歐盟提出現行個資保護指令規範之修正草案
歐盟提出現行個資保護指令規範之修正草案
科技法律研究所
2013年10月07日
壹、事件摘要
歐盟於1995年所制定之「個人資料保護指令」(Data Protection Directive,95/46/EC,下稱個資保護指令),其基本原則確保了歐盟會員國個人資料基本權利之保障,後續也成為國際相關立法時之參考依據。但由於個資保護指令制定時為框架式立法模式,歐盟各會員國仍須將相關規定內國法化,導致各會員國間對於個人資料保護標準產生差距。
貳、重點說明
一、立法緣起
歐盟現行之「個資保護指令」是第一部解決關於個人資料處理與自由流通保護之指令,主要在於提供歐盟境內關於個人資料及隱私權保護之規定。但由於該指令使各會員國之規範不具統一性,且制定之時科技尚屬發展階段。為解決科技發展與各國形成之保護差距,歐盟執委會(European Commission)在2012年1 月25 日,向歐洲理事會(European Commission)及歐洲議會(European Parliament)正式提出「一般個人資料保護規則」(General Data Protection Regulation)草案共91 條。預計於2015年施行,並取代現行個資保護指令,全面並一致性適用於各會員國。
二、關鍵改變
本次一般個人資料保護規則草案相較於現行個資保護指令,主要有資料當事人權利行使新增與強化、當事人同意要件標準提高、適用主體擴大、申訴權力強化、資料管理人資料保護責任之加重、損害賠償與相關罰則之規定等,並將各項規定更加明確化,以解決長期以來歐盟會員國間因保護水準不一所形成之衝突現象。
參、事件評析
一般個人資料規則草案提出後,歐盟與英國分別針對新規則草案進行評估。歐盟執委會認為,新規則可協助歐盟境內解決長期以來因個資法保護水準不一所形成之衝突,進而為當地企業帶來約23億歐元之效益;但英國當地卻持反面見解,認為新法將使企業提高所需擔負之行政成本,且高規格之法遵要求也使資料管理人陷入難以遵守之情況,進而影響歐盟之競爭力。國際上激烈的討論聲浪與分歧之見解,也使得該規則草案自提出至今已一年多的時間,仍未正式拍板定案。
歐盟於1995年制定之個資保護指令,自1998年生效之後,不僅在各會員國進行個資保護時扮演關鍵性角色,更為國際上個人資料保護或隱私保護之參考依據,其動向更為各國所專注與留意。而隨著時代轉變與科技演進,歐盟期許未來不只是在歐盟境內,更可將個人資料或隱私保護相關資訊與要求,擴及歐盟以外之國家,因而於2012年提出新規則草案,而後續相關發展,更值得我們持續留意跟進。
2025年1月9日美國紐澤西州檢查總長與民權部(Division of Civil Rights, DCR)聯合發布「演算法歧視指引」(Guidance on Algorithmic Discrimination and the New Jersey Law Against Discrimination),指出《紐澤西州反歧視法》(the New Jersey Law Against Discrimination, LAD)亦適用於基於演算法所衍生的歧視。 隨著AI技術日趨成熟,社會各領域已大量導入自動化決策工具,雖然它們能提高決策效率但也增加了歧視發生之風險。指引的目的在於闡述自動化決策工具在AI設計、訓練或部署階段可能潛藏的歧視風險,亦列舉出在各類商業實務情境中常見的自動化決策工具,並說明它們可能會如何產生演算法歧視。以下分別說明《紐澤西州反歧視法》適用範圍,以及與演算法歧視有關的行為樣態。 一、《紐澤西州反歧視法》之適用主體及適用客體 《紐澤西州反歧視法》禁止在就業、住房及公共場所等領域所發生的一切歧視行為,其適用主體相當廣泛,包含但不限於下列對象:雇主、勞工組織、就業仲介機構、房東、房地產經紀人、公共場所之經營或管理者、以及任何教唆或協助歧視行為之個人;而該法之適用客體亦有明確定義,為具有受保護特徵(如性別、族裔、身心障礙等)之自然人或法人。 此外指引特別說明,即便適用主體無意歧視、或其所使用之自動化決策工具係由第三方所開發,只要發生歧視行為依然違反《紐澤西州反歧視法》。這是因為《紐澤西州反歧視法》係針對歧視所帶來的影響進行規範,儘管無意歧視,其所帶來的影響並不一定比故意歧視還要輕微。 二、 歧視行為的三種樣態 1.差別待遇歧視 差別待遇歧視係指適用主體基於受保護特徵而對適用客體施予不同對待。舉例而言,若房東使用自動化決策工具來評估黑人潛在租戶,但不評估其他族裔的潛在租戶,則會因為其選擇性使用自動化決策工具而構成歧視。 2.差別影響歧視 差別影響歧視係指適用主體的政策或行為對適用客體造成不成比例的負面影響,且該政策或行為未能證明具有正當性、非歧視性、或不存在較少歧視性的替代方案,則該政策或行為構成歧視。例如,某商店利用臉部辨識技術來偵測過去曾有偷竊紀錄的顧客,但該系統對配戴宗教頭巾的顧客較容易產生誤判,此亦可能構成歧視。 3.未提供合理調整 合理調整係指身心障礙者、宗教信仰者、懷孕者以及哺乳者,在不會對適用主體造成過度負擔的前提下,得向其提出合理請求,以符合自身的特殊需求。以身心障礙員工為例,若雇主使用了自動化決策工具來評估員工的工作表現(例如監測員工的休息時間是否過長),在未考量合理調整的情況下,該工具可能會過度針對身心障礙員工進而構成歧視。 為減少演算法歧視發生頻率,「演算法歧視指引」特別闡述自動化決策工具可能會出現的歧視行為及歧視樣態。此份指引的另一個意義在於,縱使目前紐澤西州並沒有一部監管AI的專法,但仍可以利用現行的法律去處理AI帶來的種種問題,以利在既有的法律架構內擴充法律的解釋來回應新科技的挑戰,並達到實質管制AI的效果。
網路中立管制在美國與歐盟的新發展 在美國競業禁止修法趨勢下,雇主可採取的配套措施——–不可避免揭露原則?美國聯邦貿易委員會(Federal Trade Commission, FTC)於2023年1月提出一項提案,將使所有競業禁止條款無效,惟提案尚未確定。儘管FTC同意該提案將影響對雇主的保護,但也指出營業秘密法已為雇主提供了保護其營業秘密的配套,其中「不可避免揭露原則」(the “inevitable disclosure” doctrine)或許將成為競業禁止協議之替代方案。 不可避免揭露原則是指當公司認為前僱員於新公司任職,將不可避免地使用前公司之營業秘密時,可向法院聲請禁止前僱員至新公司任職。法院通常會考慮下列三個因素,以決定是否基於不當使用營業秘密之「威脅」而授予禁制令救濟,包括: 1.前後雇主是否為提供相同或非常相似服務的直接競爭對手; 2.前僱員的新職位是否與原職位雷同,以至於無法合理地期待該僱員在不利用其前雇主之營業秘密的情況下,能履行其新的工作職責; 3.所涉及的營業秘密對於前後雇主是否都具有相當之價值。 雖然部份州法院指出根據其州法,得適用不可避免揭露原則,但各界對於雇主能否向聯邦法院根據《保護營業秘密法》(Defend Trade Secrets Act, DTSA)援引該原則仍未達成共識。儘管如此,部份聯邦法院強調雇主須明確說明前僱員為何將不可避免地使用或揭露其營業秘密,僅證明前僱員在工作期間獲得機密資訊,並隨後於競爭公司擔任類似職位,不足以證明前僱員將不可避免地使用前公司之營業秘密。 綜上所述,不可避免揭露原則可以防止前僱員不當使用其營業秘密的威脅,但由於聯邦法院對於能否援引該原則的標準仍不明確,僅指出不可避免揭露原則將使雇主面臨較高的舉證要求,故其是否能成為競業禁止協議的替代方案,仍有待觀察。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。