機關-聯邦營養、農業與消費者保護局(Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz, BMELV)援引歐盟基因改造生物環境釋出指令(EU-Freisetzungsrichtlinie)中的防衛條款,加以禁種。
雖然Monsanto隨即對BMELV此項決定提出行政訴訟,但Braunschweig行政法院在5月初作出的暫時性裁定,支持了BMELV此項決定。法院基於兩大理由,裁定BMELV之禁種決定並非無據:(1)只要有新的或進一步的資訊出現,支持基因改造作物可能會對人體或動物健康造成損害,即可支持主管機關作出禁止種植已經取得歐盟上市許可的基因改造作物之決定之論據,不需要存在有必然會有風險的科學知識。(2)據此論據進行風險調查及風險評估,乃主管機關之執掌,主管機關對此有裁量權(Beurteilungsspielraum),從而,法院介入審查該行政決定的重點,在於主管機關是否已為充分的風險調查、有無恣意論斷風險。本案目前尚非終局之決定,Monsanto仍可對於此項裁定提出抗告。
在歐盟,基因改造生物的上市需透過歐盟程序為之,一旦歐盟執委會允許某一基因改造生物的上市,該基因改造生物原則上即可在全體歐盟會員國推廣銷售,包括種植。唯歐盟環境釋出指令例外容許會員國得於一定條件下,援引防衛條款主張已通過歐盟審查的基因改造生物,對於其境內環境或人體與動植物健康有負面影響,從而禁止特定已取得歐盟上市許可的基因改造生物於其境內流通。防衛條款的動用屬例外情形,且須定期接受歐盟層級的審查。
本文為「經濟部產業技術司科技專案成果」
我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 我國關於個資去識別化實務發展,依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡,實務上爭議在於達到合理利用目的之個資處理,參酌法務部103年11月17日法律字第10303513040號函說明「個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自非個資法之適用範圍」,在保護個人隱私之前提下,資料於必要時應進行去識別化操作,確保特定個人無論直接或間接皆無從被識別;還得參酌關於衛生福利部健保署資料庫案,健保署將其所保有之個人就醫健保資料,加密後提供予國衛院建立健保研究資料庫,引發當事人重大利益爭議,終審判決(最高行政法院106年判字第54號判決)被告(即今衛福部)勝訴,法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準,該案之資料收受者(本案中即為衛福部)掌握還原資料與主體間連結之能力,與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用,在於確保社會大眾無法從資料內容輕易推知該資料所屬主體,並有提到關於再識別之風險評估,然而應採行何種標準,並未於法院判決明確說明。 我國政府為因應巨量資料應用潮流,推動個資合理利用,行政院以推動開放資料為目標,104年7月重大政策推動會議決議,請經濟部標檢局研析相關規範(如CNS 29191),邀請相關政府機關及驗證機構開會討論,確定「個人資料去識別化」驗證標準規範,並由財政部財政資訊中心率先進行去識別化驗證;並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191,同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例,第二波示範案例則由內政部及衛生福利部(105年12月通過)接續辦理。 經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術-安全技術-隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術-安全技術-部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication),轉換為國家標準CNS 29100及CNS 29191,並據此制訂「個人資料去識別化過程驗證要求及控制措施」,提供個資去識別化之隱私框架,使組織、技術及程序等各層面得整體應用隱私權保護,並於標準公報(107年第24期)徵求新標準之意見至今年2月,草案編號為1071013「資訊技術-安全技術-個人可識別資訊去識別化過程管理系統-要求事項」(Management systems of personal identifiable information deidentification processes – Requirements),主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項,提供維護並改進個人資訊去識別化過程及良好實務作法之框架,並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 由於前述說明之草案編號1071013去識別化國家標準仍在審議階段,因此以下以現行「個人資料去識別化過程驗證要求及控制措施」(以下簡稱控制措施)[1]說明。 去識別化係以個資整體生命週期為保護基礎,評估資料利用之風險,包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序,分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法(下稱個資法)說明如下:首先,組織應先確定去識別化需求為何,究係對「個資之蒐集或處理」或「為特定目的外之利用」(對應個資法第19條第1項第4、5款)接著,對應重點在於「適當安全維護措施」,依據個資法施行細則第12條第1項規定,公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施;而依據個資法施行細則第12條第2項規定,適當安全維護措施得包括11款事項,並以與所欲達成之個資保護目的間,具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法: 一、隱私權政策 涉及PII處理之組織的高階管理階層,應依營運要求及相關法律與法規,建立隱私權政策,提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」,即為涉及個資生命週期為保護基礎之管理程序,從蒐集、處理到利用為原則性規範,以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 組織蒐集、處理、利用PII應符合之11項原則,包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」,以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫,且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義,係指個資以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者,組織於進行去識別化處理時,應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 此章節為選驗項目,需具體依據組織去識別化需求,是否需要重新識別而決定是否適用;若選擇適用,則保留重新識別可能性,應回歸個資法規定保護個資。 參、小結 國際上目前無個資去識別化驗證標準及驗證作法可資遵循,因此現階段控制措施,係以個資整體生命週期為保護基礎,評估資料利用之風險,使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊進行去識別化之過程,透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項,內化為我國業者因應資料保護與資料去識別化管理制度。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心,個人資料去識別化過程驗證,https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx(最後瀏覽日:2019/6/4) 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容,該網站並未公告「個人資料去識別化過程驗證要求及控制措施」,故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。
歐洲議會通過支付服務指令修正草案歐洲議會(European Parliament)於今(2015)年10月8日通過支付服務指令的修正草案(revised Directive on Payment Services; 簡稱PSD2),修正後的支付服務指令將能降低消費者使用支付服務時所花的費用、提升支付服務的安全性、吸引業者投入支付服務領域及促進支付服務的創新。 未來,擁有網路帳戶的付款人可以利用第三方支付業者提供的支付軟體及設備進行付款。新法中也明訂,若付款者使用支付工具,如金融卡(Debit Card)或信用卡(Credit Card)為付款時,支付業者不得向付款人收取額外的費用,這個規定使付款人得以省下一筆開銷。 新法也規定,提供付款人帳戶資訊的銀行,若對第三方支付業者有安全上的疑慮時,其向監管機關提出客觀合理的理由後,得拒絕第三方支付業者向其存取付款人的帳戶資訊。 另外,為降低用戶被盜款的風險及保障用戶的財務資料,支付業者有義務提供嚴格的用戶認證機制(strong customer authentication)。此機制藉由確認付款人的密碼、使用的卡片或聲音或指紋的認證來確認付款人的身分。而當用戶的付款工具(payment instrument)遺失、被竊取或不當利用,而造成有未經用戶同意而為支付的情況發生時,依新法規定,用戶負擔之損失,最多不得超過50歐元。
奧克蘭市(Oakland)成為美國第三個禁止公部門使用人臉辨識技術的城市近年來,人臉辨識(Face recognition)技術迅速發展,增加便利性的同時,也伴隨了種種隱憂,如:對隱私權的侵害、公部門權力濫用等,是以加州舊金山市(San Francisco)和麻薩諸塞州薩默維爾市(Somerville)分別在今年(2019)5月和6月發布公部門使用人臉辨識技術的相關禁令,加州奧克蘭市(Oakland)並於7月16日跟進,成為美國第三個禁止公部門使用人臉辨識技術的城市。 2018年麻省理工學院曾針對人臉辨識技術的正確率做過研究,其研究結果報告顯示黑人女性辨識錯誤率超過30%,遠不如白人男性;美國公民自由聯盟(American Civil Liberties Union, ACLU)也針對Amazon人臉辨識軟體Rekognition做過測驗,結果該系統竟誤將28名美國國會議員顯示為嫌疑犯,這兩項研究顯示,人臉辨識技術存有極高錯誤率且對種族間存有很大的偏見與歧視。對此奧克蘭市議會主席卡普蘭(Rebecca Kaplan)一項聲明中表示:「當多項研究都指出一項新興技術具有缺陷,且造成寒蟬效應的時候,我們必須站出來」。 卡普蘭並表示:「建立社區和警察間信任與良好關係以及導正種族偏見是很重要的,人臉辨識技術卻反而加深此問題」、「對於隱私權和平等權的保護是最基本的」,故奧克蘭市通過禁止公部門使用人臉辨識技術的法令,原因如下: 人臉辨識系統所依賴的資料集,具高度不準確性。 對於人臉辨識技術的使用與共享,尚缺乏標準。 這項技術本身具有侵犯性,如:侵犯個人隱私權。 政府如果濫用該技術所得之資訊,可導致對弱勢族群的迫害。 雖然目前美國僅有三個城市通過政府機關禁止使用人臉辨識技術的法令,但依照目前的發展狀態,其他的城市甚至州在未來也可能會跟進頒布禁令。
科技大廠被控剝削開放原始碼社群歐盟執委會( EC )一名資深官員 30 日大聲抨擊幾家美國的大型 IT 企業,指控他們對開放原始碼社群的發展產生過多影響。 EC 的資訊社會與媒體理事會軟體科技首長 Jesus Villasante 表示,如 IBM 、惠普( HP )和昇陽( Sun Microsystems )這些大公司,只是把開放原始碼社群當作承包商,而非鼓勵他們開發獨立的商業產品。 Villasante 在阿姆斯特丹舉行的荷蘭開放軟體大會( Holland Open Software Conference )中指出:「 IBM 會問顧客:你要專有或開放軟體?(如果他們選擇開放原始碼)然後他們會說:好,你要的是 IBM 的開放原始碼軟體。開放原始碼都將變成 IBM 、惠普或昇陽的財產。」 Villasante 說:「這些公司以承包商的模式,利用(開放原始碼)社群的潛能 – 當今的開放原始碼社群,等於是美國跨國企業的承包商。」他呼籲開放原始碼社群應發展更大的獨立性。 他表示:「開放原始碼社群需要看重自己,並瞭解他們對本身和社會都已作出貢獻。從他們瞭解自己是推動社會進化的一部分,並試圖發揮影響的那一刻起,我們才能朝正確的方向前進。」 Villasante 的看法令其他參與討論的成員頗為意外,包括 Sun One Consulting 的首席設計師 James Baty 。業界專家曾表示, IBM 等大公司對開放原始碼軟體的發展,作出相當大的貢獻,他們幫助說服企業與 IT 專業人員相信開放軟體與專有軟體一樣可靠。 Baty 並未直接回應 Villasante 的評論,但表示包括他的雇主在內的大型企業,都有責任奉獻給開放原始碼社群。昇陽捐助若干開放原始碼計劃,包括生產力應用軟體 OpenOffice.org 。 Baty 說:「有些公司僭取了開放原始碼社群的成果,其他公司則抱持他們必須奉獻的態度。(開放原始碼)應被視為一個機會,不是供人奪取和濫用的東西。」 Villasante 也利用稍早的演說,表達對歐洲軟體業的擔憂。他說:「我的看法是,歐洲目前根本沒有軟體產業 – 當今唯一的軟體產業只存在美國,未來或許還會出現在中國或印度。我們應該決定將來是否要建立歐洲的軟體產業。」 Villasante 認為開放原始碼是歐洲軟體產業發產的重要部分,但這種過程卻受到智慧財產遊說團體與傳統軟體業的壓力,及開放原始碼社群本身的分裂所壓抑。他說:「開放原始碼處於徹底的混亂 – 許多人作很多不同的東西。造成現在完全的混亂。」 一位聽眾指出, EC 也要為推動可能損害開放原始碼的軟體專利規章負責。 Villasante 回答,並非所有 EC 的成員都自動支持該規章。他說:「首先,我不負責軟體專利 – 軟體專利規章是由內部(市場)局長管理。資訊協會( Villasante 工作的單位)局長的意見,不一定與內部局長相同。」(陳智文)